因應AI輔助開發風險，GitHub MCP Server加入提交前機密憑證與相依套件掃描

MCP（Model Context Protocol）是連接AI應用程式與外部系統的開源標準，可讓AI工具存取資料來源、工具與工作流程，而GitHub MCP Server則是GitHub提供給AI開發工具使用的連接介面。透過該機制，AI工具不只能回答問題，也可在取得授權後連接GitHub，協助處理儲存庫、議題、合併請求與程式碼相關工作。

過去，開發團隊多半是在程式碼送進儲存庫、建立合併請求，或進入自動化建置與測試流程後，才看到安全警示。現在，開發者可在支援MCP的開發環境中，要求AI代理工具先檢查目前修改的內容，降低敏感資料或脆弱套件被送出的機率。

機密憑證掃描功能適用於啟用GitHub Secret Protection的儲存庫，其可協助檢查程式碼變更中是否包含可能外洩的密碼、金鑰、權杖或其他憑證。相依套件漏洞掃描則適用於啟用Dependabot警示的儲存庫。GitHub說明，AI代理工具可透過GitHub MCP Server呼叫Dependabot相關工具，把專案使用的套件資訊送到GitHub漏洞公告資料庫比對，再回傳受影響套件、漏洞嚴重程度與建議修補版本。

另外，根據文件說明，透過MCP觸發的機密憑證掃描結果，只會顯示在目前AI代理工具的聊天工作階段，不會保存為GitHub正式安全警示，也不會出現在安全分頁、機密憑證掃描警示清單，或REST/GraphQL API的警示查詢結果中。因此，該功能應視為提交前的輔助檢查，不能取代既有安全警示、自動化檢查與程式碼審查流程。

GitHub也指出，機密憑證掃描工具目前只透過遠端GitHub MCP Server提供，本機MCP伺服器設定尚不支援。