apm：面向 AI 代理配置和技能的社区驱动依赖管理器

它解决了什么问题

AI 编码代理（如 GitHub Copilot、Claude Code 和 Cursor）需要特定的上下文——例如提示、技能和插件——才能发挥作用。目前，开发者必须手动设置这些内容，使得代理配置不可移植，且在不同机器或团队之间难以复现。APM 提供了一种标准化的方式，以代码形式声明和管理这些依赖。

工作原理

APM 使用清单文件（apm.yml）来描述代理所需的原语，包括指令、技能、提示和 MCP 服务器。它的工作方式类似于 npm 或 pip 等包管理器，能够解析传递依赖并生成锁文件（apm.lock.yaml）以确保可复现性。

用户可以从各种 Git 托管平台（GitHub、GitLab、Bitbucket 等）或精选的市场中安装包。工具随后可以将这些配置“编译”为特定代理客户端兼容的格式，例如为 GitHub Copilot 生成 .github/copilot-instructions.md。

适用人群

希望在项目或整个组织内共享、版本控制并治理提供给 AI 代理的上下文和技能的开发者和安全团队。

亮点

• 可移植的清单：在单个文件中声明所有代理原语，实现跨多个 AI 客户端（Copilot、Claude、Cursor 等）的一致设置。
• ** carbonates 传递依赖解析**：支持依赖其他包的包，完整解析依赖树。
• 安全优先的方案：扫描隐藏的 Unicode 以防止代理被劫持，并在锁文件中使用完整性哈希。
• 企业治理：允许安全团队通过 apm-policy.yml 定义允许的来源和原语，以强制执行组织标准。
• MCP 集成：简化在检测到的客户端上安装和配置模型上下文协议（MCP）服务器。
• SBOM 导出：生成已安装代理上下文的标准清单报告（CycloneDX/SPDX）。

摘要

一个开源的 AI 代理依赖管理器，允许开发者使用清单文件声明、共享和治理代理配置、技能以及 MCP 服务器。

标题

apm：面向 AI 代理配置和技能的社区驱动依赖管理器