⚡ DeepSec：2.5k Stars 的 Vercel 出品 AI 安全审计，让 Coding Agent 帮你找 0day

⚡ DeepSec：2.5k Stars 的 Vercel 出品 AI 安全审计，让 Coding Agent 帮你找 0day

项目地址：vercel-labs/deepsec | ⭐ 2.5k Stars | 🛠 TypeScript | 作者 Vercel Labs

老实说，现在写代码有 AI 帮忙，但找漏洞这事一直靠老司机手动翻代码。Vercel 最近搞了个狠东西 —— DeepSec，一个让 Coding Agent 帮你做安全审计的工具。不是那种扫个依赖版本就完事的玩具，是真让 Claude/Codex 一行行读你的代码找 0day。

装的不是自己搞的一套扫描器，而是直接在你代码库里搭了个 .deepsec/ 目录，用你熟悉的 AI 编码 Agent 做深度审计。

🔧 一行命令初始化

npx deepsec init       # 在当前 repo 创建 .deepsec/ 目录
cd .deepsec
pnpm install           # 安装 deepsec

init 会自动检测你的项目结构，生成配置模板。然后让你的 coding agent 读 SETUP.md 做一次项目了解，之后就能开扫了。

🚀 核心工作流

DeepSec 的工作流分三步走：

pnpm deepsec scan          # 第1步：用正则快速扫描，找可疑代码位置
pnpm deepsec process       # 第2步：AI 深度调查，输出发现 + 修复建议
pnpm deepsec revalidate    # 第3步（可选）：降低误报率
pnpm deepsec export --format md-dir --out ./findings  # 导出报告

scan 这一步很快 —— 纯正则匹配，不调 AI。真正烧钱的是 process，它调用你配置的 Claude/Codex 对每个可疑点做深度调查。

最骚的操作是 resumable：扫到一半断了？重新跑一遍命令，它自动跳过已分析的文件，只处理剩下的。对大仓库来说这太关键了。

⚡ 分布式执行

大 monorepo 可以分发到 Vercel Sandbox 微 VM 上并行跑：

pnpm deepsec sandbox process --project-id my-app --sandboxes 10 --concurrency 4

Sandbox 模式下 API Key 无法被泄露 —— 密钥注入在 sandbox 外部完成，worker VM 的网络出口只允许连 AI 模型 API。

🛠 配置参考

在 .deepsec/deepsec.config.ts 里配：

import { defineConfig } from "deepsec/config";

export default defineConfig({
  projects: [
    { id: "my-app", root: "../my-app" },
    { id: "service", root: "../service" },
  ],
});

支持自定义 INFO.md（项目上下文注入到 AI prompt）、priorityPaths（优先扫描的核心路径）、plugins 插件系统。

🎯 实际体验

这东西跟传统的 SAST（SonarQube、Semgrep） 不是一个赛道。DeepSec 不靠规则匹配，靠 AI 理解代码逻辑。能翻出来的漏洞类型更深 —— 业务逻辑漏洞、权限绕过、SSRF、不安全的反序列化，这些传统工具容易漏的坑它都能覆盖。

代价？一次全量扫描确实贵（几千到几万美元），但 Vercel 的客户反馈是 值 —— 翻出来的漏洞如果不修，后续损失更大。

要点总结