- deepsec là security harness mã nguồn mở từ Vercel Labs, dùng Claude Opus 4.7 và GPT 5.5 để rà soát codebase tìm lỗ hổng bảo mật.
- Công cụ scale lên 1.000+ Vercel Sandbox song song, cắt thời gian audit từ nhiều tháng xuống vài phút.
- Chi phí ~$25-60 cho 100 file, Apache 2.0 license, chạy hoàn toàn trên hạ tầng của bạn.
TL;DR
deepsec là một agent orchestrator mã nguồn mở từ Vercel Labs, ra mắt ngày 4 tháng 5 năm 2026. Thay vì thuê nhóm chuyên gia bảo mật ngồi đọc code hàng tháng trời, bạn chạy npx deepsec init và để hàng nghìn AI agent làm việc song song - sử dụng Claude Opus 4.7 và GPT 5.5 để phát hiện lỗ hổng mà các công cụ SAST truyền thống bỏ qua.
Apache 2.0 license, chạy trên hạ tầng của bạn
Scale lên 1.000+ Vercel Sandbox song song
Chi phí: ~$25-60 cho 100 file, ~$500-1.200 cho 2.000 file
False positive rate: ~10-20% (sau revalidation)
Vấn đề mà deepsec giải quyết
Bảo mật codebase là bài toán khó theo nhiều chiều: các lỗ hổng nghiêm trọng nhất thường là logic bug - authentication edge case, broken access control, data flow không an toàn - không hiện ra khi bạn quét với Semgrep hay SonarQube vì chúng chỉ so khớp pattern, không suy luận về ngữ nghĩa.
Kiểm toán thủ công thì chính xác hơn nhưng đắt và chậm. Với một monorepo hàng nghìn file, một nhóm security engineer cần nhiều tháng để hoàn thành một vòng review - và vẫn có thể bỏ sót những lỗi ẩn sâu trong luồng dữ liệu nhiều bước.
deepsec tiếp cận theo hướng khác: dùng AI agent mô phỏng cách một hacker đọc code - truy vết luồng dữ liệu, kiểm tra điều kiện biên, phân tích lịch sử commit để xem ai thay đổi gì và khi nào.
Pipeline 5 bước
deepsec chạy qua 5 giai đoạn tuần tự:
Scan - Regex matcher quét nhanh toàn bộ codebase, không dùng AI, đánh dấu các file có khả năng chứa điểm nhạy cảm về bảo mật.
Process - AI agent (Claude Opus 4.7 hoặc GPT 5.5) phân tích từng candidate, truy vết data flow, kiểm tra mitigation và tạo báo cáo có severity rating.
Triage - Phân loại finding theo mức độ: P0/P1/P2. Bước này cho phép lọc và ưu tiên xử lý.
Revalidate - Re-check toàn bộ finding, đọc lại code và lịch sử git để đưa ra verdict cuối. Bước này cắt false positive rate xuống còn ~10-20%.
Export - Xuất kết quả dưới dạng markdown (mỗi finding một file, sắp xếp theo severity) hoặc JSON để tích hợp vào issue tracker.
Toàn bộ pipeline là idempotent - bạn có thể dừng giữa chừng và resume mà không mất dữ liệu.
Bắt đầu trong vài lệnh
Khởi tạo tại root của repo:
npx deepsec init
cd .deepsec
pnpm installCấu hình API key trong .env.local (Vercel AI Gateway, Anthropic direct, hoặc OpenAI), sau đó chạy pipeline đầy đủ:
pnpm deepsec scan
pnpm deepsec process --concurrency 5
pnpm deepsec revalidate --min-severity HIGH
pnpm deepsec export --format md-dir --out ./findingsMuốn tiết kiệm chi phí, dùng GPT 5.5 thay Claude:
pnpm deepsec process --agent codex --model gpt-5.5Scale với Vercel Sandbox
Điểm khác biệt lớn nhất so với các công cụ cùng loại: deepsec được tối ưu để chạy trên Vercel Sandbox - môi trường microVM cho phép spin up hàng nghìn instance song song. Vercel đã test với monorepo nội bộ và đẩy lên tới 1.000+ concurrent sandbox.
Thay vì chờ nhiều ngày khi scan single machine, bạn fan out với:
pnpm deepsec sandbox process --project-id my-app --sandboxes 10 --concurrency 4Quan trọng: source code chỉ ra khỏi máy bạn khi bạn chủ động chọn dùng Vercel Sandbox. Nếu chạy local, toàn bộ codebase không rời khỏi infrastructure của bạn.
deepsec vs SAST truyền thống
Tiêu chí | Semgrep / SonarQube | deepsec |
|---|---|---|
Phương pháp | Pattern matching, AST | LLM reasoning + data flow tracing |
Logic bug | Hạn chế | Phát hiện được |
Auth edge case | Hay bỏ sót | Truy vết theo luồng |
Chi phí | Freemium / SaaS | Trả theo AI inference |
Privacy | Cloud upload (một số) | Local hoặc Vercel Sandbox |
Tốc độ | Nhanh (vài phút) | Chậm hơn, nhưng sâu hơn nhiều |
deepsec không thay thế SAST mà bổ sung cho nó: SAST scan nhanh và phát hiện known pattern; deepsec đào sâu vào logic flow và tìm những gì SAST bỏ qua.
Chi phí & giới hạn
Tool hoàn toàn miễn phí (Apache 2.0), bạn chỉ trả tiền AI inference:
~$25-60 cho 100 file (Claude Opus 4.7)
~$500-1.200 cho 2.000 file
Dùng GPT 5.5 để giảm chi phí đáng kể
Một số điểm cần biết trước:
False positive 10-20% - findings vẫn cần human review, không plug-and-play
Single-machine scan trên monorepo lớn có thể mất nhiều ngày - cần Vercel Sandbox để có tốc độ
Dự án còn early-stage, API và config có thể thay đổi
Ai nên thử ngay
deepsec phù hợp nhất cho:
Engineering lead / security team cần audit codebase trước một release quan trọng
OSS maintainer - Guillermo Rauch đang offer sponsor free run, DM @rauchg trên X
Startup chưa có dedicated security engineer nhưng cần mức assurance cao hơn linter
Team đang dùng SAST nhưng findings quá nhiều noise, không actionable
Không phù hợp cho: script nhỏ, pure infrastructure code (Terraform, K8s config), hoặc khi bạn chưa sẵn sàng review output thủ công.