Vercel hat mit Deepsec ein Open-Source-Tool veröffentlicht, das Sicherheitslücken in Codebases automatisiert per KI-Agenten aufspürt, verifiziert und Fixes vorschlägt.
Der 5-Stufen-Workflow nutzt agentenbasierte Analyse statt statischer Regeln und reduziert False Positives signifikant gegenüber klassischen SAST-Tools.
Deepsec ist kostenlos als Open-Source verfügbar und läuft wahlweise lokal oder hochparallelisiert über Vercel-Sandboxes.
Vercel, die Plattform hinter dem React-Framework Next.js, hat mit Deepsec ein KI-gestütztes Security-Tool vorgestellt, das Schwachstellen in Produktions-Codebases automatisiert erkennt und verifiziert. Wie Vercel in einem Blogpost bekannt gab, setzt das Tool auf einen mehrstufigen Agenten-Workflow, der über bloßes Pattern-Matching hinausgeht und stattdessen Schwachstellen kontextuell analysiert. Damit zielt Vercel direkt auf ein Kernproblem der Software-Sicherheit: die hohe Rate an Fehlalarmen, die klassische Static-Analysis-Tools (SAST) produzieren und die Security-Teams in der Praxis ausbremst.
Die Neuerungen im Detail
Deepsec arbeitet mit einem klar definierten 5-Stufen-Workflow, der sich fundamental von herkömmlichen Code-Scannern unterscheidet:
Stufe 1 – Discovery: Ein KI-Agent durchsucht die gesamte Codebase nach potenziellen Angriffsvektoren und erstellt eine erste Kandidatenliste verdächtiger Stellen.
Stufe 2 – Investigation: Jede identifizierte Stelle wird kontextuell analysiert. Der Agent verfolgt Datenflüsse, prüft Abhängigkeiten und bewertet, ob eine tatsächliche Angriffsfläche existiert.
Stufe 3 – Verification: Statt ein Finding blind als Vulnerability zu melden, versucht der Agent aktiv, die Schwachstelle auszunutzen – eine Art automatisierter Proof-of-Concept.
Stufe 4 – Reporting: Verifizierte Schwachstellen werden mit detaillierten Beschreibungen, Schweregrad-Bewertungen und reproduzierbaren Exploit-Pfaden dokumentiert.
Stufe 5 – Remediation: Der Agent schlägt konkrete Code-Fixes vor und kann Tickets mit Zuweisungen auf Basis von Git-Metadaten (Blame-Informationen) generieren.
Laut Vercel unterstützt das Tool zwei Betriebsmodi: Einen lokalen Modus, der auf handelsüblichen LLMs wie Anthropics Claude oder OpenAIs GPT-Modelle setzt und sämtliche Daten auf der eigenen Infrastruktur belässt – relevant für Unternehmen mit strikten Datenschutzanforderungen. Daneben existiert ein parallelisierter Cloud-Modus über Vercel-Sandboxes, der für besonders große Repositories ausgelegt ist und laut Vercel hunderte Dateien gleichzeitig analysieren kann.
Deepsec kombiniert agentenbasierte KI-Analyse mit automatisierter Exploit-Verifikation und reduziert damit die False-Positive-Rate, die bei klassischen SAST-Tools häufig bei über 50 Prozent liegt.
Technisch setzt Vercel auf einen modularen Ansatz: Jeder der 5 Schritte wird von einem spezialisierten Agenten ausgeführt, wobei die Ergebnisse zwischen den Stufen als strukturierte Daten weitergereicht werden. Die Architektur erlaubt es, einzelne Agenten gegen bessere Modelle auszutauschen, sobald diese verfügbar werden.
Warum das wichtig ist
Das Problem, das Deepsec adressiert, ist real und teuer. Laut Branchenanalysen verbringen Security-Teams einen erheblichen Anteil ihrer Arbeitszeit mit der Triage von False Positives – Warnmeldungen, die sich bei manueller Prüfung als harmlos herausstellen. Klassische SAST-Tools wie SonarQube, Snyk Code oder Semgrep arbeiten regelbasiert und produzieren bei komplexen Codebases regelmäßig Tausende Findings, von denen nur ein Bruchteil tatsächlich sicherheitsrelevant ist.
Vercels Ansatz, KI-Agenten nicht nur zum Scannen, sondern auch zum aktiven Verifizieren einzusetzen, ist strategisch clever. Wenn ein Agent eine potenzielle SQL-Injection findet und dann selbst versucht, diese auszunutzen, bevor er sie meldet, steigt die Qualität der Findings erheblich. Das ist konzeptionell vergleichbar mit dem, was menschliche Penetrationstester machen – nur automatisiert und skalierbar.
Gleichzeitig ist kritisch anzumerken: Die tatsächliche Erkennungsrate und False-Positive-Reduktion hängt direkt von der Qualität der eingesetzten LLMs ab. Vercel liefert im initialen Blogpost keine konkreten Benchmark-Vergleiche mit etablierten Tools – etwa wie viele CVEs in einem Referenz-Repository korrekt identifiziert werden. Ohne solche Daten bleibt die Behauptung einer signifikanten Verbesserung zunächst unbelegt.
Strategisch positioniert sich Vercel mit Deepsec als mehr als nur eine Hosting-Plattform. Nach v0 (KI-gestützte UI-Generierung) und Firewall-Features ist Deepsec der nächste Schritt in Richtung einer integrierten Developer-Security-Plattform. Für das Ökosystem von über 700.000 Entwicklern, die laut Vercel auf der Plattform aktiv sind, könnte dies ein relevanter Mehrwert werden – insbesondere, wenn Deepsec direkt in CI/CD-Pipelines integriert wird.
Verfügbarkeit & Fazit
Deepsec ist ab sofort als Open-Source-Projekt verfügbar und kann kostenlos genutzt werden. Die lokale Ausführung erfordert lediglich API-Zugang zu einem unterstützten LLM (Claude oder GPT). Für die parallelisierte Ausführung über Vercel-Sandboxes ist ein Vercel-Account erforderlich; Details zu möglichen Kosten für den Cloud-Modus hat Vercel bislang nicht kommuniziert.
Deepsec ist ein vielversprechender Ansatz, der die richtige Frage stellt: Wie lässt sich Security-Analyse von der Quantität der Findings zur Qualität verlagern? Ob die Antwort in der Praxis überzeugt, müssen unabhängige Benchmarks und der produktive Einsatz in großen Codebases erst zeigen. Entwickler-Teams, die heute unter Alert-Fatigue durch klassische Scanner leiden, sollten Deepsec dennoch auf die Evaluierungsliste setzen.
Häufig gestellte Fragen (FAQ)
Was ist Vercel Deepsec?
Vercel Deepsec ist ein Open-Source-Security-Tool, das KI-Agenten nutzt, um Sicherheitslücken in Code-Repositories automatisiert zu finden, zu verifizieren und Fixes vorzuschlagen. Es arbeitet mit einem 5-Stufen-Workflow aus Discovery, Investigation, Verification, Reporting und Remediation und unterstützt gängige LLMs wie Claude und GPT.
Wie unterscheidet sich Deepsec von klassischen SAST-Tools wie SonarQube oder Snyk?
Klassische SAST-Tools arbeiten regelbasiert und erzeugen häufig hohe False-Positive-Raten. Deepsec setzt KI-Agenten ein, die Schwachstellen nicht nur identifizieren, sondern aktiv verifizieren, indem sie Exploits simulieren. Dadurch sollen nur tatsächlich ausnutzbare Schwachstellen gemeldet werden – konkrete Vergleichsbenchmarks stehen allerdings noch aus.
Kann Deepsec lokal betrieben werden?
Ja. Deepsec bietet einen lokalen Betriebsmodus, bei dem sämtliche Analysen auf der eigenen Infrastruktur ablaufen. Benötigt wird lediglich ein API-Schlüssel für ein unterstütztes Sprachmodell. Damit eignet sich das Tool auch für Unternehmen mit strikten Datenschutz- und Compliance-Anforderungen, die keinen Code an externe Dienste senden dürfen.
Was kostet Vercel Deepsec?
Deepsec ist als Open-Source-Projekt kostenlos verfügbar. Kosten entstehen lediglich durch die Nutzung der LLM-APIs (z. B. OpenAI oder Anthropic) sowie optional durch die parallelisierte Ausführung über Vercel-Sandboxes, deren Preismodell Vercel bislang nicht im Detail veröffentlicht hat.
Für wen eignet sich Deepsec besonders?
Das Tool richtet sich an Entwickler-Teams und Security-Engineers, die große Produktions-Repositories kontinuierlich auf Schwachstellen prüfen wollen. Besonders relevant ist es für Teams, die unter Alert-Fatigue leiden und eine höhere Signal-to-Noise-Ratio in ihren Security-Findings benötigen.
Florian Schröder ist Experte im Online-Marketing mit Schwerpunkt PPC (Pay-Per-Click) Kampagnen. Die revolutionären Möglichkeiten der KI erkennt er nicht nur, sondern hat sie bereits fest in seine tägliche Arbeit integriert, um innovative und effektive Marketingstrategien zu entwickeln.
Er ist überzeugt davon, dass die Zukunft des Marketings untrennbar mit der Weiterentwicklung und Nutzung von künstlicher Intelligenz verbunden ist und setzt sich dafür ein, stets am Puls dieser technologischen Entwicklungen zu bleiben.
Wir verwenden Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wir tun dies, um das Surferlebnis zu verbessern und um personalisierte Werbung anzuzeigen. Wenn Sie diesen Technologien zustimmen, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn Sie Ihre Zustimmung nicht erteilen oder zurückziehen, können bestimmte Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
