Открыт исходный код Bumblebee — read‑only сканер для рабочих станций разработчиков

Исходный код Bumblebee опубликован: это read‑only сканер, предназначенный для проверки ноутбуков и рабочих станций разработчиков на наличие рискованных пакетов, расширений и конфигураций AI‑агентов. Инструмент использовали внутри компании для защиты собственных систем, включая продукты Comet и Perplexity Computer, а публичная публикация даёт возможность другим командам безопасности применять ту же методику при оценке экспозиции после раскрытия уязвимости. Технически Bumblebee работает через чтение метаданных: lockfiles, манифестов и метаданных установленных пакетов, не выполняя установки и не взаимодействуя с менеджерами пакетов. Он никогда не вызывает npm, pnpm, bun, pip и аналогичные менеджеры, не запускает lifecycle‑скрипты и не читает исходные файлы приложений. Такой read‑only дизайн минимизирует риск непреднамеренного срабатывания postinstall‑скриптов и распространения потенциального заражения в ходе самой проверки.

Рост атак, нацеленных на библиотеки, расширения и локальные окружения разработчиков, а также сложность современных цепочек поставок сделали недостаточными классические SBOM‑инструменты и уязвимости‑сканеры, которые чаще ориентируются на репозитории и артефакты сборки. Для оперативной реакции на инциденты в цепочке поставок требуется инструмент, способный безопасно инвентаризировать конечные точки разработчиков — именно для этой задачи создан Bumblebee. Публичный релиз означает, что команды безопасности могут повторно использовать подход: формировать собственные каталоги «плохих» версий и на их основе прогонять сканер по конечным точкам, а затем интегрировать результаты в уже существующие процессы инцидент‑реагирования. Авторы подчёркивают, что read‑only подход позволяет оценивать экспозицию без увеличения риска для исследуемых машин, что критично при расследовании после раскрытия уязвимости или компрометации.

Bumblebee предлагает три профиля сканирования для разных сценариев: baseline — плановые проверки стандартных локаций на устройстве, project — целевые проверки конкретных репозиториев и рабочих пространств, и deep-углублённый обход для работы при активных инцидентах. Обнаружения связываются с записями каталога и сопровождаются указанием источника, версии, времени добавления и доказательствами, пригодными для последующей верификации командой безопасности. Инструмент покрывает четыре класса поверхностей, часто остающихся вне поля зрения одиночных утилит: менеджеры пакетов (npm, pnpm, Yarn, Bun, PyPI, Go modules, RubyGems, Composer), конфигурации AI‑агентов (MCP), расширения редакторов семейства VS Code (включая Cursor, Windsurf, VSCodium) и браузерные расширения для Chromium‑семейства (Chrome, Comet, Edge, Brave, Arc) и Firefox. Такое объединение сокращает потребность в комбинации нескольких точечных инструментов и облегчает получение единой картины по конечной точке.

Bumblebee реализован как open‑source проект на Go и распространяется для macOS и Linux. Команды могут скачать репозиторий, использовать собственные каталоги уязвимых версий и подключать вывод сканера к MDM‑решениям, инструментам управления флотом или процессам реагирования. При этом разработчики чётко отмечают: Bumblebee не является EDR и задуман исключительно для безопасной оценки экспозиции разработческих машин, а не для постоянного мониторинга или активного предотвращения атак.