Deepsec 发布最新 AI 安全解决方案
速览
Deepsec 近日发布一套基于深度学习的AI安全解决方案,旨在应对日益复杂的网络攻击。该方案利用大模型实时分析异常行为,提升威胁识别准确率。此举标志着AI技术在网络安全领域的深度应用,有望推动行业防护标准升级。
AI 深度解读
背景
随着软件代码库规模不断膨胀,传统静态分析工具往往难以发现埋藏在深层代码中的复杂漏洞。开发者需要一种能深入理解业务逻辑、利用大语言模型(LLM)进行智能推理的扫描方案。deepsec 正是为此而生——它是一个基于 Agent 的漏洞扫描器,可部署在自有基础设施中,专为大规模仓库的按需代码审查而优化。
核心内容
deepsec 是一个由 Agent 驱动的漏洞扫描工具,用户可以在自己的基础设施中运行。它针对现有大型代码仓库进行全量、按需的代码审查,旨在暴露那些长期潜伏在应用中、难以被传统工具发现的深层问题。deepsec 默认配置使用当前最佳的模型,并开启最大思考级别(可通过 --thinking-level 参数调节,详见 docs/models.md)。这意味着对于大型代码库,一次扫描的成本可能高达数千甚至数万美元。但客户认为,如果能在短时间内修复那些原本可能被忽略的漏洞,这笔投入是值得的。
对于大型代码库,deepsec 会并行地将工作分发给多台工作机器。如果运行中途中断或出错,只需重新运行相同的命令 —— deepsec 会从断点处继续,跳过已分析的文件,只处理剩余部分。
使用方式:进入待扫描的仓库根目录,执行:
npx deepsec init # 创建 .deepsec/ 目录,并将该仓库注册为第一个项目
cd .deepsec
pnpm install # 从 npm 安装 deepsec
# 根据 init 输出的提示继续进行
然后,让你的编码助手(Coding Agent)引导安装。打开你选择的 Agent,提示它:
- 阅读
.deepsec/node_modules/deepsec/SKILL.md了解工具。 - 阅读
.deepsec/data/<id>/SETUP.md并遵循指示:快速浏览该仓库的 README、任何AGENTS.md/CLAUDE.md以及若干代表性代码文件,然后替换.deepsec/data/<id>/INFO.md的每个部分。保持简短 —— 目标总行数 50–100 行。每部分选 3–5 个示例,不要穷举。命名原语(如 auth helpers、middleware),但不要写行号。跳过通用的 CWE 类别 —— 内置的匹配器会覆盖它们。只覆盖项目特有的内容。INFO.md 会被注入到每个扫描批次中;冗长的上下文会稀释信号。
然后在 .deepsec/ 目录内执行扫描:
pnpm deepsec scan
pnpm deepsec process
pnpm deepsec revalidate # 可选,降低误报率
pnpm deepsec export --format md-dir --out ./findings
如果你觉得 deepsec 应该查看更多代码部分,可以给它提供编写匹配器的文档,以在代码库中找到更有价值的起点。
相关文档包括:
docs/getting-started.md—— 首次扫描流程docs/reviewing-changes.md——process --diff用于 PR 审查和 CI 门控docs/supported-tech.md—— deepsec 开箱即识别的框架和生态系统docs/writing-matchers.md—— 提示你的编码助手扩展匹配器集docs/configuration.md——deepsec.config.ts参考docs/plugins.md—— 插件编写docs/models.md—— 模型选择、默认值、拒绝、未来模型docs/vercel-setup.md—— AI Gateway + Vercel Sandbox 密钥/令牌docs/architecture.md—— 管道内部结构docs/data-layout.md——data/模式(FileRecord, RunMeta 等)docs/faq.md—— 成本、模型选择、沙箱模式、误报率samples/—— 可复制粘贴的起点(目前有webapp/)CONTRIBUTING.md—— 仓库布局、开发工作流
在本地运行时,如果本机已登录,deepsec 会回退使用你现有的 claude/codex 订阅。Claude Pro/Max、ChatGPT Plus 等订阅可用于评估 deepsec,但通常没有足够的额度用于完整的仓库扫描。对于真正的扫描,请使用 Vercel AI Gateway。一个密钥即可覆盖 Claude 和 Codex,网关的默认配额为高并发研究而设计。
AI_GATEWAY_API_KEY=vck_...
详见 docs/vercel-setup.md 获取密钥以及 Vercel Sandbox 设置。若要绕过网关,显式设置 ANTHROPIC_AUTH_TOKEN + ANTHROPIC_BASE_URL(或 OpenAI 对应的环境变量)。显式值总是优先于 AI_GATEWAY_API_KEY 扩展。
如果 process 或 revalidate 运行因上游凭证额度或配额耗尽而停止,deepsec 会优雅地停止并告知你充值位置。之后重新运行相同的命令,它会从断点处继续。
大型单体仓库可以将工作分发到 Vercel Sandbox 微虚拟机:
pnpm deepsec sandbox process --project-id my-app --sandboxes 10 --concurrency 4
需要 Vercel 账户。本地工作树会被打包上传;.git 被排除在外。支持本地 OIDC 令牌和 CI 访问令牌 —— 详见 docs/vercel-setup.md。
安全方面:请将 deepsec 视为一个拥有运行环境完整 shell 访问权限的编码 Agent。它设计为运行在受信任的输入(你的源代码)上,但你可能仍然担心由外部依赖或供应商代码导致的提示注入。在沙箱中运行(见上文)可以显著限制潜在暴露:
- 编码 Agent 的 API 密钥注入在沙箱外部,因此无法被窃取。
- 对于工作沙箱,沙箱的网络出站只限于编码 Agent 主机(引导过程中允许出站,但引导过程不运行编码 Agent)。
关键要点
- 基于 Agent 的漏洞扫描:deepsec 利用 LLM 智能推理,能发现传统工具难以捕捉的深层漏洞。
- 可部署在自有基础设施:代码和数据不出企业边界,安全可控。
- 针对大规模仓库优化:支持并行分发,中断后可从断点恢复,无需重新扫描已分析文件。
- 成本高昂但值得:默认使用顶级模型并开启最大思考级别,大型代码库扫描费可达数万美元,但客户认为能快速修复关键漏洞是值得的。
- 使用方式简单:通过
npx deepsec init初始化,之后用pnpm deepsec系列命令执行扫描、处理和导出。 - 支持编码 Agent 引导:可通过现有 Agent(如 Claude、Codex)自动读取文档并配置
INFO.md,减少手动操作。 - 灵活的模型与凭证管理:本地可回退到个人订阅,生产环境推荐使用 Vercel AI Gateway 以获得高并发额度;也可显式设置 API 密钥绕过网关。
- 沙箱支持:可借助 Vercel Sandbox 微虚拟机进行分布式扫描,并限制网络暴露面,降低提示注入风险。
- 丰富的文档体系:提供从入门到架构、插件编写、FAQ 等完整文档,便于用户快速上手和定制。
意义与影响
deepsec 的出现代表了代码安全扫描工具向 LLM 驱动、Agent 化方向的重要演进。传统静态分析工具依赖规则匹配,难以理解复杂业务逻辑和上下文,而 deepsec 通过让 Agent 像人类开发者一样通读代码、进行推理,能够发现隐藏更深的漏洞。这种模式虽然成本较高,但显著提升了漏洞发现的速度和准确性,尤其适合对安全要求极高的企业级应用。
此外,deepsec 的设计理念强调灵活性和可控性:用户可自由选择模型、调整思考级别,甚至自行编写匹配器扩展扫描能力。支持断点续扫、并行分发、沙箱隔离
