Vercel a lancé deepsec — un scanner IA pour détecter les vulnérabilités cachées dans le code

Vercel a lancé deepsec — un outil open-source, une solution IA pour détecter les vulnérabilités dans les grandes bases de code. C'est le premier scanner de sécurité qui s'exécute sur votre infrastructure, avec vos clés API, sans envoyer le code source vers le cloud. L'idée est simple : au lieu d'envoyer du code sensible vers des serveurs tiers, les agents Claude et GPT l'analysent localement.

Pourquoi deepsec ?

Les scanners de sécurité existants (comme les outils SAST) produisent souvent de nombreux faux positifs — tellement que leurs résultats deviennent inutilisables. Une autre approche consiste à engager un cabinet d'audit de sécurité. Mais c'est coûteux et lent. deepsec tente de combler le fossé : des agents IA qui travaillent comme un ingénieur en sécurité expérimenté, mais à moindre coût, rapidement et localement.

Architecture et capacités

Deepsec utilise Claude Opus 4.7 en mode max effort et GPT-5.5 avec un raisonnement de haut niveau. L'outil peut s'exécuter localement sur votre ordinateur portable — aucune configuration de services cloud n'est nécessaire. Pour la mise à l'échelle sur les grands monorépôts, deepsec supporte l'exécution parallèle via Vercel Sandboxes : lors du développement, Vercel a exécuté les analyses sur plus de 1000 instances simultanées. L'analyse d'un grand référentiel peut prendre plusieurs jours sur une seule machine, donc le parallélisme est critique.

Comment fonctionne l'analyse

Le processus comprend cinq étapes :

• Scan — les expressions régulières trouvent les fichiers et fonctions sensibles à la sécurité
• Investigate — les agents de codage analysent en profondeur chaque candidat, tracent les flux de données, vérifient les mesures d'atténuation
• Revalidate — une deuxième passe des agents élimine les faux positifs et reclasse la gravité de chaque résultat
• Enrich — l'agent utilise les métadonnées git pour identifier les développeurs qui doivent corriger le problème
• Export — les résultats sont convertis en instructions exploitables pour créer des tickets dans le système de suivi

Résultats sur des projets réels

Vercel a testé deepsec sur ses propres monorépôts et sur les projets open-source de clients. Les résultats ont impressionné même les ingénieurs en sécurité expérimentés et les fondateurs. Sur le code ouvert de dub.co (une plateforme de raccourcissement de liens et de systèmes complexes d'attribution pour les programmes d'affiliation), deepsec a détecté des erreurs cachées dans la logique d'authentification — des cas limites subtils dans les conditions d'authentification. Les erreurs étaient véritablement cryptiques : elles n'étaient pas détectées par les outils SAST standard, mais auraient pu entraîner un accès non autorisé. Les résultats ont poussé Vercel à développer un plugin de scanner personnalisé pour vérifier tous les chemins d'authentification dans ses propres monorépôts.

«

Nous recevons beaucoup de rapports de sécurité automatisés, mais la plupart d'entre eux sont inutilisables. deepsec est le premier outil qui a détecté les problèmes exacts que flaggerait un ingénieur en sécurité, tout en fonctionnant sur notre infrastructure. » — Steven Tey, fondateur de dub.co

Ce que cela signifie

L'automatisation du scanning de sécurité passe de la sphère des services cloud à celle des outils respectueux de la vie privée. Pour les développeurs et les équipes de sécurité, cela signifie : on peut chercher des vulnérabilités sans envoyer le code vers le cloud, avec une confidentialité totale, en utilisant les clés API Claude et OpenAI que vous possédez déjà. Des outils comme deepsec commencent à combler le fossé entre les audits de sécurité professionnels coûteux (qui demandent des semaines et coûtent des centaines de milliers) et les scanners automatisés inefficaces (qui produisent 95% de faux positifs). Cela pourrait potentiellement devenir la norme dans le pipeline de sécurité des grandes entreprises.