Sonatype 推出 Guide，強(qiáng)化 AI 輔助代碼生成的安全性

作者 | Sergio De Simone

譯者 | 明知山

Sonatype Guide 是一個(gè)實(shí)時(shí)防護(hù)欄系統(tǒng)，部署在 AI 編程工具與開源生態(tài)之間，能夠確保 AI 生成代碼所使用的依賴項(xiàng)安全合規(guī)、有效可用且易于維護(hù)。

Sonatype Guide 包含了一系列獨(dú)立工具，包括 MCP 服務(wù)器、增強(qiáng)搜索功能以及 Nexus One Platform API 的訪問(wèn)權(quán)限。

通過(guò)將 Sonatype 的可信數(shù)據(jù)拓展至支持現(xiàn)代模型上下文協(xié)議（MCP）的 IDE，Guide 可幫助開發(fā)者與 AI 工具選擇最優(yōu)、最安全的開源組件，同時(shí)簡(jiǎn)化和優(yōu)化依賴管理流程。

Guide 通過(guò) MCP 服務(wù)器 為 Copilot、Claude、Codex 等 AI 編程工具提供安全情報(bào)。該 MCP 服務(wù)器僅篩選安全可靠的版本并推送實(shí)時(shí)包推薦，從而防范不安全代碼流入代碼倉(cāng)庫(kù)。

Sonatype 表示，其增強(qiáng)型搜索功能能夠?yàn)殚_發(fā)者提供成本最低、收益最高的修復(fù)與升級(jí)方案。Nexus One Platform API 是一組企業(yè)級(jí)接口，可全面、無(wú)限制且向后兼容地訪問(wèn)組件與倉(cāng)庫(kù)的安全數(shù)據(jù)。該 API 專為基礎(chǔ)設(shè)施即代碼（Infrastructure-as-Code）工作流打造，既能夠與 CI/CD 管道集成，將組件及漏洞檢測(cè)自動(dòng)化融入構(gòu)建流程，也可直接把組件與漏洞查詢嵌入聊天機(jī)器人、問(wèn)題跟蹤器等開發(fā)者工具中。

Sonatype 首席執(zhí)行官 Bhagwat Swaroop 解釋稱，基于大語(yǔ)言模型（LLM）生成代碼的核心難題在于安全數(shù)據(jù)更新滯后、極易失效：

AI 編程助手通常基于滯后數(shù)月甚至數(shù)年的公開數(shù)據(jù)進(jìn)行訓(xùn)練，因此可能推薦存在漏洞、質(zhì)量不佳甚至虛構(gòu)的軟件包，不僅造成返工、浪費(fèi)算力與 Token 成本，還會(huì)引入額外的安全隱患。

事實(shí)上，Sonatype 研究發(fā)現(xiàn)，大語(yǔ)言模型 產(chǎn)生依賴包幻覺(jué)的概率高達(dá) 27%，常會(huì)推薦不存在、已廢棄或帶有惡意風(fēng)險(xiǎn)的依賴包。這不僅導(dǎo)致開發(fā)返工、拖慢交付進(jìn)度、消耗額外的 LLM 算力與 Token 成本，還會(huì)引入不必要的安全隱患。

Sonatype 表示，采用 Guide 的企業(yè)，其安全代碼生成效率提升三倍，安全修復(fù)與依賴項(xiàng)升級(jí)的綜合成本降低了五倍以上。

Sonatype Guide 并非唯一面向開發(fā)流程與軟件供應(yīng)鏈安全防護(hù)的 AI 相關(guān)工具。在依賴項(xiàng)與上下文安全情報(bào)領(lǐng)域，其競(jìng)品包括 Snyk、Mend 以及開源工具 OWASP Dependency-Check 等。不過(guò)，這類工具大多尚未提供可直接接入 AI 工作流的 MCP 服務(wù)器，僅有 Snyk 推出了一款實(shí)驗(yàn)性的 MCP 服務(wù)器。

查看英文原文：

https://www.infoq.com/news/2026/03/sonatype-guide-safety-mcp-server/

聲明：本文由 InfoQ 翻譯，未經(jīng)許可禁止轉(zhuǎn)載。