2 min de lectura

Deepsec apunta a errores antiguos en repositorios enormes

Deepsec de Vercel Labs es un escáner de vulnerabilidades autoalojado e impulsado por agentes, diseñado para grandes bases de código, con escaneos que pueden costar miles de dólares.

Imagen: Hacker News

Vercel Labs ha publicado Deepsec, un escáner de vulnerabilidades impulsado por agentes diseñado para ejecutarse dentro de la propia infraestructura de una empresa y revisar grandes repositorios existentes bajo demanda. La propuesta es directa: encontrar vulnerabilidades difíciles y de larga data que las comprobaciones estándar podrían haber pasado por alto.

Deepsec está afinado para usar modelos de primer nivel con ajustes de razonamiento altos, ajustables con --thinking-level. Eso también lo hace caro. Según la página del proyecto, los escaneos en grandes bases de código pueden costar miles o incluso decenas de miles de dólares, aunque la empresa dice que los clientes consideraron el gasto justificable porque les ayudó a parchear problemas rápidamente.

Para repositorios grandes, Deepsec paraleliza el trabajo entre máquinas worker. Si un escaneo se interrumpe o falla a medio camino, volver a ejecutar el mismo comando reanuda desde donde se detuvo, omitiendo los archivos que ya fueron analizados.

Recomendado

Microsoft convierte las passkeys de Entra en predeterminadas en septiembre

Para empezar, la configuración se centra en un entorno local dentro del repositorio objetivo:

  • npx deepsec init
  • cd .deepsec
  • pnpm install

A partir de ahí, se indica a los usuarios que hagan que un agente de codificación lea los archivos de configuración de Deepsec, resuma el repositorio en un breve INFO.md y luego ejecute comandos como scan, process, revalidate y export.

Deepsec admite un flujo de trabajo por etapas:

  • scan: descubrimiento rápido de candidatos usando coincidencias regex, sin IA
  • process: investigación basada en modelos que genera hallazgos y recomendaciones
  • process --diff: modo de revisión de pull request solo para archivos cambiados
  • triage: clasificación P0/P1/P2 de menor costo
  • revalidate: vuelve a comprobar los hallazgos y examina el historial de git en busca de correcciones

Para el acceso a modelos, Deepsec puede recurrir a inicios de sesión locales de Claude o Codex, pero la documentación indica que suscripciones como Claude Pro/Max y ChatGPT Plus son principalmente adecuadas para evaluación, no para escaneos de repositorios completos. Para uso en producción, la ruta recomendada es Vercel AI Gateway, que puede cubrir tanto Claude como Codex con una sola clave.

También ofrece ejecución distribuida opcional en microVMs de Vercel Sandbox para grandes monorepos. En ese modo, el árbol de trabajo local se archiva y se sube, mientras que .git se excluye.

La propia guía de seguridad del proyecto es tajante: trate Deepsec como un agente de codificación con acceso completo al shell del entorno donde se ejecuta. Vercel dice que la ejecución en sandbox reduce la exposición al mantener las claves API fuera del sandbox y restringir la salida de red (egress) de los workers a los hosts del agente de codificación.

Deepsec está disponible ahora bajo la licencia Apache 2.0.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía Hacker News

// Sigue leyendo