AI搜索公司Perplexity近日宣布将其内部网络安全风险扫描工具Bumblebee开源,为行业应对软件供应链投毒提供了一种新的技术手段。Bumblebee是一款完全使用Go语言编写的只读清单收集器,专门面向macOS和Linux开发者终端设计,具备零非标准库依赖的特性。Perplexity内部已将其用于保护旗下的搜索产品、Comet浏览器以及Computer智能体背后的开发者系统。
Bumblebee的核心功能是扫描本地磁盘上的包、浏览器及编辑器扩展、MCP(模型上下文协议)等开发工具配置元数据。设计目标在于帮助安全团队快速核实一个实际问题:当安全公告指出某个特定包、扩展或版本遭受供应链攻击时,企业如何迅速确定哪些开发者终端存在暴露风险。Perplexity在官方介绍中强调,Bumblebee并非要取代SBOM(软件物料清单)或EDR(端点检测与响应)工具,而是为供应链事件响应提供另一种必要的视角。
Bumblebee 的差异化定位
SBOM通常用于回答“产品最终出货包含了哪些组件”,EDR则长于回答“哪些程序执行过、连接过网络”。但在供应链攻击事件中,安全团队往往需要另一种能力的工具:快速获知当前开发者终端上是否安装了某个已知存在漏洞的特定版本包或扩展。Bumblebee通过以只读方式扫描文件系统上的元数据来实现这一目标,过程中不产生任何运行开销,也不对系统进行操作或发起网络通信,因此可以安全地部署在生产开发环境中而不干扰现有工作流。
完全使用Go语言编写且无外部依赖,使得Bumblebee的部署和管理较为简便——只需分发单个可执行文件即可运行。它的扫描范围覆盖macOS和Linux平台上主流的包管理器缓存目录、编辑器扩展安装位置以及MCP协议相关设定,能够为安全团队提供一份统一的、本地存在的软件资产清单,避免了因人工统计或工具分散而导致的遗漏。
目前Bumblebee已在GitHub上以开源形式发布,代码完全公开,任何技术团队均可审查并根据自身环境进行集成或定制。对于正在建设软件供应链安全体系的企业而言,这款轻量只读扫描器提供了一个可以快速落地的补充工具,有助于缩小应急响应中的信息盲区。
本文参考来源:OSCHINA 社区最新新闻
微信扫描下方的二维码阅读本文
