SecureVibes é uma ferramenta open‑source que usa agentes baseados em Anthropic Claude para automatizar análise de segurança em codebases, suportando 11 linguagens e um fluxo que combina threat model, code review e DAST opcional.
Panorama e proposta
Desenvolvido por Anshuman Bhartiya e lançado em outubro de 2025, SecureVibes é um scanner Python que organiza o trabalho entre cinco agentes especializados: Assessment, Threat Modeling, Code Review, DAST (opcional) e Report Generator. O objetivo declarado é fornecer análise de segurança em nível profissional sem exigir expertise profunda do usuário.
Fluxo técnico
- Assessment Agent: mapeia arquitetura do código e gera SECURITY.md com fluxos de dados e dependências.
- Threat Modeling Agent: aplica STRIDE e produz THREAT_MODEL.json.
- Code Review Agent: correlaciona código com ameaças e gera VULNERABILITIES.json com caminhos e números de linha.
- DAST Agent (opcional): testa aplicações em execução via URL alvo, usando skills do Claude para validar exploitability.
- Report Generator: compila relatórios em Markdown/JSON para integração em pipelines.
Suporte a linguagens e integração
SecureVibes identifica automaticamente o tipo de projeto e exclui diretórios irrelevantes (ex.: node_modules, venv). A ferramenta lista suporte para 11 linguagens, entre elas Python, JavaScript/TypeScript, Go, Java, C#, Rust, Kotlin e Swift. Instalação está disponível via pip install securevibes ou clonando o repositório GitHub; autenticação ocorre por sessão CLI do Claude ou chave de API.
Precisão, custos e privacidade
Em testes autorreportados, SecureVibes encontrou 16–17 vulnerabilidades na própria base de código do projeto — quatro vezes mais que abordagens single‑agent citadas — enquanto scanners baseados em regras reportaram zero nesses mesmos testes. A ferramenta prioriza evidência concreta para reduzir falsos positivos. Custos estimados para varreduras são de aproximadamente US$2–3 por scan usando o modelo Sonnet, com opções mais profundas via Opus a custo superior.
Risco de privacidade e recomendações
Segundo o desenvolvedor, apenas código e caminhos relativos são enviados para Anthropic; secrets e caminhos absolutos seriam excluídos. Bhartiya recomenda revisar a política da Anthropic antes de usar a ferramenta em código sensível e usar a API/Python integration para incorporar varreduras em CI/CD conforme necessidade operacional.
Licença e evolução
O projeto está disponível sob licença AGPL no GitHub e tem recebido atualizações recentes, incluindo a adição de validação DAST e skills para testes avançados. A abordagem multi‑agente pretende reduzir a dependência de regras estáticas e ampliar a cobertura em projetos multi‑linguagem.
Limites e consideração prática
Os resultados apresentados vêm de testes do próprio projeto e, como em qualquer análise automática, equipes devem validar achados em ambiente controlado. A integração em pipelines CI/CD e a possibilidade de runs parciais/filtrados ajudam a controlar custos e ruído em organizações maiores.