Perplexity опубликовала исходники Bumblebee — read‑only сканер цепочки поставок для macOS и Linux‑машин разработчиков

Perplexity опубликовала на GitHub исходный код Bumblebee — лёгкого read‑only сканера инвентаря для рабочих станций разработчиков на macOS и Linux. Инструмент уже используется внутри компании для защиты рабочих машин, связанных с их поиском и продуктами Comet (браузер) и Computer (агент); это важно потому, что Bumblebee позволяет безопасно обнаруживать уязвимые локальные артефакты без запуска стороннего кода на ноутбуках разработчиков.

Bumblebee написан на Go и не зависит от внешних библиотек — используется только стандартная библиотека. Сканер спроектирован как «read‑only»: он не запускает код и не вызывает package‑менеджеры, что снижает риск побочных эффектов при запуске на рабочих машинах. Каждый запуск выполняется одноразово: инструмент сканирует и завершается, выводя результаты в формате NDJSON (по одной записи на строку), а служебная диагностика уходит в stderr.

Поиск ориентирован на файлы и метаданные, которые отражают локальное состояние проектов и установленных пакетов: lock‑файлы и установочные метаданные для npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems и Composer. В качестве примеров указаны package‑lock.json, pnpm‑lock.yaml, go.sum и каталоги с *.dist‑info/METADATA. В версии v0.1 не парсится бинарный bun.lockb — поддерживается только текстовый bun.lock.

Кроме менеджеров пакетов, Bumblebee считывает конфигурации AI‑агентов и расширений: MCP JSON‑файлы (mcp.json,.mcp.json, claude_desktop_config.json и похожие) и путь ~/.gemini/settings.json для Gemini CLI. В версии v0.1 не парсятся MCP‑файлы в форматах, отличных от JSON (например, Codex config.toml или Continue YAML). Инструмент не выводит значения переменных окружения и не печатает имена ключей в блоках env. Отдельно сканируются манифесты расширений популярных редакторов и браузеров: расширения VS Code, Cursor, Windsurf, VSCodium, расширения для Chromium‑семейства (Chrome, Comet, Edge, Brave, Arc) и Firefox. Таким образом Bumblebee ориентирован не только на зависимости проектов, но и на расширения и конфигурации, которые могут влиять на безопасность окружения разработчика.

Для управления сканированием в Bumblebee предусмотрены три профиля: baseline — проверяет общие глобальные и пользовательские корни пакетов, toolchains, расширения и MCP; project — таргетирует указанные рабочие каталоги вроде ~/code или ~/src; deep-выполняет глубокий обход корней, заданных оператором (чаще всего домашняя директория) и подходит для инцидент‑реакта. Частота и способ запуска (cron, launchd, systemd или MDM) остаются за операторами. Perplexity описывает внедрение Bumblebee как часть пятишагового рабочего процесса: сигнал о подозрении на угрозу формализуется и попадает в Computer, затем создаётся обновление каталога с PR на GitHub, человек проверяет и мержит, после чего Bumblebee запускается на эндпойнтах, а находки передаются в команду безопасности. Таким образом инструмент помогает оперативно понять, какие машины уязвимы прямо сейчас.