你是否曾遇到过这样的困境:线上系统运行多年,却在某次审计中突然暴露出一个早已存在、影响深远的安全漏洞?传统SAST工具往往只能发现表层问题,而真正危险的逻辑缺陷、权限绕过或供应链隐患,常常深埋在数万行代码的复杂交互中,人工难以覆盖,规则引擎又无法推演。Deepsec正是为解决这一难题而生——它不是简单的静态扫描器,而是一个由大模型驱动的“安全研究员代理”,能在你自己的服务器上,对大型代码库发起深度、自主、可中断恢复的智能安全审查。
核心功能
- AI原生漏洞挖掘:不依赖预设规则,而是调用高性能编码大模型(如Claude 3.5、GPT-4o等)进行多轮推理,模拟攻击者思维,主动探索边界条件、数据流异常和上下文敏感的逻辑缺陷
- 大规模仓库友好架构:支持分布式并行扫描,自动将超大型单体/微服务项目拆解为任务单元,分发至多台Worker机器协同处理,显著缩短TB级代码库的分析周期
- 断点续扫,稳定可靠:所有扫描命令均设计为幂等操作;网络中断、资源不足或手动终止后,重启即可从上次检查点继续,避免重复计算与成本浪费
- 高度可配置的专家模式:通过
.deepsec/data/<id>/INFO.md等引导文件,让AI代理快速理解项目架构、框架特性与业务语义,大幅提升检出准确率,减少误报 - 企业级私有化部署:全程在用户自有基础设施(本地服务器、私有云或VPC内)运行,源码与模型提示词不出内网,满足金融、政务等强合规场景的安全审计要求
- 聚焦“长尾高危漏洞”:专为识别那些被长期忽视的深层问题而优化——比如跨服务认证失效、模板注入链、竞态条件下的权限提升等传统工具极易漏报的类型
适合哪些人用
Deepsec面向对安全有极致要求的技术团队:大型互联网公司的安全响应中心(SRC)工程师、DevSecOps平台建设者、开源项目维护者(尤其是被广泛集成的基础库作者)、以及需要通过等保三级、ISO 27001等合规认证的企业研发负责人。如果你的代码库超过50万行、采用多语言混合架构、或曾因“难以复现的逻辑漏洞”导致严重线上事故,Deepsec值得你投入一次深度试用。
快速上手
无需复杂配置,三步启动首次扫描:
- 进入待检测项目的根目录,执行:
npx deepsec init(自动生成.deepsec/配置目录) - 进入
.deepsec目录,运行:pnpm install(安装Deepsec运行时及依赖) - 按初始化提示打开你信任的大模型聊天界面(如Claude、Cursor或VS Code插件),粘贴指定提示词,让AI代理读取
SKILL.md和SETUP.md,并完成项目背景信息梳理——整个过程约5–10分钟,之后即可触发全自动深度扫描
项目信息
Deepsec is a security harness for finding vulnerabilities in your codebase powered by coding agents
TypeScript | 1166 Star | Apache-2.0 开源协议 | GitHub 项目地址
这不是一款“开箱即用”的轻量工具,而是一套为专业安全团队打造的AI增强型基础设施——它把大模型的推理能力,精准锚定在真实工程世界的复杂性之上。
