№ 08
SecuSense chạy Semgrep để tìm lỗ hổng, rồi để AI phân loại cái nào thật và giải thích cách sửa ngay trong cùng giao diện. Developer không cần chuyên gia bảo mật ngồi cạnh mới hiểu được báo cáo scan.
№ 08
Demo Day Zine
Ai dùng SAST tool lần đầu cũng thấy hứng khởi. Scan xong có ngay 40 findings, tưởng chừng đã bắt được hết lỗi. Nhưng khi ngồi xuống đọc từng cái, thực tế là: khoảng một nửa là false positive. Semgrep không biết context của codebase bạn. Nó chỉ biết pattern.
Vấn đề không phải là công cụ tệ. Vấn đề là không ai hướng dẫn bạn cái nào cần xử lý trước, cái nào có thể bỏ qua, và quan trọng hơn — sửa như thế nào.
Dần dần developer học cách nhìn báo cáo SAST như nhìn thông báo spam: biết là có đó, nhưng không đủ tin để đọc kỹ. Đến lúc có lỗi thật bị bỏ sót, thì đã muộn.
SecuSense không thay thế Semgrep. Nó ngồi ngay sau Semgrep và làm phần mà Semgrep không làm được: phán đoán.
Sau khi Semgrep scan xong, Chain 1 đưa từng finding qua AI — cùng với đoạn code liên quan — để hỏi một câu đơn giản: cái này có thật không? AI trả lời true_positive, false_positive, hoặc uncertain. Mục tiêu đạt ~80% concordance với human reviewer; false positive giảm 20–30% so với output thô.
Với những cái được xác nhận là thật, Chain 2 mới vào. Nó không chỉ nói "đây là SQL injection" — nó giải thích tại sao đoạn code này có vấn đề, và gợi ý đoạn sửa cụ thể để áp dụng ngay.
LLM không bị khoá vào một provider. Tổ chức có thể chọn Gemini, DeepSeek, hay Anthropic tùy yêu cầu về chi phí hoặc data residency — pipeline không đổi.
Sản phẩm đang chạy thật tại c2-app-001.tech.
Response time p50 là 635ms — đủ nhanh để dùng trong CI pipeline mà không cảm giác chờ đợi. PageSpeed mobile đạt 95/100, LCP 0.9 giây. Codebase có 895 automated tests. Multi-tenant isolation theo org_id đã qua test suite.
| Chỉ số | Giá trị | Nguồn |
|---|---|---|
| Production URL | c2-app-001.tech | Live, 7/7 HTTP 200 |
| Latency p50 | 635 ms | Live health check |
| Latency p95 | 1.039 s | Live health check |
| PageSpeed mobile | 95/100 | PageSpeed Insights |
| LCP | 0.9 s | PageSpeed Insights |
| Chi phí LLM/scan |
| ~$0.005 |
| Gemini 2.5 Flash-Lite pricing |
| Automated tests | 895 tests | pytest collect |
| Multi-tenant | Row-level org_id isolation | PostgreSQL, verified by test suite |
| Pricing tiers | Free / Team $29 / Business $99 | Billing logic in codebase |
Chi phí LLM mỗi scan ước tính khoảng $0.005 với Gemini 2.5 Flash-Lite. Infra baseline ~$100/tháng trên GCP. Với 100 user active, tổng chi phí hạ tầng + LLM vào khoảng $1.05/user/tháng — không phải con số tuyệt vời, nhưng là số thật, không phải ước tính lạc quan.
Bốn thứ tiếp theo đang được xây:
Đầu tiên là benchmark leaderboard — để tổ chức so sánh được Gemini vs DeepSeek vs Anthropic trên chính codebase của họ, theo accuracy, cost và latency. Chọn model không cần đoán nữa.
Tiếp theo là billing thật — cơ chế đã có trong code, chỉ cần kích hoạt. Paddle làm Merchant of Record, hỗ trợ thanh toán quốc tế, tự động quản lý subscription.
Sau đó là MCP integration — developer gọi SecuSense thẳng từ VS Code hoặc CI pipeline, không cần mở browser. Scan xong có kết quả ngay trong workflow.
Và cuối cùng là quota analytics — dashboard để team bảo mật thấy được mình tiêu bao nhiêu token, bao nhiêu tiền, và ROI so với triage thủ công là bao nhiêu.