T
traeai
登录
返回首页
Vercel News

Introducing deepsec: The security harness for finding vulnerabilities in your codebase

8.7Score
Introducing deepsec: The security harness for finding vulnerabilities in your codebase

TL;DR · AI 摘要

Vercel 开源 deepsec,一个基于 AI 编程代理的安全扫描工具,可在本地运行,通过 Claude 和 Codex 深度分析代码库,自动识别高危漏洞并生成可操作修复建议,支持分布式执行与责任人追溯。

核心要点

  • deepsec 利用 Claude 和 Codex 等 AI 代理进行上下文感知的代码安全分析,显著提升漏洞发现准确率。
  • 支持本地部署与 Vercel Sandboxes 分布式扫描,兼顾隐私与大规模代码库处理能力。
  • 自动关联 Git 提交者,生成可直接转为工单的修复指令,打通安全发现到修复的闭环。

结构提纲

按章节快速跳转。

  1. §deepsec 介绍与核心价值

    Vercel 开源 deepsec,一个无需云端部署、基于 AI 代理的本地代码安全扫描工具。

  2. §架构与工作流程

    采用四步流程:扫描→调查→复核→增强,结合静态分析与 AI 代理进行深度漏洞挖掘。

  3. ·扫描与调查阶段

    先用正则定位敏感文件,再由 AI 代理追踪数据流、检查缓解措施并生成初步发现。

  4. ·复核与增强阶段

    二次代理验证减少误报,结合 Git 元数据识别责任人,提升修复效率。

  5. §生产环境验证与客户反馈

    已在 Vercel 自有代码库及多个客户项目中验证,获得高真阳性率与可操作性认可。

  6. ·分布式执行支持

    支持扩展至 Vercel Sandboxes,单次扫描可并行启动超千个沙箱,适用于超大代码库。

思维导图

用一张图看清主题之间的关系。

查看大纲文本(无障碍 / 无 JS 友好)
  • deepsec:AI驱动的代码安全扫描
    • 核心机制
      • AI代理(Claude/Codex)
      • 四步工作流:扫描→调查→复核→增强
    • 部署与扩展
      • 本地运行,无需云服务
      • 支持 Vercel Sandboxes 并行扩展
    • 价值输出
      • 高真阳性率发现
      • 自动关联 Git 责任人
      • 生成可转工单的修复指令

金句 / Highlights

值得收藏与分享的关键句。

  • deepsec runs on your own infrastructure and surfaces hard-to-find issues in large codebases.

    第一段

    ⬇︎ 下载 PNG𝕏 分享到 X
  • Scans start with static analysis to identify security-sensitive files, then coding agents investigate each candidate, tracing data flows, checking for mitigations...

    Architecture 部分

    ⬇︎ 下载 PNG𝕏 分享到 X
  • deepsec is the first tool that's surfaced the kind of issues we'd actually want a security engineer to flag, and it runs on infrastructure we control.

    Steven Tey 引言

    ⬇︎ 下载 PNG𝕏 分享到 X
  • The export command formats the findings as instructions so that they can be turned into tickets for humans and coding agents.

    Architecture 部分

    ⬇︎ 下载 PNG𝕏 分享到 X
  • Scans on Vercel’s codebases routinely scale up to 1,000+ concurrent sandboxes.

    Architecture 部分

    ⬇︎ 下载 PNG𝕏 分享到 X
#AI安全#代码扫描#Vercel#Claude#Codex
打开原文

3 分钟阅读

2026 年 5 月 4 日

今天,我们开源了 `deepsec`:一款由编码代理驱动的安全检测工具。它运行在您自己的基础设施上,能够发现大型代码库中难以察觉的问题。

您可以在自己的笔记本电脑上运行 deepsec,无需为特权源代码访问设置云服务。在推理阶段,您可以直接使用现有的 ClaudeCodex 订阅,无需额外配置。

扫描大型代码库可能需要在单台机器上花费数天时间。为并行运行研究任务,deepsec 支持可选地将任务分发到 Vercel Sandbox 进行远程执行。Vercel 自身代码库的扫描通常可扩展至 1,000 个以上并发 Sandbox。

[架构](http://vercel.com/blog/introducing-deepsec-find-and-fix-vulnerabilities-in-your-code-base#architecture)

deepsec 的核心使用 claudecodex,借助 Opus 4.7 最大努力模式和 GPT 5.5 高推理模式,对代码库进行定制化调查。

扫描流程从静态分析开始,识别出安全敏感文件,随后编码代理逐一调查每个候选文件,追踪数据流、检查缓解措施,并生成带有严重性评级的可操作发现。流程如下:

  • 扫描:首先仅使用正则表达式扫描所有文件,定位后续步骤将重点关注的安全敏感区域。
  • 调查:代理对扫描中识别出的每个文件进行调查。
  • 复核:第二个代理运行以验证调查结果,剔除误报并重新分类严重性等级。
  • 增强:调查完成后,代理利用 git 元数据及其他可选服务,识别负责修复每个问题的贡献者。
  • 导出export 命令将发现结果格式化为指令,以便转换为供人类和编码代理处理的工单。

Image 1Image 2Image 3Image 4

[在生产代码中运行 `deepsec`](http://vercel.com/blog/introducing-deepsec-find-and-fix-vulnerabilities-in-your-code-base#running-deepsec-on-production-code)

deepsec 在我们自己的单体仓库以及客户代码库中表现极为出色。开发期间,我们在多个 Vercel 客户和合作伙伴的开源仓库上运行了 deepsec

我们一直在寻找一款能对开源仓库进行安全扫描的工具。deepsec 的扫描最为彻底,发现的问题最多,且真阳性率很高。

Image 5

James PerkinsUnkey 联合创始人兼 CEO

例如,deepsec 扫描了 dub.co开源版本Dub 是一个面向联盟营销和短链接的营销归因平台,同时也提供 SaaS 服务。它具备身份验证访问、与数据库交互,并运行多个后端服务,形成了庞大的攻击面。当我们与创始人 Steven Tey 分享 deepsec 的发现时,他回复道:

我们收到大量自动化安全报告,但大多数都不可操作。deepsec 是第一个能发现我们真正希望安全工程师标记的问题的工具,并且它运行在我们可控的基础设施上。

Image 6

Steven Tey,dub.co 创始人兼 CEO

在扫描 Vercel 自身的单体仓库时,deepsec 发现了认证条件中的细微边界情况,促使我们开发了一个自定义扫描器插件,覆盖了我们代码中所有认证路径。

[误报与最佳使用场景](http://vercel.com/blog/introducing-deepsec-find-and-fix-vulnerabilities-in-your-code-base#false-positives-and-best-uses)

deepsec 的部分发现可能是误报。根据我们的经验,误报率约为 10-20%。鉴于真阳性发现对我们自身研究的巨大价值,我们对这一结果感到满意,并专门设计了 revalidate 步骤,让代理进一步验证其发现,以降低误报率。

deepsec 最适用于应用程序和服务。它也可用于库和框架,但可能需要自定义提示词和扫描器。

[自定义与插件](http://vercel.com/blog/introducing-deepsec-find-and-fix-vulnerabilities-in-your-code-base#customization-and-plugins)

deepsec 内置插件系统,便于适配您的代码库。最常见的插件是自定义扫描器:针对您的认证模型、数据层或团队规范优化的正则匹配器。我们建议您结合编码代理使用 deepsec,并让代理根据初始扫描结果编写这些匹配器:

检查之前对 ./my-app 的运行记录。是否有我们需要添加的自定义 deepsec 匹配器,以发现更多潜在漏洞?

[我需要访问特殊的“网络安全模型”吗?](http://vercel.com/blog/introducing-deepsec-find-and-fix-vulnerabilities-in-your-code-base#do-i-need-access-to-a-special-%E2%80%9Ccyber-model%E2%80%9D)

Anthropic 和 OpenAI 均提供了其最强大模型的“网络安全”版本,这些模型经过微调,可处理基础模型无法处理的安全任务。deepsec 支持这些模型,但也能完全正常运行于现成的通用模型上。

deepsec 内置了一个分类器,在每个研究步骤后检查任务是否被拒绝。根据我们的经验,对于 deepsec 所使用的提示词,Opus 4.7 和 GPT 5.5 均极少出现拒绝情况,无需担忧。

[快速上手](http://vercel.com/blog/introducing-deepsec-find-and-fix-vulnerabilities-in-your-code-base#getting-started)

要开始使用,请在您的代码库根目录运行 npx deepsec init。该命令将创建一个名为 ./.deepsec 的目录,用于配置系统并存储您的 deepsec 调查目录。之后,请根据命令输出继续操作。完整文档请参阅 GitHub

[欢迎反馈](http://vercel.com/blog/introducing-deepsec-find-and-fix-vulnerabilities-in-your-code-base#feedback-welcome)

尽管我们已广泛使用 deepsec,但它仍处于早期发展阶段。欢迎在 GitHub 上提供反馈和贡献。

AI 可能会生成不准确的信息,请核实重要内容