Perplexity 公開內部資安掃瞄工具 Bumblebee:揪出 MCP、供應鏈投毒風險
AI 搜尋公司 Perplexity 近期在 GitHub 公開新工具 Bumblebee,定位為唯讀式的資安工具,可掃描本機磁碟上的套件、瀏覽器 / 編輯器外掛,以及 MCP 等開發工具設定,用來回答一個非常實務的資安問題:當某個資安公告點名特定套件、外掛或版本遭到供應鏈攻擊時,企業要如何快速確認「哪些開發者電腦現在就有暴露風險」?
Bumblebee 是什麼?
根據 Perplexity 在 GitHub 的說明,Bumblebee 並不是要取代 SBOM 或 EDR。SBOM 比較適合回答「產品最後出貨包含了什麼」,EDR 則偏向回答「什麼程式執行過、連過網路」。但在供應鏈事件應變中,安全團隊常需要另一種視角:開發者電腦裡散落在 lockfile、package manager metadata、extension manifest、MCP host config 裡的本地狀態。
Bumblebee 的做法,是把這些分散在磁碟上的狀態轉成結構化的 NDJSON component records;如果使用者提供 exposure catalog,也就是已知有問題的套件 / 版本清單,Bumblebee 會標記精準命中的項目,讓資安團隊在已知攻擊指標的情境下,快速做唯讀式暴露檢查。
廣告 - 內文未完請往下捲動
這也讓 Bumblebee 的定位非常清楚:它不是泛用弱點掃描器,是事件發生後,用來追問「我家哪些開發者機器踩到這個地雷」的工具。
掃描範圍:npm、PyPI、Go、RubyGems、Composer
Bumblebee 目前支援多個開發生態系,包含 npm、pnpm、Yarn、Bun、PyPI、Go modules、RubyGems、Composer / Packagist,以及 VS Code、Cursor、Windsurf、VSCodium 等編輯器外掛,另也涵蓋 Chromium-family 與 Firefox 的瀏覽器外掛。
值得注意的是,Bumblebee 特別把 MCP server configs 納入掃描範圍,支援 mcp.json、.mcp.json、claude_desktop_config.json、mcp_config.json、mcp_settings.json、cline_mcp_settings.json,以及 Gemini CLI / Gemini Code Assist 的 ~/.gemini/settings.json。
這代表它不只看傳統開源套件,也開始把 AI agent / AI coding workflow 會用到的 MCP 設定視為供應鏈暴露面的一部分。
不過,Perplexity 也強調 Bumblebee 採取保守設計:它只讀取 lockfile、安裝 metadata、extension manifest 與支援的 JSON 設定檔,不會執行 npm ls、pip show、go list 等 package manager 指令,也不讀取 source file。對於 MCP config 中可能出現的 env block,Bumblebee 會解析所需的 server inventory,但不輸出其中的環境變數值。
三種掃描模式:baseline、project、deep
Bumblebee 提供三種掃描 profile,分別對應不同部署節奏與風險情境。
baseline 主要掃描常見的全域 / 使用者套件根目錄、語言工具鏈、編輯器外掛、瀏覽器外掛與 MCP 設定,適合定期、輕量級的基本盤 inventory。project 則用於掃描開發目錄,例如 ~/code、~/src、~/work 等專案工作區。deep 則是針對明確指定的 root path,例如整個 $HOME,通常用於事件發生後的 on-demand 應變檢查,並搭配 exposure catalog 與 –findings-only 使用。
Perplexity 也設計了一個安全邊界:baseline 與 project 會拒絕直接掃描裸露的 home root,只有 deep 模式允許掃描較廣泛的 $HOME。這代表 Bumblebee 預設不是鼓勵使用者把整台機器無差別掃到底,而是針對不同情境調整掃描範圍。
Exposure Catalog 精準比對已知惡意版本
Bumblebee 最關鍵的功能之一,是支援 Exposure Catalog。這是一種 JSON 格式的清單,使用 (ecosystem, name, version) 做精準比對;例如當公告指出某個 npm 套件的 1.2.3 版本遭到污染,資安團隊就能把該套件與版本寫入 catalog,再用 Bumblebee 掃描開發者端點是否出現命中項。
Perplexity 在 threat_intel/ 目錄中也維護了一批 exposure catalog,來源是公開威脅情報報告,並透過 PR 隨新攻擊活動更新。
目前 catalog 涵蓋多個 2026 年 5 月的供應鏈事件,包括 Mini / Shai-Hulud npm 與 PyPI compromise、Laravel Lang Composer / Packagist 供應鏈攻擊、Nx Console VS Code extension compromise、node-ipc credential-stealer、Go typosquat 後門,以及 RubyGems GemStuffer exfiltration campaign 等。
這個設計很有意思:Bumblebee 不只是工具,也開始像是一個「開發者端點供應鏈攻擊情報格式」的雛形。當新攻擊爆出時,安全團隊不一定要等 EDR 規則或大型平台更新,可以用公開 catalog 快速跑一次端點比對。
為什麼 AI 公司會做這個?MCP 與 coding agent 讓開發者電腦變成新攻擊面
Bumblebee 最值得關注的地方,不只是它支援 npm、PyPI、Go 這些傳統套件生態,而是它把 MCP、AI coding tool、editor extension、browser extension 都納入供應鏈風險範圍。
這反映出一個新趨勢:隨著 Claude Code、Cursor、Windsurf、Gemini CLI、MCP server 等工具進入開發者工作流,開發者端點不再只是「寫 code 的機器」,而是連接模型、API、憑證、本地檔案、repo、瀏覽器 session 的高價值攻擊面。
MCP server 設定中可能包含啟動指令、package selector、Docker image reference,甚至 env block;Bumblebee 雖然不輸出敏感環境變數,但會把設定中的 server identity 轉成 inventory record,讓企業知道自己員工電腦上到底配置了哪些 AI 工具與 MCP server。
Perplexity 公開 Bumblebee 的時機點,剛好踩在「AI agent 工作流普及」與「開源套件供應鏈攻擊升溫」的交會點上。過去企業比較關心 CI/CD、production dependency、container image;但在 agentic coding 時代,開發者本機的外掛、MCP、瀏覽器套件,也會變成供應鏈的一部分。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
