打开网易新闻 查看精彩图片

Sonatype 最近给 AI 编程工具造了个"安检系统"——Guide。你可以把它理解成机场安检:AI 生成的代码想进你的仓库,得先过一遍扫描,确认带的"行李"(依赖包)没问题才能放行。

这套系统塞进了一个 MCP 服务器,直接对接 Copilot、Claude、Codex 这些主流 AI 助手。它的核心动作很简单:只推送安全可靠的包版本,把那些有漏洞的、过期的、甚至根本不存在的东西拦在外面。

Sonatype CEO Bhagwat Swaroop 点出了一个挺尴尬的现实:AI 编程助手的训练数据往往滞后数月甚至数年,推荐出来的依赖包有 27% 的概率是幻觉——要么不存在,要么已废弃,要么带毒。开发者照单全收的话,返工、烧 Token、埋雷,一个都跑不掉。

Guide 的另一头是 Nexus One Platform API,面向企业级场景。CI/CD 管道能接,聊天机器人能接,问题跟踪器也能接。Sonatype 给的数据是:用上这套东西,安全代码生成效率翻三倍,修复和升级的综合成本降到原来的五分之一以下。

竞品不是没有。Snyk、Mend、OWASP Dependency-Check 都在做类似的事,但大多还没摸到 MCP 服务器这层——目前只有 Snyk 有个实验性的版本。

一位提前试用的开发者反馈,最直观的改变是 AI 推荐依赖时终于会标注"这个版本有 CVE 漏洞,建议换到 x.x.x"——而不是像以前那样,自信满满地丢过来一个两年前的过期包。