Claude Code Plugin Yoink ersetzt Bibliotheksabhängigkeiten, um Lieferkettenrisiken zu reduzieren

Yoink ist ein Claude Code-Plugin, das entwickelt wurde, um das Risiko von Supply-Chain-Angriffen zu verringern, indem es Bibliotheksabhängigkeiten durch benutzerdefinierte Implementierungen der benötigten Funktionalität ersetzt. Das Tool wurde als Reaktion auf kürzliche Supply-Chain-Angriffe entwickelt, einschließlich solcher, die LiteLLM und axios betrafen.

Wie Yoink funktioniert

Das Plugin verwendet einen dreistufigen, fähigkeitsbasierten Workflow:

• /setup klont das Ziel-Repository und erstellt ein Gerüst für ein Ersatzpaket
• /curate-tests generiert Tests, die anhand der Erwartungen der ursprünglichen Tests verifiziert werden
• /decompose bestimmt, welche Abhängigkeiten beibehalten oder zerlegt werden sollen, basierend auf Prinzipien wie "grundlegende Primitive beibehalten, unabhängig davon, wie eng sie genutzt werden", und implementiert iterativ mit ralph, bis alle Tests erfolgreich sind

Technische Implementierung

Die Entwickler nutzten Claude Codes Plugin-System als Proxy-Framework für Programmieragenten für langfristige Aufgaben. Das System bietet eine Dateidokumentationsstruktur, um Fähigkeiten, Agenten und Hooks so zu organisieren, dass Claude Code systematisch über mehrphasige Ausführungsschritte mittels progressiver Offenlegung gesteuert wird. Sie bauten einen benutzerdefinierten Linter, um zusätzliche Dokumentationsstandards durchzusetzen, um die Interaktionen zwischen Fähigkeiten und Agenten leichter nachvollziehbar zu machen.

Aktuelle Einschränkungen und zukünftige Pläne

Derzeit wird nur Python unterstützt, aber TypeScript- und Rust-Unterstützung sind in Arbeit. Die Entwickler weisen darauf hin, dass Agenten gelegentlich zu eifrig werden und Tests ausführen, die sie ausdrücklich nicht ausführen sollten, und manchmal vom Kurs abkommen, um nicht verwandte Dateien zu erkunden.

Zukünftige Iterationen werden untersuchen, wie Upstream-Änderungen verfolgt und der yoinkte Code entsprechend aktualisiert werden kann, um die Wartungsvorteile etablierter Pakete (Sicherheitspatches, Bugfixes, Versionsupdates) zu adressieren. Die Entwickler erwarten auch, dass faire Zuschreibung zu einem Problem wird, da KI-Codierung und Abhängigkeitsinternalisierung häufiger werden.