Vercel выпустила deepsec — AI-сканер для поиска скрытых уязвимостей в коде

Vercel выпустила open-source инструмент deepsec — AI-harness для поиска уязвимостей в больших кодовых базах. Это первый security-сканер, который работает на вашей инфраструктуре, с вашими API-ключами, без отправки исходного кода в облако. Идея простая: вместо того чтобы отправлять sensitive код на чужие серверы, агенты Claude и GPT анализируют его локально.

Зачем нужен deepsec

Existing security-сканеры (вроде SAST-инструментов) часто выдают множество ложных срабатываний — так много, что их результаты становятся неприменимыми. Другой подход — найми security-audit firma. Но это дорого и долго. deepsec пытается заполнить зазор: AI-агенты, которые работают как опытный security-инженер, но дешево, быстро и локально.

Архитектура и возможности

Deepsec использует Claude Opus 4.7 в режиме max effort и GPT-5.5 с высокоуровневым reasoning. Инструмент может работать локально на вашем ноутбуке — для этого не нужно настраивать облачные сервисы. Для масштабирования на большие монорепозитории deepsec поддерживает параллельное выполнение через Vercel Sandboxes: во время разработки Vercel запускала сканы на 1000+ конкурентных инстансов. Время сканирования большого репозитория может занять несколько дней на одной машине, поэтому параллелизм критичен.

Как работает сканирование

Процесс состоит из пяти этапов: Scan — регулярные выражения находят security-sensitive файлы и функции Investigate — coding agents углубленно анализируют каждый кандидат, трассируют потоки данных, проверяют смягчающие меры Revalidate — второй проход агентов отсеивает ложные срабатывания и переклассифицирует severity каждой находки Enrich — агент использует git-metadata для идентификации разработчиков, которые должны исправить issue * Export — результаты преобразуются в actionable инструкции для создания tickets в систему tracking ## Результаты на реальных проектах Vercel протестировала deepsec на собственных монорепозиториях и на открытых проектах клиентов. Результаты впечатлили даже опытных security-инженеров и founders. На открытом коде dub.

co (платформе для сокращения ссылок и сложных систем attribution для affiliate programs) deepsec нашла скрытые ошибки в auth-логике — subtle edge cases в условиях аутентификации. Ошибки были действительно криптические: они не обнаруживались стандартными SAST-инструментами, но могли привести к несанкционированному доступу. Результаты заставили Vercel разработать custom scanner plugin для проверки всех путей authentication в её собственных монорепозиториях.

«Мы получаем много автоматических security-отчётов, но большинство из

них неприменимы. deepsec — первый инструмент, который нашёл именно те issues, которые flagged бы security-инженер, и при этом работает на нашей инфраструктуре.» — Steven Tey, founder dub.co ## Что это значит Автоматизация security-сканирования выходит из области облачных сервисов в область privacy-first tools. Для разработчиков и security-teams это значит: можно искать уязвимости без отправки кода в облако, с полной приватностью, используя уже имеющиеся API-ключи Claude и OpenAI. Инструменты вроде deepsec начинают заполнять нишу между дорогими профессиональными security-audits (которые требуют недели и стоят сотни тысяч) и неэффективными автоматизированными сканерами (которые выдают 95% ложных срабатываний). Это потенциально может стать стандартом в security-pipeline для крупных компаний.