·5m leestijd·886 woorden·
$ share

ThePrimeagen Had Gelijk

Hij waarschuwde dat AI-tools je kritisch oordeel sloopt. Daarna draaiden zijn volgers een vergiftigd commando uit een tweet zonder het te lezen. Hij had gelijk.

beveiligingAI

Op 23 januari 2026 postte ThePrimeagen dit:

guys, I was wrong

AI is much more powerful than I thought. I just created my first skill and it's already revolutionising how I code

you got to try it yourself

npx skills add github.com/theprimeagen/s --skill is-even

Tech Twitter ging collectief door het lint.

ThePrimeagen had jarenlang volgehouden dat AI-coding tools je dom maken. Hij verwijderde GitHub Copilot. Zijn punt: ontwikkelaars slaan de verificatiestap over, het kritisch nadenken, het fundamentele oordeelsvermogen dat iemand goed maakt in dit vak. Hij was de luide, geloofwaardige stem aan de andere kant van de AI-hype.

En nu vertelde hij iedereen een skill genaamd is-even te installeren.

Zijn volgers draaiden het commando.

Wat is-even is

Als je ooit in de npm-wereld hebt rondgekeken, ken je is-even. Het is de bekende grap over overmatige afhankelijkheid: een package die niets doet behalve controleren of een getal deelbaar is door twee. Één regel code. Iets wat een student op dag één schrijft en nooit verpakt.

De naam is-even was de hint. Die wuifde je bijna toe.

Ze keken niet.

De skill was vergiftigd. De volgers die dat commando draaiden zonder de broncode te lezen, zonder de repo te checken, zonder te vragen "wacht, waarom is-even?", gaven uitvoering aan iets wat ze niet hadden gecontroleerd. Omdat ThePrimeagen het zei.

Zijn oorspronkelijke argument

Duidelijkheid over wat hij eigenlijk zei vóór de ommezwaai: zijn kritiek op AI-coding tools ging nooit over de kwaliteit van de modellen. Het ging over wat ontwikkelaars daarna doen.

Je vraagt Copilot een functie te genereren en je leest niet wat er uitkomt. Je accepteert de suggestie omdat hij er goed uitziet, omdat de aanvulling zelfverzekerd klinkt, omdat controleren als wrijving voelt. De AI sloopt je vaardigheden niet. De gewoonte om niet te controleren doet dat.

Hij zei dit herhaaldelijk. Hij verwijderde Copilot niet omdat het slechte code schreef, maar omdat het hem aanleerde een stap over te slaan. De verificatiestap. De "lees wat je gaat draaien"-stap.

Hij beschreef een precieze manier waarop dingen misgaan.

De wending

Zijn volgers zijn niet verbrand door AI.

Ze zijn verbrand door hem te vertrouwen.

De cognitieve snelkoppeling is identiek: "iemand competent heeft dit goedgekeurd, dus ik hoef niet na te denken." Bij AI is dat het model. Bij de skill was het de influencer. De verificatiestap werd in beide gevallen overgeslagen.

Dat is precies het oordeelsvermogen waarover hij waarschuwde. Dat verdwijnt niet alleen als je de suggestie van een model accepteert zonder te lezen. Het verdwijnt elke keer dat je iets uitvoert omdat een bron die je vertrouwt zei dat het goed was.

De ironie is dik genoeg om op te kauwen. Hij had gelijk over het faalpatroon. Hij demonstreerde het zelf, en zijn publiek bevestigde het.

De skills-laag is het nieuwe npm

Dit zou een nette les zijn als het hier stopte. Dat doet het niet.

Het npx skills add-patroon, Claude Code skills, MCP-servers, Cursor-plugins, noem het zoals je wilt, is inmiddels een parallel softwaredistributiesysteem. Miljoenen ontwikkelaars installeren tools in de contextvensters van hun AI-agenten, geven die tools de bevoegdheid om namens hen te handelen, en controleren ze net zo grondig als de meeste mensen een npm install controleren: helemaal niet.

In april 2026 vergiftigden onderzoekers negen van de elf MCP-registries met proof-of-concept-packages. Negen van de elf. Snyk's ToxicSkills-audit vond 1.467 kwaadaardige payloads in 3.984 gescande skills: een foutkans van 36%. Een gecoördineerde aanval genaamd ClawHavoc vergiftigde 1.184 skills op ClawHub in één keer.

Niemand controleerde ze, want de vuistregel is "deze registry ziet er betrouwbaar uit" of "deze maker heeft genoeg volgers." Dezelfde snelkoppeling. Ander oppervlak.

Zoals ik schreef na het npm-pakket dat Claudes werkruimte wilde leegroven: de agent is het aantrekkelijkste doelwit in de kamer. Hij draait met jouw credentials, installeert dingen zonder ze te lezen, en zijn configuratiebestanden zijn uitvoerpaden. Een vergiftigde skill compromitteert niet alleen je editor. Hij compromitteert alles wat jouw agent kan aanraken.

Wat je eraan doet

ThePrimeagens antwoord, vóór de ommezwaai, was: vertraag. Bouw de verificatiegewoonte opnieuw op. Lees wat je gaat draaien.

Dat advies is niet verlopen toen hij die tweet postte.

  • Lees de broncode vóór je installeert. npx skills add haalt van een GitHub-repo. Die repo is leesbaar. Open hem. Kijk wat het installatiescript werkelijk doet.
  • Behandel skills als afhankelijkheden. Je zou (hopelijk) geen willekeurig pakket uit een tweet npm install-en. Hetzelfde geldt hier. Het volgersaantal van een maker is geen code-review.
  • Je agent controleert zijn eigen tools niet. Hij installeert wat jij hem vertelt, en gebruikt daarna wat er geïnstalleerd is. Hij heeft geen achterdocht. Een van jullie twee moet die hebben.
  • De naam is een signaal. is-even wuifde je bijna toe. Als iets te triviaal, te generiek of te toevallig lijkt op een bekende grappackage: stop even.

De conclusie

Hij heeft je gewaarschuwd dat je zou stoppen met controleren.

Je stopte met controleren.

Hij had gelijk.

De verificatiegewoonte is alles. Het maakt niet uit of het ding dat je niet las een suggestie van een model was, een aanbeveling van een maker, of een skill in een registry. Hetzelfde gat ontstaat: iets wat je niet begreep draaide op jouw machine, met jouw credentials, namens jou.

Je kunt de bug niet spotten als je de code niet hebt geschreven. Je kunt de payload niet spotten als je de broncode niet hebt gelezen.

Zelfde les. Zelfde prijs.

// gerelateerd

De AI is niet je vriend: hoe ik Gemini heb beveiligd

De meeste 'AI-integraties' zijn niet meer dan een chatbox en een schietgebedje. Dit is hoe ik een beveiligde, contextuele en tweetalige assistent bouwde met Gemini 3.1 Flash Lite.

Het beste cijfer in Opus 4.8 is geen benchmark

Opus 4.8 verslaat GPT-5.5 en Gemini op SWE-bench, en dat is het minst interessante aan deze release. Het cijfer dat je werk echt verandert, verstopte Anthropic in zachtere woorden.

De spec die je niet las

Een agent je spec laten schrijven is prima. Die spec vluchtig doorlezen en hem doorsturen naar een andere agent om van te bouwen, is hoe je eindigt met architectuurbeslissingen die je niet kunt uitleggen.

// serie: De AI-Skepticus(18 van 18)
01Je hebt geen AI-probleem. Je hebt een procesprobleem.02Waarom je nooit code moet shippen die je zelf niet snapt03Stop met copy-paste engineering04De lava-laag: waarom AI-code je codebase langzaam versteent05De prompt is geen spec06Het briljante papegaai-probleem: wat AI eigenlijk doet als het 'denkt'07De bureaucratie van bots: waarom we de controleur controleren08De wapenwedloop om je vertrouwen: Mythos, Cyber en de security-hype09Laat je agents stoppen met Markdown schrijven10Je vindt de bug niet als je de code niet schreef11Een op vier: de beveiligingsschuld die niemand telt12Je 10x-developer zit vast in een 0,1x-pipeline13Caveman vs context-mode: kleinere mond, of kleinere kamer?14Code churn: de lava die je nog kunt meten15Het plafond is van beton16De token-belasting: ik trek mijn Caveman-advies in17Zelfs de malware is nu AI-slop18ThePrimeagen Had Gelijk