Perplexity открыла сканер Bumblebee для защиты разработческих систем

Компания Perplexity опубликовала исходный код своего внутреннего инструмента безопасности Bumblebee. Это read-only сканер для разработческих систем, который помогает найти уязвимости в цепочке зависимостей, не запуская никакой код и не вызывая менеджеры пакетов.

Что такое

Bumblebee Bumblebee — это инструмент инвентаризации (inventory collector) для операционных систем macOS и Linux. Его разработала Perplexity специально для защиты своих собственных разработческих систем, на которых работают её AI-поиск Comet и агент Computer. Инструмент работает по принципу read-only: он анализирует уже установленные зависимости и расширения, но никогда не запускает их код.

Это критически важно для безопасности. Многие атаки на разработческие системы происходят именно во время установки пакета или инициализации расширения. Вредоносный код может скрываться в скриптах, которые запускаются автоматически при первом импорте модуля или при загрузке расширения.

Благодаря read-only подходу Bumblebee полностью минимизирует риск срабатывания скрытого вредоноса на машине разработчика. Подход read-only особенно важен потому, что позволяет сканировать даже потенциально опасные пакеты без страха. Если инструмент случайно столкнётся с вредоносным кодом, он его не запустит — просто расскажет разработчику, что обнаружил подозрительный пакет.

Какие зависимости сканирует

Bumblebee разработан как универсальный сканер — он может анализировать зависимости из разных экосистем и инструментов разработки. Вот полный спектр того, что он поддерживает: npm пакеты для Node.js экосистемы PyPI пакеты для Python и Pip Go модули и зависимости Конфигурации MCP (Model Context Protocol) Расширения для браузеров (Chrome, Firefox и другие) Плагины для редакторов кода (VS Code, Sublime и другие) Каждый из этих векторов постоянно используется в атаках на цепочку поставок (supply chain attacks). Именно поэтому Perplexity решила открыть исходный код инструмента — компания верит, что другие разработчики и организации должны иметь доступ к инструментам защиты.

Почему supply chain безопасность критична

Атаки на цепочку поставок (supply chain attacks) стали одной из самых опасных и коварных угроз в 2024–2025 годах. Вместо того чтобы атаковать конечный продукт, киберпреступники часто вредят инструментам и библиотекам, на которые полагаются тысячи компаний и разработчиков. Конкретные примеры уже произошли. Несколько лет назад в популярный npm пакет была внедрена вредоносная версия, которая молча собирала данные с разработческих машин. Или другой хорошо известный случай — библиотека для работы с изображениями содержала скрытый код, который вызывал криптомайнер на машине разработчика при импорте модуля.

«Разработческие системы — это ключ к королевству для любой компании.

Если взломать машину разработчика, можно получить доступ к исходному коду, учётным данным, токенам API, секретам развёртывания и многому другому», — говорит общепринятая точка зрения в сообществе InfoSec. Именно здесь и помогает Bumblebee. Инструмент как раз нацелен на раннее обнаружение таких рисков, задолго до того, как вредоносная зависимость попадёт на production-сервер и начнёт наносить реальный ущерб.

Что это значит

Open-source инструмент от Perplexity демонстрирует растущее понимание в индустрии: security разработческих систем — это не опция, а жизненная необходимость. Инструмент позволяет любому разработчику или компании регулярно проверять, какие зависимости установлены в их системе, и выявлять потенциально опасные или устаревшие версии. Для соло-разработчиков это шанс найти уязвимости в своих собственных проектах до того, как они попадут на публичный сервер. Для больших компаний это инструмент для комплексного аудита DevOps инфраструктуры и проверки соответствия security policies. Для security и DevOps команд — это один из кирпичиков в фундаменте защиты от атак на supply chain. По сути, Perplexity поделилась куском своей внутренней безопасности с сообществом разработчиков — и это добрый знак для всей индустрии в целом.