yay 13.0 вышел вслед за всплеском вредоносных пакетов в AUR. Обновление не меняет модель доверия репозитория и не делает пакеты безопаснее само по себе, но для проверки появляются два сигнала: возраст PKGBUILD и сценарии на Lua. Проверки дополняют, но не заменяют ручной разбор сборки