工具
deptrust:帮 AI 编码代理规避漏洞依赖项的 CLI 工具
开发者推出 CLI 工具 deptrust,可在安装前检查 npm、PyPI 等多生态依赖版本是否存在已知漏洞,专为解决…
2026.07.02 · 周四约 2 分钟阅读
近日,一位开发者在 Hacker News 上以「Show HN」形式发布了开源 CLI 工具 deptrust,旨在解决 AI 编码代理(如 Claude、Codex)在生成代码时反复推荐过时或存在已知漏洞的依赖包版本的问题。该工具允许 AI 代理在安装或推荐某个依赖版本之前,先快速核验其是否存在公开披露的安全漏洞。
工具功能与覆盖范围
deptrust 支持主流包管理生态的依赖版本安全检查,涵盖范围较广:
- 编程语言包管理器:npm、PyPI、crates.io、Go modules、RubyGems、NuGet、Maven、Packagist、pub.dev、CocoaPods、Hex.pm、Hackage
- CI/CD:GitHub Actions
- 数据来源:直接调用各包注册表的公开 API 及 OSV(Open Source Vulnerabilities)数据库,不依赖任何托管服务
工具同时提供本地 CLI 和 MCP(Model Context Protocol)服务器两种运行模式,便于嵌入不同 AI 代理工作流。
安装方式
官方提供三种安装途径:
pnpx @clidey/deptrust@latest installbrew install clidey/tap/deptrustgo install github.com/clidey/deptrust/cmd/deptrust@latest
背景与定位
作者表示,构建 deptrust 的直接动因是日常使用 Claude、Codex 等 AI 编码助手时,需要反复手动指示其使用更新、更安全的依赖版本,这一过程效率低下且容易遗漏。deptrust 将核验环节自动化,使 AI 代理能够主动获取漏洞情报并作出更安全的依赖推荐。
作为一款面向 AI 代理工作流的安全辅助工具,deptrust 填补了 AI 辅助编程场景下供应链安全检查的一处空白,但其受众仍局限于同时使用 AI 编码代理并关注依赖安全的开发者群体。
