📦 PyPI Tiene un Problema de Crecimiento Explosivo#
Desde 2025, el número de paquetes publicados en PyPI por semana ha aumentado un 30% — y la causa principal es la IA. 📈
📊 Los Números#
- +30% más paquetes por semana desde 2025
- El almacenamiento semanal supera los 400 GB nuevos por semana
- Las descargas también se disparan semanalmente
⚠️ El Problema del “Vibecoding”#
Muchos de estos paquetes nuevos son “vibecoded” — código generado por IA sin revisión cuidadosa. El autor, que trabaja en Hexora (herramienta de detección de código malicioso en PyPI), observa que:
- Abusan de
eval,execysubprocessinnecesariamente - Codifican código Python en base64 antes de ejecutarlo con
exec(sin razón técnica) - A veces el código parece malware aunque no sea intencional
🔴 Publicación Abusiva#
Un paquete publicó 392 versiones en un solo día. Esto pone presión enorme en PyPI (mantenido por la PSF sin fines de lucro).
💡 Explicación en pocas palabras#
La IA está democratizando la creación de código, pero también está inundando PyPI con paquetes de baja calidad que usan patrones de código que parecen maliciosos aunque no lo sean. Esto crea un creciente problema de seguridad en la cadena de suministro de software Python: más paquetes para revisar, más falsos positivos en las herramientas de seguridad, y más carga para los mantenedores de PyPI — que dependen de donaciones para operar.
Más información en el link 👇
