Hacker News 의견

• npm의 패키지 의존성 처리 방식이 문제임

  • package.json에 키만 있으면 실제 패키지와 상관없이 의존성으로 간주됨
  • 이는 의존성 생태계를 더 취약하게 만듦

• tea.yaml을 사용하는 모든 패키지를 제거하는 것이 필요함

  • tea 프로토콜이 악의적인 행동을 유도하고 있음
  • 시스템을 손상시키고 있음

• 스팸 계정을 영구적으로 차단하고 제거해야 함

  • 예를 들어, 1781개의 의미 없는 패키지를 가진 계정이 있음
  • 보고 절차가 복잡하고 번거로움

• AI 모델이 스팸 패키지로 인해 왜곡될 가능성이 있음

  • "garbage in, garbage out" 원칙이 적용됨

• Tea 프로토콜의 인센티브 모델이 문제임

  • 개발자들이 npm에 스팸을 올리도록 유도함
  • 생태계를 손상시킴

• 요약:

  • 암호화폐 기반의 OSS 개발 자금 조달 계획이 스팸을 유도함
  • package.json을 통해 의존성을 속이는 것이 쉬움

• Tea 프로토콜의 목표는 오픈 소스 소프트웨어 경제를 강화하는 것임

  • 그러나 인센티브 모델이 잘못되어 스팸을 유도함
  • "코브라 효과"와 "굿하트의 법칙"이 적용됨

• 인기 프로젝트를 복사해 무작위 라틴어 이름으로 npm에 게시하는 사례가 있음

  • 수백 개의 스팸 리포트를 제출했음

• Tea와 유사한 프로젝트가 있었음

  • 프로젝트가 실패하고 자금이 소진될 때까지 매달 소액의 비트코인을 받았음

• 패키지 관리자는 평점 시스템을 가지고 있음

  • 스팸 패키지가 AI에 영향을 미칠 가능성은 낮음
  • 신뢰할 수 있는 회사는 스팸 패키지를 사용하지 않음