GitHub MCP 依赖扫描：让 Agent 加包前先看漏洞

这篇解决什么

AI Agent 常会建议安装新包解决问题。如果缺少依赖漏洞扫描，小修复可能引入供应链风险。

适合谁

适合频繁让 Agent 修改 package、requirements、lockfile、Dockerfile 和 CI 配置的团队。

操作步骤

1. 确认仓库已启用 Dependabot alerts。
2. 在 GitHub MCP Server 中启用 dependabot toolset。
3. 每次 Agent 新增或升级依赖后，要求它扫描当前分支新增依赖。
4. 输出受影响包、严重级别、推荐修复版本和是否影响本次改动。
5. 对高严重级别依赖先换版本或替代方案，再进入 PR。

可复制模板

请扫描本分支新增或升级的依赖，输出已知漏洞、严重级别、受影响版本、建议升级版本、替代包建议和本次 PR 是否可以继续。

验收清单

• Dependabot alerts 已启用
• dependabot toolset 已配置
• 新增依赖都有扫描结果
• 高严重级别已处理
• lockfile 与代码一起复核

发布建议

把它写成加包门禁，读者可以直接复制到 AGENTS.md。

资料依据

• GitHub Changelog: Dependency scanning with GitHub MCP Server is in public preview

标签