Penyedia platform cloud untuk pengembang, Vercel, resmi mengumumkan peluncuran dan open source alat keamanan terbaru bernama deepsec. Produk ini diklaim sebagai “security harness” yang memanfaatkan agen pemrograman (coding agents) untuk menemukan kerentanan yang sulit terdeteksi pada codebase berukuran besar, termasuk monorepo produksi.
Berbeda dengan banyak layanan pemindai keamanan berbasis cloud, deepsec dirancang agar dapat dijalankan langsung di infrastruktur milik pengguna. Pengembang dapat menjalankannya di laptop tanpa perlu menyiapkan layanan cloud khusus untuk mengakses source code yang bersifat sensitif. Untuk proses inferensi AI, deepsec mendukung penggunaan langganan model yang sudah dimiliki, seperti Claude dan model dari OpenAI, tanpa konfigurasi tambahan yang rumit.
Secara arsitektur, deepsec mengandalkan model-model tingkat lanjut seperti Opus 4.7 dan GPT 5.5 untuk melakukan investigasi terarah terhadap codebase. Proses pemindaian dimulai dengan analisis statis berbasis regex untuk mengidentifikasi bagian-bagian kode yang berpotensi sensitif secara keamanan. Setelah itu, agen-agen AI menelusuri alur data, memeriksa mitigasi yang sudah ada, hingga menghasilkan temuan lengkap dengan klasifikasi tingkat keparahan.
Vercel menjelaskan alur kerja deepsec dalam beberapa tahap utama. Pertama, tahap “scan” melakukan penyaringan awal dengan pencarian pola (regex) pada seluruh file proyek untuk menemukan area berisiko. Kedua, tahap “investigate” di mana agen AI menelaah setiap kandidat file yang terdeteksi. Ketiga, tahap “revalidate” digunakan untuk memverifikasi kembali hasil investigasi, mengurangi false positive, dan menyesuaikan kembali tingkat keparahan temuan. Keempat, tahap “enrich” memanfaatkan metadata git dan layanan tambahan untuk memetakan siapa kontributor yang paling relevan menangani tiap isu. Terakhir, tahap “export” menyusun temuan menjadi instruksi yang siap diubah menjadi tiket untuk pengembang maupun agen coding lainnya.
Untuk mengatasi tantangan pemindaian pada repositori yang sangat besar, deepsec juga mendukung eksekusi paralel melalui Vercel Sandboxes. Vercel mengklaim, pemindaian terhadap codebase internal mereka secara rutin dapat diskalakan hingga lebih dari 1.000 sandbox yang berjalan bersamaan. Pendekatan ini menjawab kendala klasik di mana pemindaian monorepo kompleks bisa memakan waktu berhari-hari jika hanya dijalankan pada satu mesin.
Dalam pengujian internal dan kolaborasi dengan pelanggan, Vercel menyebut deepsec telah digunakan pada berbagai repositori open source, termasuk project milik pelanggan seperti dub.co, sebuah platform attribution marketing dan short link. Pendiri dub.co, Steven Tey, menilai hasil pemindaian deepsec lebih relevan dibandingkan laporan otomatis lain yang sering kali tidak dapat ditindaklanjuti. Menurutnya, deepsec adalah alat pertama yang mengangkat isu-isu yang setara dengan hal-hal yang layak diangkat oleh seorang engineer keamanan, sekaligus tetap berjalan di infrastruktur yang mereka kontrol sendiri.
Vercel mengakui bahwa, seperti banyak alat keamanan lainnya, deepsec bukan tanpa false positives. Namun berdasarkan pengalaman mereka, tingkat false positive berada di kisaran 10–20 persen, angka yang masih dapat diterima mengingat nilai temuan true positive yang signifikan. Untuk menekan tingkat kesalahan, tahap “revalidate” dihadirkan agar agen AI bisa memeriksa ulang dan memfilter hasil temuan.
Salah satu kekuatan lain deepsec terletak pada sistem plugin yang memungkinkan penyesuaian dengan karakteristik tiap codebase. Pengembang dapat menambahkan custom scanner berupa matcher regex yang disesuaikan dengan model autentikasi, lapisan data, maupun konvensi penulisan kode tim. Vercel bahkan menyarankan penggunaan agen coding untuk membantu menulis matcher baru berdasarkan temuan dari pemindaian awal.
Terkait model AI, deepsec dapat bekerja dengan model “cyber” khusus yang ditawarkan penyedia seperti Anthropic dan OpenAI, namun juga tetap berfungsi penuh dengan model umum (off-the-shelf). Vercel menyertakan classifier untuk memeriksa apakah suatu tugas ditolak model pada setiap langkah penelitian, dan dalam praktik mereka, penolakan hampir tidak menjadi masalah untuk konfigurasi prompt yang digunakan pada Opus 4.7 maupun GPT 5.5.
Untuk mulai menggunakan deepsec, pengembang cukup menjalankan perintah npx deepsec init di root repositori. Perintah ini akan membuat direktori ./.deepsec yang berisi konfigurasi sistem dan katalog hasil investigasi. Selanjutnya, pengguna dapat mengikuti panduan yang muncul di terminal dan mengacu pada dokumentasi lengkap yang tersedia di GitHub.
Dari sudut pandang tren industri, peluncuran deepsec menggarisbawahi semakin eratnya integrasi antara keamanan aplikasi dan agen AI. Pendekatan Vercel menunjukkan pergeseran dari sekadar pemindai statis tradisional menuju orkestrasi agen yang mampu memahami konteks aplikasi, alur autentikasi, serta pola akses data. Bagi perusahaan yang mengelola monorepo besar atau platform multi-tenant, model seperti ini berpotensi memangkas waktu audit keamanan sekaligus meningkatkan kualitas temuan.
Namun demikian, adopsi alat semacam deepsec tetap memerlukan kedewasaan proses internal. Tim engineering dan security harus siap mengintegrasikan temuan ke dalam alur kerja mereka, menyiapkan plugin khusus yang relevan dengan arsitektur sistem, dan menetapkan prioritas penanganan berdasarkan tingkat risiko. Dalam konteks ekosistem pengembangan modern, deepsec bisa menjadi jembatan antara kecepatan rilis fitur dan kebutuhan menjaga baseline keamanan yang kuat, selama organisasi mampu menggunakannya sebagai bagian dari strategi keamanan yang sistematis, bukan sekadar menambah satu lagi alat pemindai di pipeline CI/CD.