SecureVibes – AI Tool Scans for Vulnerabilities in 11 Languages with Claude AI Agents
2025/11/12 CyberSecurityNews — AI を活用してアプリケーションを迅速に構築する、Vibecoding という手法が急速に進化を遂げる世界へ向けて、セキュリティ・リスクを低減する新たなオープンソース・ツールが登場した。Anshuman Bhartiya が開発した SecureVibes は、マルチエージェント・システムを通じて Anthropic の Claude AI を活用し、コードベースの脆弱性を自動検出する。2025年10月にリリースされた Python ベースのスキャナー SecureVibes は、深い専門知識を必要とせずにプロレベルのセキュリティ分析を可能にすることを目指している。
SecureVibes の中核を成すのは、人間のセキュリティ・チームのように連携する5つの専門 AI エージェントである。
- Assessment Agent:コードベースのアーキテクチャをマッピングし、データフローや依存関係などの重要な詳細情報を含む SECURITY.md ファイルを作成する。
- Threat Modeling Agent:STRIDE 手法を用いて潜在的な脅威を特定し、THREAT_MODEL.json ファイルを出力する。
- Code Review Agent:特定された脅威に対するコードの精査と問題の検証を行い、ファイルパスや行番号などの詳細情報を含む VULNERABILITIES.json を生成する。
- DAST Agent:実行中のアプリに対して、ターゲット URL 経由で動的テストを実行し、Claude Agent スキルを通じてエクスプロイト可能性チェックを追加する。
- Report Generator:すべての結果を Markdown や JSON などの形式で実用的なレポートにまとめる。
SecureVibes は Python/JavaScript/TypeScript/Go などの 11種類の言語をサポートし、プロジェクトの種類をスマートに検出するが、Python の “venv/” や JS の “node_modules/” といった無関係なディレクトリは除外する。
| Language | Extensions | Auto-Excluded Directories |
|---|---|---|
| Python | .py | venv/, env/, .venv/, __pycache__/, .pytest_cache/, .tox/, .eggs/, *.egg-info/ |
| JavaScript | .js, .jsx | node_modules/, .npm/, .yarn/ |
| TypeScript | .ts, .tsx | node_modules/, .npm/, .yarn/, dist/, build/ |
| Go | .go | vendor/, bin/, pkg/ |
| Ruby | .rb | vendor/, .bundle/, tmp/ |
| Java | .java | target/, build/, .gradle/, .m2/ |
| PHP | .php | vendor/, .composer/ |
| C# | .cs | bin/, obj/, packages/ |
| Rust | .rs | target/ |
| Kotlin | .kt | build/, .gradle/ |
| Swift | .swift | .build/, .swiftpm/, Packages/ |
SecureVibes は混在する言語プロジェクトをシームレスに処理し、徹底的なスキャンを保証する。インストールは簡単であり、安定版リリースの場合は pip install securevibes、最新機能を利用する場合は GitHub リポジトリをクローンする。
ユーザーは Claude の CLI セッションまたは API キーで認証を行い、securevibes scan を実行する。詳細な分析には、詳細度/重大度フィルター/サブエージェント実行などのオプションが用意されており、コストの削減に役立つ。
Semgrep や Bandit といった従来からの SAST ツールと、SecureVibes の差異はどこにあるのか?セルフテストでは、SecureVibes 自身のコードベースで、16~17 件の脆弱性を発見している。これは Claude Code などのシングル・エージェント AI の4倍に相当するという。その一方で、ルールベースのスキャナーでは、脆弱性は1件も見つからなかった。
このコンテキストを漸進的に認識するアプローチでは、問題ごとに具体的な証拠を要求することで誤検知が削減される。Sonnet モデルを使用したスキャンは1回あたり約 $2~$3 であり、Opus は追加料金で詳細な分析を提供することを考えれば、コストは妥当である。
プライバシーは、最優先とされている。Anthropic に送信されるのはコードと相対パスのみであり、秘密情報や絶対パスは共有されない。Bhartiya が推奨するのは、機密コードをスキャンする前に Anthropic のポリシーを確認することである。Python API により、CI/CD パイプラインへの統合が可能になり、自動チェックも実現される。
GitHub の AGPL ライセンスで提供される SecureVibes は、DAST 検証や高度なテストのためのスキルといった、最近の追加機能により進化を続けている。Vibecoding が成長するにつれて、このようなツールにより、AI 駆動開発におけるセキュリティ・ギャップが埋められる。開発者がより安全なアプリを、より迅速にリリースするのに役立つ可能性がある。
AI を活用する Vibecoding が速く進みすぎて、セキュリティ確認が追いつかなくなるという弱点を、SecureVibes が補おうとしています。問題の根本には、人手だけでは把握しきれない、複数の言語や複雑なコードベースに起因する見落としや、誤検知が起きやすいという構造があります。SecureVibes は、アーキテクチャ把握 → 脅威モデル → コードレビュー → DAST → レポートという流れを AI エージェントに分担させることで、この複雑さを分解しているようです。よろしければ、カテゴリ SecTools を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.