# @alisaitteke/npm-mcp - Doramagic AI Context Pack

> 定位：安装前体验与判断资产。它帮助宿主 AI 有一个好的开始，但不代表已经安装、执行或验证目标项目。

## 充分原则

- **充分原则，不是压缩原则**：AI Context Pack 应该充分到让宿主 AI 在开工前理解项目价值、能力边界、使用入口、风险和证据来源；它可以分层组织，但不以最短摘要为目标。
- **压缩策略**：只压缩噪声和重复内容，不压缩会影响判断和开工质量的上下文。

## 给宿主 AI 的使用方式

你正在读取 Doramagic 为 @alisaitteke/npm-mcp 编译的 AI Context Pack。请把它当作开工前上下文：帮助用户理解适合谁、能做什么、如何开始、哪些必须安装后验证、风险在哪里。不要声称你已经安装、运行或执行了目标项目。

## Claim 消费规则

- **事实来源**：Repo Evidence + Claim/Evidence Graph；Human Wiki 只提供显著性、术语和叙事结构。
- **事实最低状态**：`supported`
- `supported`：可以作为项目事实使用，但回答中必须引用 claim_id 和证据路径。
- `weak`：只能作为低置信度线索，必须要求用户继续核实。
- `inferred`：只能用于风险提示或待确认问题，不能包装成项目事实。
- `unverified`：不得作为事实使用，应明确说证据不足。
- `contradicted`：必须展示冲突来源，不得替用户强行选择一个版本。

## 它最适合谁

- **正在使用 Claude/Codex/Cursor/Gemini 等宿主 AI 的开发者**：README 或插件配置提到多个宿主 AI。 证据：`README.md` Claim：`clm_0014` supported 0.86

## 它能做什么

- **search_packages**（可做安装前预览）：Search npm registry with ranked results including quality, popularity, and maintenance scores 证据：`src/tools/search-packages.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **get_package_details**（可做安装前预览）：Retrieve detailed package metadata including versions, dependencies, download stats, and deprecation status 证据：`src/tools/package-details.ts`, `src/types.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **audit_security**（可做安装前预览）：Check npm packages for security vulnerabilities and suggest safe versions 证据：`src/tools/security-audit.ts`, `src/index.ts`, `DEVELOPMENT.md`, `AI_USAGE.md` 等 Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **check_compatibility**（可做安装前预览）：Verify package compatibility with existing project dependencies including peer dependency conflicts 证据：`src/tools/version-compatibility.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **analyze_quality**（可做安装前预览）：Evaluate package quality using maintenance scores, community metrics, and GitHub data 证据：`src/tools/quality-analysis.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **compare_versions**（可做安装前预览）：Compare two versions of a package to identify breaking changes and dependency differences 证据：`src/tools/version-compatibility.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **analyze_npx_command**（可做安装前预览）：Validate npx commands before execution by checking package existence, version, and safety warnings 证据：`src/tools/npx-command.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **analyze_capabilities**（可做安装前预览）：Analyze package capabilities including ESM/CJS support, TypeScript types, platform compatibility, and build tools 证据：`src/index.ts`, `CAPABILITIES.md` Claim：`clm_0001` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86, `clm_0005` supported 0.86 等
- **generate_quick_start**（可做安装前预览）：Generate ready-to-use code examples for packages including install commands and framework-specific usage 证据：`src/index.ts`, `PRODUCTIVITY.md` Claim：`clm_0001` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86, `clm_0005` supported 0.86 等
- **compare_packages**（可做安装前预览）：Compare multiple packages side-by-side covering module systems, TypeScript, popularity, maintenance, and bundle size 证据：`src/index.ts`, `PRODUCTIVITY.md` Claim：`clm_0001` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86, `clm_0005` supported 0.86 等
- **analyze_bundle_size**（可做安装前预览）：Analyze package bundle impact including minified/gzipped sizes, tree-shaking support, and dependency count 证据：`src/index.ts`, `PRODUCTIVITY.md` Claim：`clm_0001` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86, `clm_0005` supported 0.86 等
- **find_similar_packages**（可做安装前预览）：Find alternative and similar packages to a given npm package 证据：`src/index.ts`, `PRODUCTIVITY.md` Claim：`clm_0001` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86, `clm_0005` supported 0.86 等
- **auto_security_checks**（可做安装前预览）：MCP resources automatically inject security guidelines into AI context for proactive package checking 证据：`AUTOMATIC.md`, `AI_USAGE.md` Claim：`clm_0003` supported 0.86, `clm_0013` supported 0.86

## 怎么开始

- `npm install -g @alisaitteke/npm-mcp` 证据：`README.md` Claim：`clm_0015` supported 0.86

## 继续前判断卡

- **当前建议**：先做权限沙盒试用
- **为什么**：项目存在安装命令、宿主配置或本地写入线索，不建议直接进入主力环境，应先在隔离环境试装。

### 30 秒判断

- **现在怎么做**：先做权限沙盒试用
- **最小安全下一步**：先跑 Prompt Preview；若仍要安装，只在隔离环境试装
- **先别相信**：工具权限边界不能在安装前相信。
- **继续会触碰**：命令执行、宿主 AI 上下文

### 现在可以相信

- **适合人群线索：正在使用 Claude/Codex/Cursor/Gemini 等宿主 AI 的开发者**（supported）：有 supported claim 或项目证据支撑，但仍不等于真实安装效果。 证据：`README.md` Claim：`clm_0014` supported 0.86
- **能力存在：search_packages**（supported）：可以相信项目包含这类能力线索；是否适合你的具体任务仍要试用或安装后验证。 证据：`src/tools/search-packages.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86
- **能力存在：get_package_details**（supported）：可以相信项目包含这类能力线索；是否适合你的具体任务仍要试用或安装后验证。 证据：`src/tools/package-details.ts`, `src/types.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86
- **能力存在：audit_security**（supported）：可以相信项目包含这类能力线索；是否适合你的具体任务仍要试用或安装后验证。 证据：`src/tools/security-audit.ts`, `src/index.ts`, `DEVELOPMENT.md`, `AI_USAGE.md` 等 Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86
- **能力存在：check_compatibility**（supported）：可以相信项目包含这类能力线索；是否适合你的具体任务仍要试用或安装后验证。 证据：`src/tools/version-compatibility.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86
- **能力存在：analyze_quality**（supported）：可以相信项目包含这类能力线索；是否适合你的具体任务仍要试用或安装后验证。 证据：`src/tools/quality-analysis.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86

### 现在还不能相信

- **工具权限边界不能在安装前相信。**（unverified）：MCP/tool 类项目通常会触碰文件、网络、浏览器或外部 API，必须真实检查权限和日志。
- **真实输出质量不能在安装前相信。**（unverified）：Prompt Preview 只能展示引导方式，不能证明真实项目中的结果质量。
- **宿主 AI 版本兼容性不能在安装前相信。**（unverified）：Claude、Cursor、Codex、Gemini 等宿主加载规则和版本差异必须在真实环境验证。
- **不会污染现有宿主 AI 行为，不能直接相信。**（inferred）：Skill、plugin、AGENTS/CLAUDE/GEMINI 指令可能改变宿主 AI 的默认行为。
- **可安全回滚不能默认相信。**（unverified）：除非项目明确提供卸载和恢复说明，否则必须先在隔离环境验证。
- **真实安装后是否与用户当前宿主 AI 版本兼容？**（unverified）：兼容性只能通过实际宿主环境验证。
- **项目输出质量是否满足用户具体任务？**（unverified）：安装前预览只能展示流程和边界，不能替代真实评测。
- **安装命令是否需要网络、权限或全局写入？**（unverified）：这影响企业环境和个人环境的安装风险。 证据：`README.md`

### 继续会触碰什么

- **命令执行**：包管理器、网络下载、本地插件目录、项目配置或用户主目录。 原因：运行第一条命令就可能产生环境改动；必须先判断是否值得跑。 证据：`README.md`
- **宿主 AI 上下文**：AI Context Pack、Prompt Preview、Skill 路由、风险规则和项目事实。 原因：导入上下文会影响宿主 AI 后续判断，必须避免把未验证项包装成事实。

### 最小安全下一步

- **先跑 Prompt Preview**：用安装前交互式试用判断工作方式是否匹配，不需要授权或改环境。（适用：任何项目都适用，尤其是输出质量未知时。）
- **只在隔离目录或测试账号试装**：避免安装命令污染主力宿主 AI、真实项目或用户主目录。（适用：存在命令执行、插件配置或本地写入线索时。）
- **安装后只验证一个最小任务**：先验证加载、兼容、输出质量和回滚，再决定是否深用。（适用：准备从试用进入真实工作流时。）

### 退出方式

- **保留安装前状态**：记录原始宿主配置和项目状态，后续才能判断是否可恢复。
- **记录安装命令和写入路径**：没有明确卸载说明时，至少要知道哪些目录或配置需要手动清理。
- **如果没有回滚路径，不进入主力环境**：不可回滚是继续前阻断项，不应靠信任或运气继续。

## 哪些只能预览

- 解释项目适合谁和能做什么
- 基于项目文档演示典型对话流程
- 帮助用户判断是否值得安装或继续研究

## 哪些必须安装后验证

- 真实安装 Skill、插件或 CLI
- 执行脚本、修改本地文件或访问外部服务
- 验证真实输出质量、性能和兼容性

## 边界与风险判断卡

- **把安装前预览误认为真实运行**：用户可能高估项目已经完成的配置、权限和兼容性验证。 处理方式：明确区分 prompt_preview_can_do 与 runtime_required。 Claim：`clm_0016` inferred 0.45
- **命令执行会修改本地环境**：安装命令可能写入用户主目录、宿主插件目录或项目配置。 处理方式：先在隔离环境或测试账号中运行。 证据：`README.md` Claim：`clm_0017` supported 0.86
- **风险**： 处理方式：
- **风险**： 处理方式：
- **风险**： 处理方式：
- **待确认**：真实安装后是否与用户当前宿主 AI 版本兼容？。原因：兼容性只能通过实际宿主环境验证。
- **待确认**：项目输出质量是否满足用户具体任务？。原因：安装前预览只能展示流程和边界，不能替代真实评测。
- **待确认**：安装命令是否需要网络、权限或全局写入？。原因：这影响企业环境和个人环境的安装风险。

## 开工前工作上下文

### 加载顺序

- 先读取 how_to_use.host_ai_instruction，建立安装前判断资产的边界。
- 读取 claim_graph_summary，确认事实来自 Claim/Evidence Graph，而不是 Human Wiki 叙事。
- 再读取 intended_users、capabilities 和 quick_start_candidates，判断用户是否匹配。
- 需要执行具体任务时，优先查 role_skill_index，再查 evidence_index。
- 遇到真实安装、文件修改、网络访问、性能或兼容性问题时，转入 risk_card 和 boundaries.runtime_required。

### 任务路由

- **search_packages**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/tools/search-packages.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **get_package_details**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/tools/package-details.ts`, `src/types.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **audit_security**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/tools/security-audit.ts`, `src/index.ts`, `DEVELOPMENT.md`, `AI_USAGE.md` 等 Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **check_compatibility**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/tools/version-compatibility.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **analyze_quality**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/tools/quality-analysis.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **compare_versions**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/tools/version-compatibility.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **analyze_npx_command**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/tools/npx-command.ts`, `src/index.ts`, `DEVELOPMENT.md` Claim：`clm_0001` supported 0.86, `clm_0002` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86 等
- **analyze_capabilities**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/index.ts`, `CAPABILITIES.md` Claim：`clm_0001` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86, `clm_0005` supported 0.86 等
- **generate_quick_start**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/index.ts`, `PRODUCTIVITY.md` Claim：`clm_0001` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86, `clm_0005` supported 0.86 等
- **compare_packages**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/index.ts`, `PRODUCTIVITY.md` Claim：`clm_0001` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86, `clm_0005` supported 0.86 等
- **analyze_bundle_size**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/index.ts`, `PRODUCTIVITY.md` Claim：`clm_0001` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86, `clm_0005` supported 0.86 等
- **find_similar_packages**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`src/index.ts`, `PRODUCTIVITY.md` Claim：`clm_0001` supported 0.86, `clm_0003` supported 0.86, `clm_0004` supported 0.86, `clm_0005` supported 0.86 等
- **auto_security_checks**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`AUTOMATIC.md`, `AI_USAGE.md` Claim：`clm_0003` supported 0.86, `clm_0013` supported 0.86

### 上下文规模

- 文件总数：43
- 重要文件覆盖：38/43
- 证据索引条目：36
- 角色 / Skill 条目：9

### 证据不足时的处理

- **missing_evidence**：说明证据不足，要求用户提供目标文件、README 段落或安装后验证记录；不要补全事实。
- **out_of_scope_request**：说明该任务超出当前 AI Context Pack 证据范围，并建议用户先查看 Human Manual 或真实安装后验证。
- **runtime_request**：给出安装前检查清单和命令来源，但不要替用户执行命令或声称已执行。
- **source_conflict**：同时展示冲突来源，标记为待核实，不要强行选择一个版本。

## Prompt Recipes

### 适配判断

- 目标：判断这个项目是否适合用户当前任务。
- 预期输出：适配结论、关键理由、证据引用、安装前可预览内容、必须安装后验证内容、下一步建议。

```text
请基于 @alisaitteke/npm-mcp 的 AI Context Pack，先问我 3 个必要问题，然后判断它是否适合我的任务。回答必须包含：适合谁、能做什么、不能做什么、是否值得安装、证据来自哪里。所有项目事实必须引用 evidence_refs、source_paths 或 claim_id。
```

### 安装前体验

- 目标：让用户在安装前感受核心工作流，同时避免把预览包装成真实能力或营销承诺。
- 预期输出：一段带边界标签的体验剧本、安装后验证清单和谨慎建议；不含真实运行承诺或强营销表述。

```text
请把 @alisaitteke/npm-mcp 当作安装前体验资产，而不是已安装工具或真实运行环境。

请严格输出四段：
1. 先问我 3 个必要问题。
2. 给出一段“体验剧本”：用 [安装前可预览]、[必须安装后验证]、[证据不足] 三种标签展示它可能如何引导工作流。
3. 给出安装后验证清单：列出哪些能力只有真实安装、真实宿主加载、真实项目运行后才能确认。
4. 给出谨慎建议：只能说“值得继续研究/试装”“先补充信息后再判断”或“不建议继续”，不得替项目背书。

硬性边界：
- 不要声称已经安装、运行、执行测试、修改文件或产生真实结果。
- 不要写“自动适配”“确保通过”“完美适配”“强烈建议安装”等承诺性表达。
- 如果描述安装后的工作方式，必须使用“如果安装成功且宿主正确加载 Skill，它可能会……”这种条件句。
- 体验剧本只能写成“示例台词/假设流程”：使用“可能会询问/可能会建议/可能会展示”，不要写“已写入、已生成、已通过、正在运行、正在生成”。
- Prompt Preview 不负责给安装命令；如用户准备试装，只能提示先阅读 Quick Start 和 Risk Card，并在隔离环境验证。
- 所有项目事实必须来自 supported claim、evidence_refs 或 source_paths；inferred/unverified 只能作风险或待确认项。

```

### 角色 / Skill 选择

- 目标：从项目里的角色或 Skill 中挑选最匹配的资产。
- 预期输出：候选角色或 Skill 列表，每项包含适用场景、证据路径、风险边界和是否需要安装后验证。

```text
请读取 role_skill_index，根据我的目标任务推荐 3-5 个最相关的角色或 Skill。每个推荐都要说明适用场景、可能输出、风险边界和 evidence_refs。
```

### 风险预检

- 目标：安装或引入前识别环境、权限、规则冲突和质量风险。
- 预期输出：环境、权限、依赖、许可、宿主冲突、质量风险和未知项的检查清单。

```text
请基于 risk_card、boundaries 和 quick_start_candidates，给我一份安装前风险预检清单。不要替我执行命令，只说明我应该检查什么、为什么检查、失败会有什么影响。
```

### 宿主 AI 开工指令

- 目标：把项目上下文转成一次对话开始前的宿主 AI 指令。
- 预期输出：一段边界明确、证据引用明确、适合复制给宿主 AI 的开工前指令。

```text
请基于 @alisaitteke/npm-mcp 的 AI Context Pack，生成一段我可以粘贴给宿主 AI 的开工前指令。这段指令必须遵守 not_runtime=true，不能声称项目已经安装、运行或产生真实结果。
```


## 角色 / Skill 索引

- 共索引 9 个角色 / Skill / 项目文档条目。

- **NPM MCP**（project_doc）：! NPM MCP Banner ./social preview.png 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`README.md`
- **Contributing to NPM Registry MCP Server**（project_doc）：Contributing to NPM Registry MCP Server 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`CONTRIBUTING.md`
- **AI Usage Guide**（project_doc）：This guide helps AI assistants Cursor, Claude automatically use npm-registry-mcp tools when working with npm packages. 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`AI_USAGE.md`
- **Automatic NPM Security Checks**（project_doc）：This MCP automatically injects security guidelines into AI context, making checks happen without explicit commands. 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`AUTOMATIC.md`
- **Package Capabilities Analysis**（project_doc）：The analyze capabilities tool provides comprehensive analysis of package capabilities, including module systems, TypeScript support, platform compatibility, and more. 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`CAPABILITIES.md`
- **Development**（project_doc）：Setup, architecture, and tool reference for contributing to @alisaitteke/npm-mcp. 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`DEVELOPMENT.md`
- **Developer Productivity Tools**（project_doc）：New tools to supercharge your development workflow when working with npm packages. 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`PRODUCTIVITY.md`
- **MCP Prompts Slash Commands**（project_doc）：This MCP includes smart prompts that AI can use as shortcuts for common workflows. 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`PROMPTS.md`
- **Changelog**（project_doc）：All notable changes to this project will be documented in this file. 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`CHANGELOG.md`

## 证据索引

- 共索引 36 条证据。

- **NPM MCP**（documentation）：! NPM MCP Banner ./social preview.png 证据：`README.md`
- **Package**（package_manifest）：{ "name": "@alisaitteke/npm-mcp", "version": "0.0.3", "description": "MCP server for npm registry integration with security analysis and compatibility checking", "type": "module", "main": "dist/index.js", "bin": { "npm-mcp": "bin/npm-registry-mcp.js" }, "mcpName": "io.github.alisaitteke/npm-mcp", "files": "dist", "bin", "README.md", "server.json" , "scripts": { "build": "tsup", "dev": "tsup --watch", "test": "vitest", "test:coverage": "vitest --coverage", "typecheck": "tsc --noEmit" }, "keywords": "mcp", "npm", "registry", "security", "compatibility", "cursor", "claude", "model-context-protocol", "ai" , "publishConfig": { "access": "public" }, "repository": { "type": "git", "url": "https://… 证据：`package.json`
- **Contributing to NPM Registry MCP Server**（documentation）：Contributing to NPM Registry MCP Server 证据：`CONTRIBUTING.md`
- **License**（source_file）：Copyright c 2026 NPM Registry MCP Contributors 证据：`LICENSE`
- **AI Usage Guide**（documentation）：This guide helps AI assistants Cursor, Claude automatically use npm-registry-mcp tools when working with npm packages. 证据：`AI_USAGE.md`
- **Automatic NPM Security Checks**（documentation）：This MCP automatically injects security guidelines into AI context, making checks happen without explicit commands. 证据：`AUTOMATIC.md`
- **Package Capabilities Analysis**（documentation）：The analyze capabilities tool provides comprehensive analysis of package capabilities, including module systems, TypeScript support, platform compatibility, and more. 证据：`CAPABILITIES.md`
- **Development**（documentation）：Setup, architecture, and tool reference for contributing to @alisaitteke/npm-mcp. 证据：`DEVELOPMENT.md`
- **Developer Productivity Tools**（documentation）：New tools to supercharge your development workflow when working with npm packages. 证据：`PRODUCTIVITY.md`
- **MCP Prompts Slash Commands**（documentation）：This MCP includes smart prompts that AI can use as shortcuts for common workflows. 证据：`PROMPTS.md`
- **Server**（structured_config）：{ "$schema": "https://static.modelcontextprotocol.io/schemas/2025-12-11/server.schema.json", "name": "io.github.alisaitteke/npm-mcp", "description": "Discover, compare, and analyze npm packages with AI-generated recommendations. NOT just metadata - this MCP actively compares packages, generates pros/cons analysis, scores alternatives, and provides 'which is better?' recommendations. Perfect for: 'what packages exist?', 'which is better: X or Y?', 'what are pros/cons?', 'when to use A vs B?' questions. Combines npm registry data with intelligent analysis.", "repository": { "url": "https://github.com/alisaitteke/npm-mcp", "source": "github" }, "version": "0.0.3", "mcpName": "io.github.alisait… 证据：`server.json`
- **Index**（source_file）：import { Server } from '@modelcontextprotocol/sdk/server/index.js'; import { StdioServerTransport } from '@modelcontextprotocol/sdk/server/stdio.js'; import { CallToolRequestSchema, ListToolsRequestSchema, ListPromptsRequestSchema, GetPromptRequestSchema, ListResourcesRequestSchema, ReadResourceRequestSchema, SubscribeRequestSchema, UnsubscribeRequestSchema, } from '@modelcontextprotocol/sdk/types.js'; import { RegistryClient } from './registry-client.js'; import { searchPackages } from './tools/search-packages.js'; import { getPackageDetails } from './tools/package-details.js'; import { compareVersions, checkCompatibility, } from './tools/version-compatibility.js'; import { auditSecurity }… 证据：`src/index.ts`
- **Registry Client**（source_file）：import pLimit from 'p-limit'; import { LRUCache } from 'lru-cache'; import type { Packument, SearchResponse, DownloadStats, RegistryError, } from './types.js'; ⋮---- export interface RegistryClientConfig { registryUrl?: string; timeout?: number; maxRetries?: number; cacheMaxSize?: number; cacheTTL?: number; maxConcurrent?: number; } ⋮---- interface RetryConfig { attempt: number; maxAttempts: number; baseDelay: number; } ⋮---- export class RegistryClient ⋮---- constructor config: RegistryClientConfig = ⋮---- async getPackage packageName: string : Promise ⋮---- async getPackageVersion packageName: string, version: string : Promise ⋮---- async searchPackages query: string, options: { limit?: n… 证据：`src/registry-client.ts`
- **Types**（source_file）：export interface Packument { name: string; description?: string; 'dist-tags': { latest: string; tag: string : string; }; versions: { version: string : PackageVersion; }; time: { created: string; modified: string; version: string : string; }; maintainers?: Person ; author?: Person; repository?: Repository; homepage?: string; bugs?: { url?: string }; license?: string; readme?: string; readmeFilename?: string; keywords?: string ; } ⋮---- export interface PackageVersion { name: string; version: string; description?: string; main?: string; scripts?: Record ; dependencies?: Record ; devDependencies?: Record ; peerDependencies?: Record ; optionalDependencies?: Record ; dist: { tarball: string; sha… 证据：`src/types.ts`
- **Npx Command**（source_file）：import { z } from 'zod'; import { spawn } from 'child process'; import { RegistryClient } from '../registry-client.js'; ⋮---- export type AnalyzeNpxCommandParams = z.infer ; ⋮---- export async function analyzeNpxCommand params: AnalyzeNpxCommandParams, client: RegistryClient : Promise ⋮---- async function executeNpxCommandSafely packageName: string, args: string , timeout: number : Promise< 证据：`src/tools/npx-command.ts`
- **Package Details**（source_file）：import { z } from 'zod'; import { RegistryClient } from '../registry-client.js'; import type { Packument } from '../types.js'; import semver from 'semver'; ⋮---- export type PackageDetailsParams = z.infer ; ⋮---- export async function getPackageDetails params: PackageDetailsParams, client: RegistryClient : Promise 证据：`src/tools/package-details.ts`
- **Quality Analysis**（source_file）：import { z } from 'zod'; import { RegistryClient } from '../registry-client.js'; import type { Packument } from '../types.js'; import { Octokit } from '@octokit/rest'; ⋮---- export type AnalyzeQualityParams = z.infer ; ⋮---- export async function analyzeQuality params: AnalyzeQualityParams, client: RegistryClient : Promise ⋮---- // Extract owner and repo name from GitHub URL ⋮---- // GitHub metrics if available ⋮---- // GitHub API might fail rate limiting, private repo, etc. ⋮---- // Analyze version history ⋮---- // Calculate maintenance score ⋮---- // Maintenance score 0-100 ⋮---- // Popularity score 0-100 based on downloads ⋮---- // Community score 0-100 based on GitHub metrics let commun… 证据：`src/tools/quality-analysis.ts`
- **Search Packages**（source_file）：import { z } from 'zod'; import { RegistryClient } from '../registry-client.js'; import type { SearchResponse } from '../types.js'; ⋮---- export type SearchPackagesParams = z.infer ; ⋮---- export async function searchPackages params: SearchPackagesParams, client: RegistryClient : Promise 证据：`src/tools/search-packages.ts`
- **Security Audit**（source_file）：import { z } from 'zod'; import { RegistryClient } from '../registry-client.js'; import type { Packument } from '../types.js'; ⋮---- export type AuditSecurityParams = z.infer ; ⋮---- export async function auditSecurity params: AuditSecurityParams, client: RegistryClient : Promise 证据：`src/tools/security-audit.ts`
- **Version Compatibility**（source_file）：import { z } from 'zod'; import { RegistryClient } from '../registry-client.js'; import type { Packument } from '../types.js'; import semver from 'semver'; ⋮---- export type CompareVersionsParams = z.infer ; ⋮---- export type CheckCompatibilityParams = z.infer ; ⋮---- export async function compareVersions params: CompareVersionsParams, client: RegistryClient : Promise ⋮---- export async function checkCompatibility params: CheckCompatibilityParams, client: RegistryClient : Promise ⋮---- // Check if any of the existing dependencies depend on conflicting versions ⋮---- // If adding this package would create a conflict 证据：`src/tools/version-compatibility.ts`
- **Changelog**（documentation）：All notable changes to this project will be documented in this file. 证据：`CHANGELOG.md`
- **Mcp**（structured_config）：{ "mcpServers": { "npm-registry-mcp": { "command": "npx", "args": "@alisaitteke/npm-mcp" } } } 证据：`mcp.json`
- **Tsconfig**（structured_config）：{ "compilerOptions": { "target": "ES2022", "module": "ESNext", "lib": "ES2022" , "moduleResolution": "bundler", "allowImportingTsExtensions": true, "resolveJsonModule": true, "declaration": true, "declarationMap": true, "sourceMap": true, "outDir": "./dist", "rootDir": "./src", "strict": true, "noUnusedLocals": true, "noUnusedParameters": true, "noFallthroughCasesInSwitch": true, "esModuleInterop": true, "skipLibCheck": true, "forceConsistentCasingInFileNames": true, "types": "node" }, "include": "src/ / " , "exclude": "node modules", "dist", "test" } 证据：`tsconfig.json`
- **Dependencies**（source_file）：Temporary .tmp .cache/ app data .mcpregistry registry token .mcpregistry github token 证据：`.gitignore`
- **Ignore development files**（source_file）：Ignore development files node modules/ .log 证据：`.npmignore`
- **Npx Command.Test**（source_file）：import { describe, it, expect, beforeEach } from 'vitest'; import { RegistryClient } from '../src/registry-client.js'; import { analyzeNpxCommand } from '../src/tools/npx-command.js'; 证据：`test/npx-command.test.ts`
- **Package Capabilities.Test**（source_file）：import { describe, it, expect, beforeEach } from 'vitest'; import nock from 'nock'; import { RegistryClient } from '../src/registry-client.js'; import { analyzeCapabilities } from '../src/tools/package-capabilities.js'; 证据：`test/package-capabilities.test.ts`
- **Package Details.Test**（source_file）：import { describe, it, expect, beforeEach } from 'vitest'; import { RegistryClient } from '../src/registry-client.js'; import { getPackageDetails } from '../src/tools/package-details.js'; 证据：`test/package-details.test.ts`
- **Quality Analysis.Test**（source_file）：import { describe, it, expect, beforeEach } from 'vitest'; import { RegistryClient } from '../src/registry-client.js'; import { analyzeQuality } from '../src/tools/quality-analysis.js'; 证据：`test/quality-analysis.test.ts`
- **Registry Client.Test**（source_file）：import { describe, it, expect, beforeEach, afterEach, beforeAll, afterAll } from 'vitest'; import nock from 'nock'; import { RegistryClient } from '../src/registry-client.js'; import type { Packument, SearchResponse } from '../src/types.js'; 证据：`test/registry-client.test.ts`
- **Search Packages.Test**（source_file）：import { describe, it, expect, beforeEach } from 'vitest'; import { RegistryClient } from '../src/registry-client.js'; import { searchPackages } from '../src/tools/search-packages.js'; 证据：`test/search-packages.test.ts`
- **Security Audit.Test**（source_file）：import { describe, it, expect, beforeEach } from 'vitest'; import { RegistryClient } from '../src/registry-client.js'; import { auditSecurity } from '../src/tools/security-audit.js'; 证据：`test/security-audit.test.ts`
- **Server.Test**（source_file）：import { describe, it, expect } from 'vitest'; 证据：`test/server.test.ts`
- **Version Compatibility.Test**（source_file）：import { describe, it, expect, beforeEach } from 'vitest'; import { RegistryClient } from '../src/registry-client.js'; import { compareVersions, checkCompatibility, } from '../src/tools/version-compatibility.js'; 证据：`test/version-compatibility.test.ts`
- **Tsup.Config**（source_file）：import { defineConfig } from 'tsup'; 证据：`tsup.config.ts`
- **Vitest.Config**（source_file）：import { defineConfig } from 'vitest/config'; 证据：`vitest.config.ts`

## 宿主 AI 必须遵守的规则

- **把本资产当作开工前上下文，而不是运行环境。**：AI Context Pack 只包含证据化项目理解，不包含目标项目的可执行状态。 证据：`README.md`, `package.json`, `CONTRIBUTING.md`
- **回答用户时区分可预览内容与必须安装后才能验证的内容。**：安装前体验的消费者价值来自降低误装和误判，而不是伪装成真实运行。 证据：`README.md`, `package.json`, `CONTRIBUTING.md`

## 用户开工前应该回答的问题

- 你准备在哪个宿主 AI 或本地环境中使用它？
- 你只是想先体验工作流，还是准备真实安装？
- 你最在意的是安装成本、输出质量、还是和现有规则的冲突？

## 验收标准

- 所有能力声明都能回指到 evidence_refs 中的文件路径。
- AI_CONTEXT_PACK.md 没有把预览包装成真实运行。
- 用户能在 3 分钟内看懂适合谁、能做什么、如何开始和风险边界。

---

## Doramagic Context Augmentation

下面内容用于强化 Repomix/AI Context Pack 主体。Human Manual 只提供阅读骨架；踩坑日志会被转成宿主 AI 必须遵守的工作约束。

## Human Manual 骨架

使用规则：这里只是项目阅读路线和显著性信号，不是事实权威。具体事实仍必须回到 repo evidence / Claim Graph。

宿主 AI 硬性规则：
- 不得把页标题、章节顺序、摘要或 importance 当作项目事实证据。
- 解释 Human Manual 骨架时，必须明确说它只是阅读路线/显著性信号。
- 能力、安装、兼容性、运行状态和风险判断必须引用 repo evidence、source path 或 Claim Graph。

- **Home**：importance `high`
  - source_paths: README.md, package.json, server.json
- **Installation**：importance `high`
  - source_paths: README.md, mcp.json, package.json
- **Configuration**：importance `high`
  - source_paths: mcp.json, server.json, src/index.ts
- **MCP Tools Overview**：importance `high`
  - source_paths: src/index.ts, AI_USAGE.md, AUTOMATIC.md
- **Package Search and Discovery**：importance `high`
  - source_paths: src/tools/search-packages.ts, src/tools/similar-packages.ts, src/tools/compare-packages.ts
- **Security Auditing**：importance `high`
  - source_paths: src/tools/security-audit.ts, AUTOMATIC.md
- **Compatibility and Version Management**：importance `high`
  - source_paths: src/tools/version-compatibility.ts, src/tools/package-details.ts, src/registry-client.ts
- **System Architecture**：importance `medium`
  - source_paths: src/index.ts, src/registry-client.ts, src/types.ts, DEVELOPMENT.md

## Repo Inspection Evidence / 源码检查证据

- repo_clone_verified: true
- repo_inspection_verified: true
- repo_commit: `0c5624c232ea79afae404dc366cc81a06bcd8754`
- inspected_files: `package.json`, `README.md`, `src/index.ts`, `src/server.ts`, `src/types.ts`, `src/registry-client.ts`, `src/tools/npx-command.ts`, `src/tools/compare-packages.ts`, `src/tools/quality-analysis.ts`, `src/tools/search-packages.ts`, `src/tools/package-details.ts`, `src/tools/quick-start.ts`, `src/tools/bundle-size.ts`, `src/tools/version-compatibility.ts`, `src/tools/similar-packages.ts`, `src/tools/package-capabilities.ts`, `src/tools/security-audit.ts`

宿主 AI 硬性规则：
- 没有 repo_clone_verified=true 时，不得声称已经读过源码。
- 没有 repo_inspection_verified=true 时，不得把 README/docs/package 文件判断写成事实。
- 没有 quick_start_verified=true 时，不得声称 Quick Start 已跑通。

## Doramagic Pitfall Constraints / 踩坑约束

这些规则来自 Doramagic 发现、验证或编译过程中的项目专属坑点。宿主 AI 必须把它们当作工作约束，而不是普通说明文字。

### Constraint 1: 能力判断依赖假设

- Trigger: README/documentation is current enough for a first validation pass.
- Host AI rule: 将假设转成下游验证清单。
- Why it matters: 假设不成立时，用户拿不到承诺的能力。
- Evidence: capability.assumptions | mcp_registry:io.github.alisaitteke/npm-mcp:0.0.3 | https://registry.modelcontextprotocol.io/v0.1/servers/io.github.alisaitteke%2Fnpm-mcp/versions/0.0.3 | README/documentation is current enough for a first validation pass.
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 2: 维护活跃度未知

- Trigger: 未记录 last_activity_observed。
- Host AI rule: 补 GitHub 最近 commit、release、issue/PR 响应信号。
- Why it matters: 新项目、停更项目和活跃项目会被混在一起，推荐信任度下降。
- Evidence: evidence.maintainer_signals | mcp_registry:io.github.alisaitteke/npm-mcp:0.0.3 | https://registry.modelcontextprotocol.io/v0.1/servers/io.github.alisaitteke%2Fnpm-mcp/versions/0.0.3 | last_activity_observed missing
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 3: 下游验证发现风险项

- Trigger: no_demo
- Host AI rule: 进入安全/权限治理复核队列。
- Why it matters: 下游已经要求复核，不能在页面中弱化。
- Evidence: downstream_validation.risk_items | mcp_registry:io.github.alisaitteke/npm-mcp:0.0.3 | https://registry.modelcontextprotocol.io/v0.1/servers/io.github.alisaitteke%2Fnpm-mcp/versions/0.0.3 | no_demo; severity=medium
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 4: 存在评分风险

- Trigger: no_demo
- Host AI rule: 把风险写入边界卡，并确认是否需要人工复核。
- Why it matters: 风险会影响是否适合普通用户安装。
- Evidence: risks.scoring_risks | mcp_registry:io.github.alisaitteke/npm-mcp:0.0.3 | https://registry.modelcontextprotocol.io/v0.1/servers/io.github.alisaitteke%2Fnpm-mcp/versions/0.0.3 | no_demo; severity=medium
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 5: issue/PR 响应质量未知

- Trigger: issue_or_pr_quality=unknown。
- Host AI rule: 抽样最近 issue/PR，判断是否长期无人处理。
- Why it matters: 用户无法判断遇到问题后是否有人维护。
- Evidence: evidence.maintainer_signals | mcp_registry:io.github.alisaitteke/npm-mcp:0.0.3 | https://registry.modelcontextprotocol.io/v0.1/servers/io.github.alisaitteke%2Fnpm-mcp/versions/0.0.3 | issue_or_pr_quality=unknown
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 6: 发布节奏不明确

- Trigger: release_recency=unknown。
- Host AI rule: 确认最近 release/tag 和 README 安装命令是否一致。
- Why it matters: 安装命令和文档可能落后于代码，用户踩坑概率升高。
- Evidence: evidence.maintainer_signals | mcp_registry:io.github.alisaitteke/npm-mcp:0.0.3 | https://registry.modelcontextprotocol.io/v0.1/servers/io.github.alisaitteke%2Fnpm-mcp/versions/0.0.3 | release_recency=unknown
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。