Perplexity открыла исходный код сканера Bumblebee для защиты ИИ-разработки

Perplexity AI открыла исходный код Bumblebee - компактного сканера для защиты macOS и Linux от атак на цепочки поставок (supply-chain). Инструмент проверяет конфигурации ИИ-агентов, браузерные расширения и зависимости в популярных пакетных менеджерах.

Защита окружения в эпоху автоматической генерации кода

Рост популярности ИИ-ассистентов и сред разработки обострил проблему supply-chain атак. Злоумышленники атакуют инженеров через сторонние зависимости: npm-пакеты, Python-библиотеки, плагины для редакторов и конфигурации автономных агентов. Одна скрытая уязвимость в цепочке поставок позволяет скомпрометировать весь процесс создания продукта.

Для решения этой проблемы Perplexity вывела во внешний open-source свой внутренний инструмент Bumblebee, который изначально создавался для защиты собственных ИИ-сервисов компании. Основная задача утилиты - быстрая проверка рабочих машин на наличие рискованных пакетов и некорректных настроек ИИ-инструментов.

Безопасный анализ метаданных без запуска кода

Bumblebee написан на языке Go и поставляется в виде одного статического бинарного файла без внешних зависимостей. Инструмент работает исключительно в режиме чтения (read-only): он не запускает пакеты, не выполняет установочные скрипты и не сканирует сам исходный код. Сканер анализирует только метаданные - файлы манифестов, конфигурации и lock-файлы. Благодаря этому процесс сканирования полностью изолирован и не может стать вектором заражения.

Инструмент проверяет четыре ключевых слоя: - Пакетные менеджеры: npm, pnpm, Yarn, Bun, PyPI, Go modules, RubyGems и Composer; - Настройки ИИ-агентов: конфигурации Model Context Protocol (MCP) и связанные параметры; - Расширения редакторов кода: VS Code, Cursor, Windsurf и VSCodium; - Браузерные расширения: Chromium-based (Chrome, Edge, Brave, Arc) и Firefox.

Разработчикам доступны три профиля работы: Baseline для регулярного мониторинга стандартных папок, Project для целевой проверки репозиториев и Deep для глубокого анализа системы в случае инцидентов. Результаты выгружаются в структурированном формате NDJSON.

Гибридный подход к отслеживанию рисков

Внутренняя инфраструктура Perplexity сочетает Bumblebee с возможностями платформы Perplexity Computer. ИИ-модели непрерывно отслеживают появление новых угроз в сети и формируют свежие каталоги рисков. После проверки данных профильными специалистами (человеческого ревью) обновленный каталог передается сканеру, который ищет совпадения на конечных точках (endpoints).

Проект опубликован на GitHub под свободной лицензией Apache 2.0. Утилита устанавливается через стандартную команду go install. В репозитории уже размещены базовые примеры каталогов угроз, которые были собраны поисковыми алгоритмами компании.

Смещение акцента на безопасность экосистемы

Релиз Bumblebee отражает важный тренд: лидеры индустрии вынуждены инвестировать в защиту инфраструктуры вокруг моделей, а не только в их обучение. Скорость написания кода с помощью ИИ выросла, что усложнило ручной аудит зависимостей. Подобные open-source инструменты позволяют распределенным командам оперативно закрывать бреши в защите локальных окружений без затрат на дорогой корпоративный софт.

perplexity bumblebee open-source кибербезопасность