桃子桃子快讯
返回首页
工具

deptrust:帮 AI 编码代理规避漏洞依赖项的 CLI 工具

开发者推出 CLI 工具 deptrust,可在安装前检查 npm、PyPI 等多生态依赖版本是否存在已知漏洞,专为解决…

2026.07.02 · 周四2 分钟阅读

近日,一位开发者在 Hacker News 上以「Show HN」形式发布了开源 CLI 工具 deptrust,旨在解决 AI 编码代理(如 Claude、Codex)在生成代码时反复推荐过时或存在已知漏洞的依赖包版本的问题。该工具允许 AI 代理在安装或推荐某个依赖版本之前,先快速核验其是否存在公开披露的安全漏洞。

工具功能与覆盖范围

deptrust 支持主流包管理生态的依赖版本安全检查,涵盖范围较广:

  • 编程语言包管理器:npm、PyPI、crates.io、Go modules、RubyGems、NuGet、Maven、Packagist、pub.dev、CocoaPods、Hex.pm、Hackage
  • CI/CD:GitHub Actions
  • 数据来源:直接调用各包注册表的公开 API 及 OSV(Open Source Vulnerabilities)数据库,不依赖任何托管服务

工具同时提供本地 CLI 和 MCP(Model Context Protocol)服务器两种运行模式,便于嵌入不同 AI 代理工作流。

安装方式

官方提供三种安装途径:

  • pnpx @clidey/deptrust@latest install
  • brew install clidey/tap/deptrust
  • go install github.com/clidey/deptrust/cmd/deptrust@latest

背景与定位

作者表示,构建 deptrust 的直接动因是日常使用 Claude、Codex 等 AI 编码助手时,需要反复手动指示其使用更新、更安全的依赖版本,这一过程效率低下且容易遗漏。deptrust 将核验环节自动化,使 AI 代理能够主动获取漏洞情报并作出更安全的依赖推荐。

作为一款面向 AI 代理工作流的安全辅助工具,deptrust 填补了 AI 辅助编程场景下供应链安全检查的一处空白,但其受众仍局限于同时使用 AI 编码代理并关注依赖安全的开发者群体。

信源