Vercel lançou deepsec — scanner de IA para encontrar vulnerabilidades ocultas em código

Vercel lançou o deepsec — uma ferramenta de código aberto para encontrar vulnerabilidades em grandes bases de código usando IA. Este é o primeiro scanner de segurança que funciona em sua própria infraestrutura, com suas próprias chaves de API, sem enviar o código-fonte para a nuvem. A ideia é simples: em vez de enviar código sensível para servidores de terceiros, agentes Claude e GPT o analisam localmente.

Por que o deepsec é necessário

Os scanners de segurança existentes (como ferramentas SAST) frequentemente geram muitos falsos positivos — tantos que seus resultados se tornam inaplicáveis. Outra abordagem é contratar uma firma de auditoria de segurança. Mas isso é caro e demorado. O deepsec tenta preencher essa lacuna: agentes de IA que funcionam como um engenheiro de segurança experiente, mas de forma barata, rápida e local.

Arquitetura e capacidades

O deepsec usa Claude Opus 4.7 em modo de esforço máximo e GPT-5.5 com raciocínio de alto nível. A ferramenta pode funcionar localmente em seu laptop — não é necessário configurar serviços em nuvem. Para escalar para grandes monorrepositórios, o deepsec suporta execução paralela através do Vercel Sandboxes: durante o desenvolvimento, a Vercel executava scans em 1000+ instâncias simultâneas. O tempo de varredura de um grande repositório pode levar vários dias em uma única máquina, portanto o paralelismo é crítico.

Como funciona a varredura

O processo consiste em cinco estágios:

• Scan — expressões regulares encontram arquivos e funções sensíveis à segurança
• Investigate — agentes de codificação analisam profundamente cada candidato, rastreiam fluxos de dados, verificam mitigações
• Revalidate — uma segunda passagem de agentes filtra falsos positivos e reclassifica a severidade de cada descoberta
• Enrich — o agente usa metadados do git para identificar os desenvolvedores que devem corrigir a questão
• Export — os resultados são transformados em instruções acionáveis para criar tickets no sistema de rastreamento

Resultados em projetos reais

A Vercel testou o deepsec em seus próprios monorrepositórios e em projetos abertos de clientes. Os resultados impressionaram até engenheiros de segurança experientes e fundadores. No código aberto do dub.co (uma plataforma para encurtamento de URLs e sistemas complexos de atribuição para programas de afiliados), o deepsec encontrou erros ocultos na lógica de autenticação — casos extremos sutis nas condições de autenticação. Os erros eram realmente obscuros: não eram detectados por ferramentas SAST padrão, mas poderiam ter levado a acesso não autorizado. Os resultados levaram a Vercel a desenvolver um plugin de scanner personalizado para verificar todos os caminhos de autenticação em seus próprios monorrepositórios.

"Recebemos muitos relatórios de segurança automatizados, mas a maioria deles é inaplicável.

O deepsec é a primeira ferramenta que encontrou exatamente os problemas que um engenheiro de segurança teria sinalizado, e ainda funciona em nossa própria infraestrutura." — Steven Tey, fundador do dub.co

O que isso significa

A automação da varredura de segurança está saindo da área de serviços em nuvem para a área de ferramentas focadas em privacidade. Para desenvolvedores e equipes de segurança, isso significa: você pode procurar vulnerabilidades sem enviar código para a nuvem, com privacidade total, usando as chaves de API Claude e OpenAI que você já possui. Ferramentas como o deepsec começam a preencher a lacuna entre auditorias de segurança profissionais caras (que exigem semanas e custam centenas de milhares) e scanners automatizados ineficientes (que geram 95% de falsos positivos). Isso potencialmente pode se tornar o padrão nos pipelines de segurança para grandes empresas.