2026西湖龙井茶官网DTC发售:茶农直供,政府溯源防伪到农户家
如何在您的代码库上运行持续的、由人工智能驱动的安全审计——通过一个本地代理进行路由,该代理会为每个文件选择成本最低且可行的模型。
大多数安全扫描器给人的感觉就像2005年的垃圾邮件过滤器。它们会标记每一个 eval() 调用、每一个看起来有点像 SQL 的字符串拼接,以及每一个长度超过十个字符的硬编码常量。信噪比极低,导致团队要么停止运行这些扫描器,要么学会完全忽略其输出结果。
新一代扫描器使用大型语言模型来像人类审查员那样阅读代码——在标记模式之前先理解意图。Vercel 公司推出的 Deepsec 是此类工具中可用性最高的工具之一。问题在于,使用前沿模型在整个真实代码库中逐文件运行它,成本会迅速增加。
本文解释了 Deepsec 是什么、它实际能捕获哪些问题,以及如何将其人工智能调用指向 Lynkr——一个兼容 Anthropic 的本地代理——从而将简单文件路由到本地 Ollama 模型,并将昂贵的大型云端模型保留给真正需要它们的案例。
第一部分——什么是 Deepsec?
Deepsec 是由 Vercel 作为 npm 包发布的人工智能安全扫描器。与其他安全工具相比,它的形态与众不同:它不是一项服务,不是持续集成机器人,也不是软件即服务仪表板。它是一个工作区风格的命令行界面工具,您将其安装到代码仓库内的 .deepsec/ 目录中,使用项目上下文进行配置,并按需运行。
输出结果是一个按严重程度组织的发现项文件夹,您可以像阅读代码审查报告一样阅读它。
处理流程
Deepsec 分阶段运行,每个阶段都有不同的成本特征:
1. 扫描(免费)。 对源代码树进行纯正则表达式匹配。它识别包含可能值得深入分析的模式的文件——身份验证流程、数据库查询、请求处理程序、加密操作、环境变量使用、文件系统访问。此阶段成本低廉、速度快,并在每个文件上运行。它是漏斗筛选层。
2. 处理(付费,人工智能)。 扫描阶段提取的文件由大型语言模型读取(默认使用 Claude Opus,每文件约0.30美元)。模型接收以下内容:
- 完整的文件内容
- 您在
INFO.md中提供的项目上下文(身份验证原语、威胁模型、误报路径) - 您为此代码库编写的自定义匹配器
- Deepsec 内置的匹配器提示词
模型生成发现项:严重程度、位置、解释、建议修复方案。
3. 重新验证(付费,人工智能)。 对每个发现项进行第二次人工智能遍历,以确认其真实性。仅这一步就大幅降低了误报率,因为它迫使模型根据周围上下文为每个结论进行辩护。如果没有重新验证,人工智能扫描器产生幻觉发现项的频率几乎与发现真实漏洞的频率一样高。有了它,信号变得可用。
4. 分类整理(付费,人工智能)。 发现项被聚类、去重和排序。输出结果是 findings/ 下的 Markdown 文件文件夹,按严重程度组织:CRITICAL(危急)、HIGH(高)、HIGH_BUG(高危漏洞)、MEDIUM(中)、LOW(低)、BUG(漏洞)。
5. 导出。 发现项以您想要的格式写出——Markdown 目录、用于持续集成的 JSON,或单个报告文件。
它实际能捕获什么
Deepsec 围绕传统静态应用程序安全测试工具因缺乏上下文而遗漏的问题构建,这些问题需要的不仅仅是模式匹配:
- 因缺少守卫导致的身份验证绕过。 在一个99%的端点都执行了身份验证中间件调用的代码库中,一个新端点忘记调用身份验证中间件。
-
不安全的直接对象引用。 一个接受重新
免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。
