AI coding เร็วขึ้น แต่ npm/pip/cargo ต้องมีด่านตรวจก่อนติดตั้ง dependency

ยุค AI coding ทำให้การเพิ่ม library ง่ายกว่าเดิมมาก แค่บอก agent ว่าแก้ feature หนึ่ง มันอาจติดตั้ง dependency เพิ่มเองหลายตัวในไม่กี่นาที

ปัญหาคือ supply-chain attack ก็ใช้ความเร็วนี้เหมือนกัน package ที่ถูก takeover หรือ package ใหม่ที่แฝง malware มักสร้างความเสียหายก่อนที่ ecosystem จะจับได้ครบ

ดังนั้นการติดตั้ง dependency ต้องมี guardrail ที่เครื่องและใน repo ไม่ใช่หวังว่า prompt จะบอก agent ให้ระวังแล้วพอ

แนวทางแรกคือ minimum release age เช่นไม่ติดตั้ง package version ที่เพิ่งปล่อยทันที ให้รอระยะหนึ่งเพื่อให้ community และ security scanner มีเวลาจับความผิดปกติ

แนวทางนี้ทำได้กับหลาย package manager แต่รายละเอียดต่างกัน เช่น npm ใช้วัน, pnpm ใช้นาที และ bun ใช้วินาที ทีมจึงควรทำเป็น config กลาง ไม่ปล่อยให้แต่ละคนตั้งเอง

อีกแนวทางคือใช้ wrapper หรือ scanner หน้า install command เพื่อตรวจ known vulnerability และ pattern ที่น่าสงสัยก่อน package ถูกดึงเข้าเครื่องหรือ CI

ฟันธง: ถ้าทีมใช้ AI coding agent แล้ว ยังให้มันลง package ได้อิสระเหมือนเดิม แปลว่า workflow ยังไม่พร้อม

ให้เริ่มจาก policy ง่าย ๆ คือ agent เสนอ dependency ได้ แต่คนต้องอนุมัติ dependency ใหม่ทุกครั้ง พร้อมดู maintainer, release age, license, install script และจำนวน package ที่เพิ่มเข้ามา

AI ช่วยเขียน code ได้เร็วขึ้นก็จริง แต่ถ้าไม่มีด่านตรวจ เราอาจแค่ ship bug และ malware ได้เร็วขึ้นเท่านั้น