Vercel أطلقت deepsec — ماسح بذكاء اصطناعي للبحث عن الثغرات المخفية في الكود
أطلقت Vercel ماسح ذكاء اصطناعي يدعى deepsec للبحث عن الثغرات الأمنية في قواعد البيانات الكبيرة. يستخدم Claude Opus و GPT-5.5 للتحليل، ويعمل محلياً دون الاعتماد
معالج بواسطة الذكاء الاصطناعي من Vercel Blog؛ بتحرير Hamidun News
أطلقت Vercel أداة مفتوحة المصدر تدعى deepsec — نظام ذكاء اصطناعي للبحث عن الثغرات الأمنية في قواعد البيانات الكبيرة. هذا أول ماسح أمني يعمل على بنيتك التحتية الخاصة، مع مفاتيح API الخاصة بك، دون إرسال الكود المصدري إلى السحابة. الفكرة بسيطة: بدلاً من إرسال الكود الحساس إلى خوادم خارجية، تحلل وكلاء Claude و GPT الكود محلياً.
لماذا نحتاج إلى deepsec
غالباً ما تصدر أدوات الأمان الموجودة (مثل أدوات SAST) عدداً كبيراً من التنبيهات الخاطئة — الكثير منها بحيث تصبح النتائج غير قابلة للتطبيق. النهج الآخر هو التعاقد مع شركة audit أمنية. لكن هذا مكلف وطويل. يحاول deepsec ملء الفجوة: وكلاء ذكاء اصطناعي يعملون مثل مهندس أمن متمرس، لكن برخص أقل وأسرع وعلى المستوى المحلي.
الهندسة المعمارية والقدرات
يستخدم deepsec Claude Opus 4.7 في وضع max effort و GPT-5.5 مع reasoning عالي المستوى. يمكن للأداة أن تعمل محلياً على جهاز الكمبيوتر المحمول الخاص بك — لا تحتاج إلى إعداد خدمات سحابية. لتوسيع النطاق على المستودعات الضخمة، يدعم deepsec التنفيذ المتوازي من خلال Vercel Sandboxes: أثناء التطوير، كانت Vercel تشغل عمليات الفحص على أكثر من 1000 نسخة متزامنة. قد يستغرق فحص مستودع كبير عدة أيام على جهاز واحد، لذا فإن التوازي حاسم.
كيف يعمل الفحص
تتكون العملية من خمس مراحل:
- Scan — تجد التعبيرات العادية الملفات والدوال الحساسة من حيث الأمان
- Investigate — تحلل وكلاء البرمجة كل مرشح بعمق، وتتتبع تدفقات البيانات، وتتحقق من الإجراءات المخففة
- Revalidate — يقوم بمرور ثان بالوكلاء بتصفية التنبيهات الخاطئة وإعادة تصنيف الخطورة لكل نتيجة
- Enrich — يستخدم الوكيل بيانات git لتحديد المطورين الذين يجب أن يصلحوا المشكلة
- Export — يتم تحويل النتائج إلى تعليمات قابلة للتنفيذ لإنشاء tickets في نظام التتبع
النتائج على المشاريع الحقيقية
اختبرت Vercel deepsec على مستودعاتها الضخمة الخاصة وعلى المشاريع المفتوحة للعملاء. فاجأت النتائج حتى مهندسي الأمان ذوي الخبرة والمؤسسين. على الكود المفتوح لـ dub.co (منصة لاختصار الروابط والأنظمة المعقدة لإسناد المحتوى لبرامج الشراكة)، وجدت deepsec أخطاء مخفية في منطق المصادقة — حالات حدية دقيقة في شروط المصادقة. كانت الأخطاء غامضة حقاً: لم يتم اكتشافها بواسطة أدوات SAST القياسية، لكن يمكن أن تؤدي إلى وصول غير مصرح به. جعلت النتائج Vercel تطور plugin ماسح مخصص للتحقق من جميع مسارات المصادقة في مستودعاتها الضخمة الخاصة.
"نتلقى الكثير من التقارير الأمنية التلقائية، لكن معظمها غير قابل للتطبيق. deepsec هي الأداة الأولى التي وجدت بالضبط المشاكل التي كان سيشير إليها مهندس أمان، وفي نفس الوقت تعمل على بنيتنا التحتية." —
Steven Tey، مؤسس dub.co
ما معنى هذا
يخرج أتمتة فحص الأمان من مجال الخدمات السحابية إلى مجال أدوات الخصوصية أولاً. بالنسبة للمطورين وفريق الأمان، فهذا يعني: يمكن البحث عن الثغرات دون إرسال الكود إلى السحابة، مع الخصوصية الكاملة، باستخدام مفاتيح Claude و OpenAI API الموجودة بالفعل. تبدأ الأدوات مثل deepsec في ملء الفجوة بين عمليات الفحص الأمني المهنية المكلفة (التي تستغرق أسابيع وتكلف مئات الآلاف) والماسحات الضعيفة (التي تصدر 95% تنبيهات خاطئة). يمكن أن يصبح هذا بالفعل معياراً في خط أنابيب الأمان للشركات الكبيرة.
هل تريد التوقف عن قراءة الذكاء الاصطناعي والبدء باستخدامه؟
AI News هو موجز منسق لأخبار الذكاء الاصطناعي. تعلمك Hamidun Academy استخدام الذكاء الاصطناعي في عملك.