Claude Code Plugin Yoinkは、サプライチェーンリスクを低減するためにライブラリ依存関係を置き換えます

Yoinkは、ライブラリの依存関係を必要な機能のみのカスタム実装に置き換えることで、サプライチェーン攻撃のリスクを軽減するClaude Codeプラグインです。このツールは、LiteLLMやaxiosに影響を与えた最近のサプライチェーン攻撃を受けて開発されました。

Yoinkの仕組み

このプラグインは、スキルベースの3段階ワークフローを使用します：

• /setupはターゲットリポジトリをクローンし、置換パッケージのスキャフォールディングを行います
• /curate-testsは元のテストの期待値に対して検証されたテストを生成します
• /decomposeは「使用範囲が狭くても基礎的なプリミティブは保持する」などの原則に基づいて、保持する依存関係と分解する依存関係を決定し、すべてのテストが合格するまでralphを使用して反復的に実装します

技術的実装

開発者は、長期的なタスクのためのプログラミングエージェントのプロキシフレームワークとしてClaude Codeのプラグインシステムを使用しました。このシステムは、ファイルドキュメント構造を提供してスキル、エージェント、フックを整理し、段階的開示を通じてClaude Codeを多段階実行ステップに体系的に導きます。彼らは、スキルとエージェント間の相互作用を推論しやすくするために、追加のドキュメント標準を強制するカスタムリンターを構築しました。

現在の制限と将来の計画

現在はPythonのみをサポートしていますが、TypeScriptとRustのサポートも進行中です。開発者は、エージェントが時々過度に熱心になり、明示的に指示されていないテストを実行したり、無関係なファイルを探索するために道を外れたりすることがあると指摘しています。

将来のバージョンでは、確立されたパッケージのメンテナンス上の利点（セキュリティパッチ、バグ修正、バージョンアップ）に対処するために、アップストリームの変更を追跡し、yoinkされたコードをそれに応じて更新する方法を検討します。開発者はまた、AIコーディングと依存関係の内部化が一般的になるにつれて、適切な帰属表示が問題になると予見しています。