Внутренний инструмент стал публичным. Perplexity AI открыла Bumblebee — сканер безопасности для рабочих машин разработчиков
NewsMakerBumblebee позволяет обнаруживать вредоносные пакеты и расширения без запуска стороннего кода.
Perplexity AI выложила в открытый доступ Bumblebee, сканер для проверки рабочих компьютеров разработчиков на следы опасных пакетов, расширений и настроек инструментов. Утилита помогает быстро понять, есть ли на машине компоненты, которые уже связали с атаками на цепочки поставок .
Bumblebee написан на Go и поставляется как один исполняемый файл без внешних зависимостей. Сканер работает на macOS и Linux, собирает сведения из локальных метаданных и не меняет файлы на компьютере. Разработчики Perplexity создавали инструмент, чтобы проверять рабочие машины внутри компании, а теперь опубликовали проект для сообщества под лицензией Apache 2.0.
Главная идея Bumblebee заключается в безопасной проверке без запуска стороннего кода. Утилита не вызывает диспетчеры пакетов, не запускает установочные сценарии, не выполняет команды вроде npm ls или go list и не читает исходный код проектов. Вместо такого подхода сканер изучает файлы блокировок, манифесты, служебные данные установленных пакетов, конфигурации Model Context Protocol и сведения о расширениях.
Bumblebee поддерживает npm, pnpm, Yarn, Bun, PyPI, модули Go, RubyGems и Composer. Также сканер проверяет расширения для Visual Studio Code, Cursor, Windsurf и VSCodium, а также расширения для браузеров на основе Chromium и Firefox. Отдельно учитываются настройки Model Context Protocol в поддерживаемых файлах JSON. Если в таких настройках есть переменные окружения или учётные данные, Bumblebee использует конфигурацию только чтобы инвентаризировать серверы и не выводит секреты в отчёт.
Сканер позволяет быстро реагировать на конкретные инциденты. Когда выходит предупреждение о вредоносной версии пакета, опасном расширении или скомпрометированном компоненте, команда безопасности может быстро проверить, на каких рабочих машинах есть совпадение в локальных метаданных. Формат результата – NDJSON, по одной записи на строку, поэтому данные можно отправлять в системы, которые обрабатывают журналы.
В Bumblebee есть три профиля проверки. Baseline позволяет регулярно и без лишней нагрузки инвентаризировать распространённые пользовательские и глобальные пути. Project проверяет заданные каталоги с рабочими проектами, например ~/code или ~/Developer. Deep рассчитан на разовые проверки при разборе инцидентов и может обходить широкие пути, включая домашний каталог пользователя.
Сканер также умеет работать с каталогами рисков. Такой каталог описывает точные сочетания экосистемы, имени пакета и версии, а Bumblebee ищет совпадения на локальной машине. В Perplexity такие каталоги собирают на основе открытых данных об актуальных атаках на цепочки поставок и обновляют через запросы на изменение.
Для небольших команд Bumblebee может стать простой альтернативой тяжёлым корпоративным средствам, которые инвентаризируют рабочие места разработчиков. Утилита не пытается заменить перечни компонентов готового продукта или средства защиты конечных устройств, но закрывает другой практический вопрос: какие опасные пакеты , расширения и настройки прямо сейчас видны на рабочих компьютерах.
Perplexity AI выложила в открытый доступ Bumblebee, сканер для проверки рабочих компьютеров разработчиков на следы опасных пакетов, расширений и настроек инструментов. Утилита помогает быстро понять, есть ли на машине компоненты, которые уже связали с атаками на цепочки поставок .
Bumblebee написан на Go и поставляется как один исполняемый файл без внешних зависимостей. Сканер работает на macOS и Linux, собирает сведения из локальных метаданных и не меняет файлы на компьютере. Разработчики Perplexity создавали инструмент, чтобы проверять рабочие машины внутри компании, а теперь опубликовали проект для сообщества под лицензией Apache 2.0.
Главная идея Bumblebee заключается в безопасной проверке без запуска стороннего кода. Утилита не вызывает диспетчеры пакетов, не запускает установочные сценарии, не выполняет команды вроде npm ls или go list и не читает исходный код проектов. Вместо такого подхода сканер изучает файлы блокировок, манифесты, служебные данные установленных пакетов, конфигурации Model Context Protocol и сведения о расширениях.
Bumblebee поддерживает npm, pnpm, Yarn, Bun, PyPI, модули Go, RubyGems и Composer. Также сканер проверяет расширения для Visual Studio Code, Cursor, Windsurf и VSCodium, а также расширения для браузеров на основе Chromium и Firefox. Отдельно учитываются настройки Model Context Protocol в поддерживаемых файлах JSON. Если в таких настройках есть переменные окружения или учётные данные, Bumblebee использует конфигурацию только чтобы инвентаризировать серверы и не выводит секреты в отчёт.
Сканер позволяет быстро реагировать на конкретные инциденты. Когда выходит предупреждение о вредоносной версии пакета, опасном расширении или скомпрометированном компоненте, команда безопасности может быстро проверить, на каких рабочих машинах есть совпадение в локальных метаданных. Формат результата – NDJSON, по одной записи на строку, поэтому данные можно отправлять в системы, которые обрабатывают журналы.
В Bumblebee есть три профиля проверки. Baseline позволяет регулярно и без лишней нагрузки инвентаризировать распространённые пользовательские и глобальные пути. Project проверяет заданные каталоги с рабочими проектами, например ~/code или ~/Developer. Deep рассчитан на разовые проверки при разборе инцидентов и может обходить широкие пути, включая домашний каталог пользователя.
Сканер также умеет работать с каталогами рисков. Такой каталог описывает точные сочетания экосистемы, имени пакета и версии, а Bumblebee ищет совпадения на локальной машине. В Perplexity такие каталоги собирают на основе открытых данных об актуальных атаках на цепочки поставок и обновляют через запросы на изменение.
Для небольших команд Bumblebee может стать простой альтернативой тяжёлым корпоративным средствам, которые инвентаризируют рабочие места разработчиков. Утилита не пытается заменить перечни компонентов готового продукта или средства защиты конечных устройств, но закрывает другой практический вопрос: какие опасные пакеты , расширения и настройки прямо сейчас видны на рабочих компьютерах.