AI開発時代のセキュリティ自動化を実現するDevSecOpsのVercel、AI脆弱性検出ツール「deepsec」をオープンソース化

Vercelは、AIを活用したセキュリティスキャンツール「deepsec」をオープンソースとして公開しました。deepsecは、AIエージェントを活用して大規模コードベース内の脆弱性を自動調査するセキュリティ基盤であり、開発ワークフローの中にセキュリティレビューを直接組み込むことを目的としています。従来のソフトウェア開発では、コード作成やレビュー、マージが完了した後にセキュリティチームが確認を行う流れが一般的でした。しかし、AIによるコード生成やリファクタリングが急速に進む現在では、開発速度に対して従来型のセキュリティレビューが追いつかなくなっているとVercelは指摘しています。

deepsecは、ClaudeやCodexなどの生成AIモデルを活用し、コードベースを段階的に解析します。最初に静的解析を実行し、セキュリティ上重要なファイルを特定します。その後、AIエージェントがデータフローの追跡や既存対策の確認を行い、深刻度付きの脆弱性レポートを生成します。処理は「scan」「investigate」「revalidate」「enrich」「export」の5段階で構成されています。scan段階では約110種類の正規表現マッチャーを利用してコード全体を解析し、AIを使わずに高速スキャンを実施します。約2,000ファイル規模のプロジェクトであれば、およそ15秒程度で処理できるとしています。その後、AIエージェントが問題候補を詳細調査し、別のエージェントが誤検知を排除します。さらにGitメタデータを利用して、修正に最適な開発者を特定し、結果をチケット管理システムへ直接連携できる形式で出力します。これは人間の開発者だけでなく、AIコーディングエージェント向けにも利用可能です。大規模リポジトリ向けには、Vercel Sandboxesを利用した並列分散実行にも対応しています。Vercel自身のコードベースでは、1,000以上のサンドボックスを同時実行するケースもあるといいます。

Vercelは、AIによる高速開発がコード変更量の増加や、開発者による生成コード理解不足、継続的なリファクタリングによるセキュリティ負債の蓄積を引き起こしていると分析しています。そのため、セキュリティレビューも開発速度と同じレベルでリアルタイム化する必要があるとしています。一方で、deepsecの利用コストは小さくありません。同ツールは最高レベルの推論モードでAIモデルを利用する設定になっており、大規模コードベースではスキャン費用が数千ドルから数万ドル規模になる場合もあります。ただしVercelは、見逃されていた脆弱性を迅速に発見・修正できる価値を考慮すると、多くの顧客が十分な投資効果を感じていると説明しています。誤検知率は約10〜20％程度であり、再検証ステップによってさらに精度向上を図っています。また、アプリケーションやサービス向けに最適化されている一方、ライブラリやフレームワークではカスタムプロンプトや独自スキャナーが必要になる場合があります。そのため、プラグインシステムも提供されています。

deepsecは特別なセキュリティ専用AIモデルを必要とせず、通常のClaudeおよびCodex契約だけで動作します。導入時にはリポジトリのルートで「npx deepsec init」を実行することで設定ディレクトリが生成され、ローカル環境またはVercel Sandboxes上でスキャンを開始できます。Vercelは、AI時代に適した新しいDevSecOps基盤としてdeepsecを育成していく方針であり、コミュニティからのフィードバックや貢献を歓迎しています。

Vercelについて
Vercelは、フロントエンドクラウドプラットフォームや開発者向けインフラを提供するテクノロジー企業です。Next.jsの開発元としても知られており、AI時代に対応した高速なWebアプリケーション開発基盤やクラウド実行環境を提供しています。近年はAI活用型の開発支援やセキュリティ自動化領域にも注力しています。