Perplexity 开源 Bumblebee:扫描开发机供应链与 AI 配置风险
Perplexity 开源 macOS / Linux 只读扫描工具 Bumblebee,可检查开发机上的高风险依赖、扩展和 AI 工具配置,并能与 Comet 浏览器联动在新风险出现时触发深度扫描。
查看原文Perplexity 开源 Bumblebee,主打开发机本地 AI 工具链安全扫描,覆盖依赖、扩展和 AI 配置风险。与传统 SCA 工具不同,它聚焦开发者个人工作站的「最后一公里」安全盲区,适合重视供应链安全的企业团队使用。
产品是什么
Bumblebee 是 Perplexity 开源的只读扫描工具,专注于 macOS 和 Linux 开发机环境的安全审计。与传统 Software Composition Analysis (SCA) 工具面向 CI/CD 流水线不同,Bumblebee 直接扫描开发者本地机器,检查三类高风险目标:
- 依赖风险:npm/pip/gem 等包管理器的已知漏洞依赖
- 扩展暴露面:VS Code、Cursor 等编辑器的第三方扩展权限
- AI 工具配置:本地 LLM 配置、API 密钥存储、模型下载来源
最关键的差异化特性是 Comet 浏览器联动:当用户浏览存在风险的网站时,Comet 可触发本地 Bumblebee 深度扫描,实现「浏览即检测」。
解决什么问题
企业安全团队普遍关注代码仓库和 CI/CD 管道的安全,但对开发者个人工作站的盲区长期忽视。研究显示,70% 以上的供应链攻击通过开发者机器作为跳板——攻击者利用 IDE 扩展漏洞、恶意 npm 包或配置不当的 AI 工具(如
继续阅读深度解读 + 编辑加注
下方还有 3-5 段深度分析 + Vincent 编辑加注 + 可点击信源,仅 Pro 会员可见
¥99 / 季 · 每周 1 篇深度研报 · 飞书+微信群双通道
已是 Pro 但仍被提示?联系反馈
- Perplexity 开源 Bumblebee 公告 · 2026-05-22
- Bumblebee GitHub 仓库 · 2026-05-22
- 2025 State of Software Supply Chain Security (Sonatype) · 2025-01-15