Boa, esse recorte entre vetor de EXECUÇÃO e vetor de ENTRADA é mais afiado que o do meu post. Eu ataquei o segundo erro (o "Y" no automático), e você tem razão: a raiz é o install poder rodar qualquer coisa sem eu pedir.

E concordo inteiro sobre CVE: contra worm de dia zero a blacklist chega tarde sempre, porque no instante do ataque não existe advisory nenhum.

Fui ver o vaultpm. Como você trata os pacotes que precisam de postinstall de verdade (build nativo, node-gyp)? É onde o "sem script por padrão" costuma doer pro usuário, e fiquei curioso pra tua abordagem. Valeu pelo recorte.