Vercel开源AI安全工具，让代码审查不再"自己考自己"

AI写代码越来越溜，但让它自查自纠？相当于让学生给自己打分——结果永远是优秀。这周Vercel扔出一款开源工具，专门解决这个"既当运动员又当裁判员"的顽疾。

这款叫DeepSec的工具，核心逻辑很简单：用AI Agent找漏洞，但不让它说了算。工作流程分三步——先静态分析锁定敏感文件，再派Agent逐个排查，最后加一道复核过滤误报。关键是全程跑在你本地或自有服务器上，用的是你现有的AI订阅，数据不出境。

同一周，Next.js 16和15连发安全补丁，修复了从低到高多个严重漏洞。Jimmy Lai——Vercel的Next.js负责人——也在PodRocket播客里详解了Adapters API：这玩意儿存在的意义，就是终结Cloudflare、AWS Amplify、Netlify上自托管Next.js的痛苦。

另一边，CodeRabbit CLI给出了另一种解法。它把自己插进Claude Code和Codex的工作流，当外部评审员。写代码的Agent和审代码的Agent不是同一个，架构不同，还带了40多个静态分析器，对代码零感情。生成-审查-修复，循环到干净为止。人只在真正值得批准的时候出场。

React 19这边也有实用更新。useTransition让异步操作不卡UI，不用手动写loading状态；useActionState把状态、错误、pending全打包进一个钩子。Tobi Mey还录了视频演示RSC Boundary——这工具能可视化展示你的Next.js应用里，服务端组件和客户端组件的边界到底在哪。

基础设施层面，Vercel生态这周密集上新。Vercel-OpenClaw提供无服务器运行方案，带CLI部署、消息间保留状态的沙箱快照、Vercel Functions路由的webhook、Redis控制平面，还有出站防火墙做域名拦截。Portless的零参数模式能自动发现你的dev脚本，不用配置；v0.12新增--tailscale和--funnel参数，本地应用直接通过Tailscale分享。shadcn CLI现在支持package.json里的#imports路径，不用死磕tsconfig.json；registry项目还能指定文件安装位置。

一个框架把Claude Code级别的AI Agent压缩到几行TypeScript——沙箱shell、会话管理、可复用技能、结构化输出全包。运行时VM直接执行技能，不用构建。

这些工具的共同指向很明确：AI写代码的时代，审查环节必须独立出来。要么像DeepSec那样本地运行、复核校验，要么像CodeRabbit那样引入异构Agent互相牵制。核心就一句——让写的归写，审的归审。