PackGuard

PackGuard 是一款专为 npm 包开发者设计的安全发布检查工具，能够在 npm publish 执行前自动扫描并拦截潜在的 AI 配置泄露风险。

核心功能

PackGuard 通过钩入 prepublishOnly 生命周期，在包发布前自动打开 tarball 进行深度检查，一旦发现以下敏感内容立即阻止发布：

• AI 助手配置文件（如 claude/、cursor/ 目录）
• 内嵌源代码的 source map
• 高熵密钥（如 API Token、私钥等）

主要特性

• 零配置集成：只需在 package.json 中添加 prepublishOnly 脚本即可启用
• 精准检测：针对 AI 工具特有的 dotfile 进行专项扫描，避免误报
• 强制阻断：发现风险时直接拒绝发布，并给出详细报告
• 开源免费：个人开源项目完全免费使用
• 轻量无侵入：仅作用于发布流程，不影响日常开发

适用场景

• 使用 Claude Code、Cursor 等 AI 编程助手的开发者
• 维护开源 npm 包，担心意外泄露本地配置的团队
• 需要确保发布包不含敏感密钥或调试文件的项目

据统计，已有 428 个 npm 包包含 AI 助手 dotfile，其中 33 个包暴露了活跃密钥。PackGuard 正是为此而生——在问题发生前拦截，让发布更安全。