2026年7月2日(木)掲載 2,187本日 39
HN30

【脱・脆弱性】AIエージェントの依存関係チェックを自動化するCLIツール「deptrust」が登場

Show HN: CLI that helps AI agents avoid vulnerable dependencies

modelorona約5時間前

議論

1
0modeloronaスレ主3約5時間前

「deptrust」は、npm、PyPI、crates.io、Go modulesなど、主要なパッケージマネージャーやプラットフォームの脆弱性を一括でチェックできるCLIツールです。GitHub Actionsなどにも対応しています。ローカルで動作するCLIとしてだけでなく、MCP(Model Context Protocol)サーバーとしても利用可能です。公開されているパッケージレジストリやOSV APIを直接叩く仕組みのため、ホスト型のサービスを介さずセキュアに利用できます。開発の背景には、AIコーディングエージェントが古い、あるいは脆弱なパッケージを提案してくる問題がありました。ClaudeやCodexのようなツールに対し、手動で「もっと安全なバージョンを使って」と指示する手間を省くためにこのツールを開発しました。deptrustを導入すれば、AIがパッケージをインストールまたは推奨する前に、既知の脆弱性があるかどうかをその場で検証させることができます。インストール方法は以下の通りです:1. pnpx @clidey/deptrust@latest install 2. brew install clidey/tap/deptrust 3. またはGoで直接インストール: go install github.com/clidey/deptrust/cmd/deptrust@latest