Perplexity 推出 Bumblebee：其新型只讀開發掃描器與 Chainguard 有何不同

Perplexity 近日宣佈推出一款名為 Bumblebee 的開源開發安全工具，旨在幫助程式設計師應對日益嚴重的軟體供應鏈攻擊。這些攻擊包括 npm 包的 Axios 洩露、PyPI 上的 LiteLLM AI 攻擊以及 CanisterSprawl npm 攻擊等。Bumblebee 是一款只讀掃描器，用於檢查開發者機器上是否存在風險軟體包、擴充套件和 AI 工具配置。

據 Perplexity 介紹，Bumblebee 由其內部團隊開發，最初用於保護 Perplexity、Comet 和 Computer 等產品的開發者系統。該工具重點回答供應鏈安全通告發布後開發者最關心的問題：我們的程式設計師是否安裝了有問題的元件？Bumblebee 目前支援 macOS 和 Linux 系統，採用 Go 語言編寫，並透過 GitHub 以開源專案形式釋出。

Bumblebee 不依賴 AI 或訂閱服務，其掃描範圍涵蓋四個關鍵表面：語言包管理器（包括 npm、pnpm、Yarn、Bun、PyPI、Go modules、RubyGems 和 Composer）、AI 代理配置（如模型上下文協議 MCP）、編輯器擴充套件（VS Code 家族，包括 Cursor、Windsurf、VSCodium）以及瀏覽器擴充套件（Chromium 家族和 Firefox）。這意味著該工具適用於使用 JavaScript/TypeScript、Python、Go、Ruby、PHP 的開發者，以及實驗 AI MCP 配置或使用現代編輯器/瀏覽器的技術人員。

Bumblebee 的工作流程包括：威脅訊號識別、Perplexity Computer 更新目錄、人工稽核後合併、Bumblebee 在端點執行掃描、結果共享給安全團隊。使用者無需使用 Perplexity 提供的 JSON 目錄，也可以執行自己的目錄和審查流程。每個檢測結果都可追溯，顯示觸發該結果的目錄條目、新增時間及證據。

掃描器支援三種配置檔案：基線配置（常規掃描標準筆記型電腦位置）、專案配置（針對特定倉庫或工作空間）和深度配置（響應活躍事件）。Perplexity 強調 Bumblebee 的只讀特性：它直接讀取後設資料檔案，從不執行可能受損的工具，從而避免掃描本身成為風險。例如，npm 軟體包通常包含安裝後指令碼，一旦執行 npm install 就會自動執行，而 Bumblebee 不會呼叫包管理器，因此不會觸發攻擊。

與 Chainguard 相比，Bumblebee 更側重於開發者本地環境的防護。Chainguard 主要關注容器和管道的安全，提供最小基礎映象、自動重建和策略阻止不合規制品。而 Bumblebee 定位在供應鏈更早環節，即開發者實際工作的筆記型電腦上。Perplexity 認為，安全應從本地開發者表面開始，產品完整性必須始於供應鏈的更上游。

總體而言，Bumblebee 是一款有用的補充工具，尤其適合那些希望快速檢查開發者機器上是否存在特定風險元件的安全團隊。該工具在 Apache 2.0 許可證下開源，免費使用。