TREX: nova ferramenta de code review com execução real de código e IA para detecção de bugs ocultos

O TREX não é só mais um agente de revisão: é uma mudança de paradigma na forma como validamos código. Enquanto ferramentas como o deepsec da Vercel executam varreduras em sandboxes paralelos para segurança, o TREX opera como uma camada de execução *integrada* ao fluxo de code review, não como etapa isolada, mas como primitiva de primeira classe. Ele herda contexto do revisor Greptile v3 (lançado em setembro/2025), que já reescreveu o ciclo de revisão com arquitetura multi-agente e grafo de dependências preciso. Isso evita o erro inicial do TREX, quando era um agente independente gerando testes irrelevantes: agora, cada subagente TREX é acionado *após* a análise semântica do diff, com escopo estrito, acesso à mesma indexação de código e credenciais rotacionadas em tempo real.

A execução acontece em sandboxes descartáveis com base em snapshots por repositório, não em containers genéricos. Isso permite rodar serviços reais com dependências externas, como APIs autenticadas ou features atrás de feature flags, algo que o AWS Security Agent (que analisa repositórios inteiros estáticamente) não consegue reproduzir. E os artefatos, vídeo de animações, logs com timestamps, rastreamentos de API, não são relatórios pós-execução: são evidências objetivas que permitem *reproduzir o experimento*, exatamente como exige o princípio de 'mostrar o trabalho' para agentes downstream, citado no artigo CEVIU sobre dúvida automatizada.

Em junho de 2026, o TREX deixou de ser um protótipo experimental e se tornou uma funcionalidade nativa do Greptile v3. Antes, como relatado na cobertura CEVIU de 16/06, o foco estava em 'decidir se o código é confiável'; agora, o TREX entrega *prova objetiva* dessa confiança. A mudança mais crítica foi abandonar a geração de testes genéricos (como tentado no início do projeto) e adotar execução direcionada por hipóteses técnicas identificadas pelo orquestrador, alinhando-se ao conceito de 'dúvida automatizada' publicado no CEVIU em 08/06. Também houve evolução técnica real no sandbox: em vez de depender de imagens base estáticas, o sistema agora usa snapshots per-repo com cache inteligente, garantindo que ambientes sejam iniciados em milissegundos *sem* carregar estado obsoleto, um avanço em relação à abordagem do deepsec, que prioriza paralelismo em vez de fidelidade de ambiente.

Com 27,6% das pull requests em 2026 contendo código gerado por IA, e com taxas mais altas de vulnerabilidades críticas nesse código , , revisões baseadas apenas em leitura estática atingiram seu limite prático. O TREX muda o ponto de equilíbrio: não mais 'o código parece certo', mas 'o código *fez* o que deveria fazer'. Isso impacta diretamente a experiência do desenvolvedor (DX): reduz o tempo gasto em debug manual de regressões de UI ou condições de corrida, e aumenta a confiança nas aprovações automáticas. Para equipes de segurança, é um salto, ao contrário de ferramentas que detectam padrões de vulnerabilidade (como o AWS Security Agent), o TREX expõe falhas de comportamento *em runtime*, incluindo problemas de autorização, vazamento de dados em fluxos reais e falhas de integração entre serviços. Não é mais só 'achar bugs': é validar intenção contra execução real.