cuttalo/depscope-mcp

GitHub: cuttalo/depscope-mcp

面向 AI 编程助手的包智能 MCP 服务器，在安装前验证包的真实性、安全性和健康度，防止大模型编造虚假包名导致的供应链投毒攻击。

Stars: 0 | Forks: 0

# DepScope MCP 服务器 [![npm version](https://img.shields.io/npm/v/depscope-mcp.svg)](https://www.npmjs.com/package/depscope-mcp) [![License: AGPL-3.0](https://img.shields.io/badge/License-AGPL_3.0-blue.svg)](https://www.gnu.org/licenses/agpl-3.0.txt) [![MCP Compatible](https://img.shields.io/badge/MCP-Compatible-success)](https://modelcontextprotocol.io/) **面向 AI Agent 的包智能 MCP Server。** 阻止 AI 编程 Agent（Claude、ChatGPT、Cursor、Windsurf、Copilot）跨 **19 个生态系统** 安装**幻觉的**、**已弃用的**或**恶意的**包。 → 由 [depscope.dev](https://depscope.dev) 提供支持 —— 已索引 120 万+ 个包，跟踪 19,000+ 个漏洞，实时更新。 ## 为什么存在这个项目 LLM 经常编造看起来真实但不存在的包名（`fastapi-turbo`、`lodahs`、`tokio-stream-extras`）。当 Agent 尝试安装这些包时，可能会遭遇攻击者的域名抢注。**DepScope 会在安装前验证每一个包。** ## 快速开始 ### Claude Desktop / Cursor / Windsurf (远程 MCP) 添加到你的 MCP 配置中： ``` { "mcpServers": { "depscope": { "url": "https://mcp.depscope.dev/mcp" } } } ``` ### 本地 (通过 npx 使用 stdio) ``` { "mcpServers": { "depscope": { "command": "npx", "args": ["-y", "depscope-mcp"] } } } ``` ## 工具 (22) | 工具 | 用途 | |---|---| | `check_package` | 完整的包检查：已弃用/CVE/健康度/推荐 | | `get_health_score` | 0-100 的评分及细分（维护/受欢迎程度/安全性/成熟度/社区） | | `get_vulnerabilities` | 来自 OSV + KEV/EPSS 的公开 CVE | | `package_exists` | 幻觉检测器（404 = LLM 编造的） | | `find_alternatives` | 针对已弃用/废弃包的精选替代方案 | | `get_typosquat` | 可疑的名称相似性检查 | | `get_breaking_changes` | 版本间的迁移计划 | | `get_bugs` | 来自 GitHub Issues 的已知错误 | | `compare_packages` | 并排比较健康度/许可证/漏洞 | | `resolve_error` | 将错误信息映射到可能的原因和修复方案 | | `search_errors` | 跨生态系统查找相似的错误报告 | | `check_compat` | 技术栈兼容性检查 | | `get_latest_version` | 最新稳定版本 + 成熟度信号 | | ... 以及另外 9 个 | 完整列表见 `tools.js` | ## 生态系统 (19) `npm` · `pypi` · `cargo` · `go` · `composer` · `maven` · `nuget` · `rubygems` · `pub` · `hex` · `swift` · `cocoapods` · `cpan` · `hackage` · `cran` · `conda` · `homebrew` · `jsr` · `julia` ## 定价 **免费。** 无需身份验证。提供宽泛的速率限制。该 MCP Server 是开源的 (AGPL-3.0)；后端 (depscope.dev API) 是专有的。 ## 许可证 AGPL-3.0-or-later。后端是专有的；此客户端是开源的。 ## 链接 - [depscope.dev](https://depscope.dev) — 主页 - [docs](https://depscope.dev/integrate) — 集成指南 - [Glama listing](https://glama.ai/mcp/servers/cuttalo/depscope) - [awesome-mcp-servers](https://github.com/punkpeye/awesome-mcp-servers)

标签：AI智能体, AI编程助手, ChatGPT插件, Claude, Claude插件, Copilot插件, Cursor插件, CVE检测, DevSecOps, EPSS, GNU通用公共许可证, KEV, MCP服务器, MITM代理, Node.js, npm包, OSV, Python包, TypeScript, TypeScript, Typosquatting防护, Vercel, WebSocket, Windsurf插件, 上游代理, 代码安全, 依赖分析, 依赖安全, 包健康评分, 包管理器安全, 大模型上下文协议, 安全插件, 安全插件, 暗色界面, 模型上下文协议, 漏洞枚举, 自定义脚本, 防止AI幻觉