GitHub 正式推出 GitHub MCP Server 秘密凭据扫描功能，并公开预览依赖包漏洞扫描。这两项功能旨在帮助开发者在使用 AI 工具编写或修改代码时，于提交代码前检查是否误将密钥、令牌等敏感信息或含有已知漏洞的外部依赖包引入代码库。

MCP（Model Context Protocol）是一种连接 AI 应用与外部系统的开源标准，可让 AI 工具访问数据源、工具和工作流程。GitHub MCP Server 是 GitHub 为 AI 开发工具提供的接入接口。通过该机制，AI 工具不仅能回答问题，还能在获得授权后连接 GitHub，协助处理仓库、议题、合并请求及代码相关任务。

过去，开发团队通常是在代码推送至仓库、创建合并请求，或进入自动化构建与测试流程后，才收到安全警告。现在，开发者可在支持 MCP 的开发环境中，要求 AI 代理工具先行检查当前修改内容，降低敏感信息或脆弱依赖包被提交的风险。

秘密凭据扫描功能适用于启用了 GitHub 秘密保护的仓库，可检测代码变更中是否包含可能泄露的密码、密钥、令牌或其他凭据。依赖包漏洞扫描则适用于启用了 Dependabot 警报的仓库。GitHub 表示，AI 代理工具可通过 GitHub MCP Server 调用 Dependabot 相关工具，将项目使用的依赖包信息发送至 GitHub 漏洞公告数据库进行比对，并返回受影响的包、漏洞严重程度及建议的修复版本。

此外，根据文档说明，通过 MCP 触发的秘密凭据扫描结果仅显示在当前 AI 代理工具的聊天会话中，不会保存为 GitHub 正式安全警报，也不会出现在安全页面、秘密凭据扫描警报列表或 REST/GraphQL API 的警报查询结果中。因此，该功能应视为提交前的辅助检查，不能替代现有的安全警报、自动化检查和代码审查流程。

GitHub 同时指出，目前秘密凭据扫描工具仅通过远程 GitHub MCP Server 提供，暂不支持本地 MCP 服务器配置。