目录
为什么要构建这个?
SafeDep vet 现已暴露了一个模型上下文协议(MCP)服务器,用于保护 AI 生成的代码并防范 slopsquatting 攻击、漏洞软件包和恶意软件包。此功能面向所有 SafeDep vet 用户开放,可在 IDE 中实现 AI 生成代码的原生软件组成分析(SCA)。使用此功能的方法如下:
- 配置 MCP 客户端(如 Cursor、Claude Code)使用 SafeDep
vetMCP 服务器 - 指示 MCP 客户端在任何软件包安装前使用 MCP 服务器
- 设置完成后,它将自动在编辑器安装任何软件包前进行审查
AI 代码生成和代理式软件工程的采用带来了新的攻击向量,如 slopsquatting。必须建立适当的防护措施,抵御利用 LLM 幻觉和针对代理式编码工具的提示注入攻击,从而防止部署存在漏洞和恶意的软件包。
如何使用 SafeDep MCP 服务器
您需要一个用于 AI 代码生成的 MCP 客户端,如 Cursor、Claude Code 等。将以下内容添加到 MCP 客户端配置中以使用 SafeDep vet MCP 服务器。对于 Cursor,配置文件位于 ~/.cursor/mcp.json,其他 MCP 客户端的配置文件位置可能不同。
{
"mcpServers": {
"vet-mcp": {
"command": "docker",
"args": ["run", "--rm", "-i", "ghcr.io/safedep/vet:latest", "server", "mcp"]
}
}
}创建一个提示或规则,指示您的 AI 代码编辑器在安装任何软件包前使用 MCP 服务器进行审查。对于 Cursor,请在项目目录的 .cursor/rules/vet-mcp.mdc 处创建一个规则文件,内容如下:
---
description: vet Open Source Packages using vet MCP server
alwaysApply: true
---
Always use vet-mcp to vet any open source library package suggested by AI generated code before installation.
Follow the rules below to use vet-mcp:
- Try to find the latest version. If not found, it is likely a slopsquatting vulnerability
- Always check for critical vulnerabilities and malware使用方法
设置完成后,它将自动在 AI 生成代码建议安装任何软件包前进行审查。
AI 原生软件组成分析(SCA)
AI IDE 聊天界面可用于询问有关各种软件包及其漏洞的问题,以确保代码安全。例如,您可以询问:安装前 Is npm package launch-darkly-provider 是否安全使用。
注意: launch-darkly-provider 是一个已知的恶意软件包,我们的系统最近发现了它,不安全使用。为了对恶意软件包提供近实时保护,除了开发环境外,还应在 CI/CD 管道中设置 SafeDep vet。
工作原理
MCP 服务器使用 SafeDep vet 作为基础 SCA 引擎构建。它由 SafeDep 云 API 提供支持,用于查询持续更新的恶意软件包,这些更新基于 SafeDep 恶意软件包扫描 服务。如需社区贡献和支持,请在 SafeDep GitHub 上提交问题或发起 GitHub 讨论。
- mcp
- 安全
- ai-code-generation
- 代理式软件工程
- slopsquatting
- 提示注入
- sca
- 供应链安全
SafeDep 博客最新内容
关注以获取开源安全与工程的最新更新和见解