AI 搜索公司 Perplexity 开源 Bumblebee，为软件供应链投毒防御添新利器

【导语AI 搜索公司 Perplexity 宣布开源内部网络安全风险扫描工具 Bumblebee为行业应对软件供应链投毒提供新手段该工具专为 macOS 和 Linux 开发者终端设计具有独特优势和多种扫描模式。】Go 语言打造的只读清单收集器Bumblebee 是一款完全使用 Go 语言编写的只读清单收集器专为 macOS 和 Linux 开发者终端设计零非标准库依赖。Perplexity 内部用它保护旗下搜索产品、Comet 浏览器和 Computer 智能体背后的开发者系统。解决现有工具痛点现有安全工具要么只覆盖构建产物和代码仓库要么只追踪进程行为无法检查开发者本地的包管理器元数据、锁文件、扩展清单和 AI 工具配置。Bumblebee 直接读取磁盘上的元数据文件在不执行安装脚本的情况下给出完整的本地环境清单。采用“只读”设计是为避免触发攻击因为 npm 包可能携带 postinstall 脚本运行 npm 检查可能触发攻击而 Bumblebee 从不运行安装脚本等是纯粹的状态收集器。三种扫描模式与生态覆盖Bumblebee 支持三种扫描模式baseline 扫描常见目录project 指向配置好的开发目录deep 扫描操作员提供的根目录。每次扫描输出结构化的 NDJSON 格式记录包含主机名等信息及置信度等级。在生态覆盖方面目前支持 npm、pnpm 等八种主流包管理器支持读取多种编辑器扩展清单、检测多种浏览器扩展支持解析 MCP JSON 主机配置文件但 v0.1 版本有部分格式不解析。半自动化工作流与开源意义Perplexity 内部将 Bumblebee 整合进五步工作流保证威胁情报从披露到响应的高效流转。开源这一工具的时机反映了行业应对供应链攻击的紧迫感其 GitHub 仓库包含威胁情报目录可直接用于扫描。Perplexity 认为开发者系统安全对产品安全至关重要Bumblebee 的开源意味着供应链安全战场转移需要更精确的诊断工具。安装 Bumblebee 只需一条命令当前发布版本为 v0.1.1采用 Apache License 2.0 开源许可。编辑观点Bumblebee 的开源为软件供应链安全带来新希望其独特设计和功能能有效弥补现有工具不足在供应链攻击频发的当下有望提升开发者系统安全性。