Sonatype 推出 Guide，强化 AI 辅助代码生成的安全性

Sonatype Guide 是一个实时防护栏系统，部署在 AI 编程工具与开源生态之间，能够确保 AI 生成代码所使用的依赖项安全合规、有效可用且易于维护。

Sonatype Guide 包含了一系列独立工具，包括 MCP 服务器、增强搜索功能以及 Nexus One Platform API 的访问权限。

通过将 Sonatype 的可信数据拓展至支持现代模型上下文协议（MCP）的 IDE，Guide 可帮助开发者与 AI 工具选择最优、最安全的开源组件，同时简化和优化依赖管理流程。

Guide 通过 MCP 服务器为 Copilot、Claude、Codex 等 AI 编程工具提供安全情报。该 MCP 服务器仅筛选安全可靠的版本并推送实时包推荐，从而防范不安全代码流入代码仓库。

Sonatype 表示，其增强型搜索功能能够为开发者提供成本最低、收益最高的修复与升级方案。Nexus One Platform API 是一组企业级接口，可全面、无限制且向后兼容地访问组件与仓库的安全数据。该 API 专为基础设施即代码（Infrastructure-as-Code）工作流打造，既能够与 CI/CD 管道集成，将组件及漏洞检测自动化融入构建流程，也可直接把组件与漏洞查询嵌入聊天机器人、问题跟踪器等开发者工具中。

Sonatype 首席执行官 Bhagwat Swaroop 解释称，基于大语言模型（LLM）生成代码的核心难题在于安全数据更新滞后、极易失效：

AI 编程助手通常基于滞后数月甚至数年的公开数据进行训练，因此可能推荐存在漏洞、质量不佳甚至虚构的软件包，不仅造成返工、浪费算力与 Token 成本，还会引入额外的安全隐患。

事实上，Sonatype 研究发现，大语言模型产生依赖包幻觉的概率高达 27%，常会推荐不存在、已废弃或带有恶意风险的依赖包。这不仅导致开发返工、拖慢交付进度、消耗额外的 LLM 算力与 Token 成本，还会引入不必要的安全隐患。

Sonatype 表示，采用 Guide 的企业，其安全代码生成效率提升三倍，安全修复与依赖项升级的综合成本降低了五倍以上。

Sonatype Guide 并非唯一面向开发流程与软件供应链安全防护的 AI 相关工具。在依赖项与上下文安全情报领域，其竞品包括 Snyk、Mend 以及开源工具 OWASP Dependency-Check 等。不过，这类工具大多尚未提供可直接接入 AI 工作流的 MCP 服务器，仅有 Snyk 推出了一款实验性的 MCP 服务器。

【声明：本文由 InfoQ 翻译，未经许可禁止转载。】

查看英文原文：https://www.infoq.com/news/2026/03/sonatype-guide-safety-mcp-server/