Deptrust 是一款新发布的开源 CLI 工具及 MCP 服务器,旨在解决 AI 智能体在辅助编程时频繁引入存在已知漏洞(CVE)的依赖包问题。该工具针对 AI 倾向于使用旧版本库数据的特性设计,支持 npm、PyPI、Go Modules、Cargo、Maven 等 12 种主流包管理生态系统。它通过调用 OSV(开源漏洞数据库)和 GitHub Advisory Database 的公开 API 进行本地化检测,无需云端配置,保证了数据的隐私与实时性。Deptrust 不仅能识别传统漏洞,还会针对发布时间短于 72 小时的版本发出风险信号,防止盲目更新。更重要的是,它深度集成 MCP 协议,可作为 Claude Code 和 Codex 的后台服务,在 AI 执行包安装或更新指令前实施拦截或建议,将安全合规性检查无缝嵌入 AI 编码工作流,填补了大模型在供应链安全领域的认知空白。
事件分析
💡 核心观点:将供应链安全扫描前置到 AI 生成环节,是解决智能体编码风险、构建可信 AI 工作流的最佳实践。
原文链接:Hacker News






