出典:vercel.com
詳細を読む
Vercelは2026年5月4日、コーディングエージェントを活用したセキュリティスキャナ「deepsec」をオープンソースとして公開しました。このツールは自社インフラ上で動作し、大規模コードベースに潜む発見困難な脆弱性を検出します。推論にはClaude OpusやGPT 5.5のサブスクリプションをそのまま利用でき、追加セットアップなしでノートPC上でも実行可能です。
deepsecのアーキテクチャは5段階で構成されています。まず正規表現によるスキャンでセキュリティ上重要なファイルを特定し、次にエージェントが各ファイルのデータフローを追跡して調査します。さらに別のエージェントが再検証を行い偽陽性を除去、gitメタデータから修正担当者を特定し、最終的にチケット化可能な形式でエクスポートします。
大規模リポジトリのスキャンには単一マシンで数日かかる場合がありますが、Vercel Sandboxesへのファンアウトにより1000以上の並列実行が可能です。Vercel自身のモノレポでは認証条件の微妙なエッジケースを発見し、カスタムスキャナプラグインの開発につながりました。
マーケティングプラットフォームdub.coへの試験適用では、創業者から「実際にセキュリティエンジニアが指摘すべき問題を初めて自動で発見したツール」と評価されています。偽陽性率は10〜20%程度で、再検証ステップによりさらなる削減を図っています。
deepsecはアプリケーションやサービス向けに最適化されており、プラグインシステムによるカスタマイズが可能です。専用のサイバーモデルがなくても市販モデルで十分機能し、セキュリティタスクの拒否もほぼ発生しないとVercelは報告しています。