Vercel lanzó deepsec — escáner de IA para buscar vulnerabilidades ocultas en código

Vercel lanzó la herramienta de código abierto deepsec — un arnes de IA para buscar vulnerabilidades en grandes bases de código. Es el primer escáner de seguridad que funciona en su infraestructura, con sus claves API, sin enviar el código fuente a la nube. La idea es simple: en lugar de enviar código sensible a servidores ajenos, los agentes de Claude y GPT lo analizan localmente.

Por qué se necesita deepsec

Los escáneres de seguridad existentes (como las herramientas SAST) a menudo producen muchos falsos positivos — tantos que sus resultados se vuelven inaplicables. Otro enfoque es contratar una firma de auditoría de seguridad. Pero eso es caro y lento. deepsec intenta llenar el vacío: agentes de IA que funcionan como un ingeniero de seguridad experimentado, pero de manera económica, rápida y local.

Arquitectura y capacidades

Deepsec utiliza Claude Opus 4.7 en modo máximo esfuerzo y GPT-5.5 con razonamiento de alto nivel. La herramienta puede funcionar localmente en su portátil — no es necesario configurar servicios en la nube. Para escalar a grandes monorepositorios, deepsec admite ejecución paralela a través de Vercel Sandboxes: durante el desarrollo, Vercel ejecutaba escaneos en más de 1000 instancias concurrentes. El escaneo de un repositorio grande puede tomar varios días en una sola máquina, por lo que el paralelismo es crítico.

Cómo funciona el escaneo

El proceso consta de cinco etapas:

• Scan — las expresiones regulares encuentran archivos y funciones sensibles a la seguridad
• Investigate — los agentes de codificación analizan en profundidad cada candidato, rastrean flujos de datos, verifican medidas de mitigación
• Revalidate — una segunda pasada de agentes filtra falsos positivos y reclasifica la severidad de cada hallazgo
• Enrich — el agente utiliza metadatos de git para identificar a los desarrolladores que deben corregir el problema
• Export — los resultados se transforman en instrucciones accionables para crear tickets en el sistema de seguimiento

Resultados en proyectos reales

Vercel probó deepsec en sus propios monorepositorios y en proyectos de clientes de código abierto. Los resultados impresionaron incluso a ingenieros de seguridad experimentados y fundadores. En el código abierto de dub.co (una plataforma para acortar enlaces y sistemas complejos de atribución para programas de afiliados) deepsec encontró errores ocultos en la lógica de autenticación — casos límite sutiles en las condiciones de autenticación. Los errores fueron realmente críticos: no fueron detectados por herramientas SAST estándar, pero podrían haber llevado a acceso no autorizado. Los resultados llevaron a Vercel a desarrollar un complemento de escáner personalizado para verificar todas las rutas de autenticación en sus propios monorepositorios.

«Recibimos muchos reportes de seguridad automatizados, pero la mayoría

de ellos son inaplicables. deepsec es el primer instrumento que encontró exactamente los problemas que un ingeniero de seguridad hubiera señalado, y además funciona en nuestra infraestructura.» — Steven Tey, fundador de dub.co

Lo que esto significa

La automatización del escaneo de seguridad está saliendo del área de servicios en la nube hacia el área de herramientas con enfoque de privacidad. Para desarrolladores y equipos de seguridad esto significa: se pueden buscar vulnerabilidades sin enviar código a la nube, con privacidad total, utilizando las claves API de Claude y OpenAI que ya tiene. Herramientas como deepsec están comenzando a llenar el vacío entre auditorías de seguridad profesionales costosas (que requieren semanas y cuestan cientos de miles) y escáneres automatizados ineficientes (que producen 95% de falsos positivos). Esto potencialmente podría convertirse en el estándar en el pipeline de seguridad para grandes empresas.