Bumblebee : le scanner open source de Perplexity pour détecter les risques de supply chain sur les postes de développement

Pourquoi le mode « lecture seule » est crucial

La plupart des scanners de dépendances exécutent les gestionnaires de paquets pour analyser un projet. Bumblebee adopte une approche différente : il ne lance jamais ces outils et ne déclenche aucun script d’installation.

À la place, il lit uniquement les métadonnées déjà présentes sur le disque, comme les fichiers de verrouillage de dépendances ou les registres des paquets installés.

Cette approche est importante lors d’une investigation de sécurité. Certains paquets malveillants cachent leur charge utile dans des scripts d’installation ou de post‑installation. Si un outil de sécurité exécute ces scripts pendant l’analyse, il pourrait involontairement activer le malware.

Bumblebee évite ce risque en :

• lisant directement les métadonnées sur le disque plutôt que d’appeler npm, pip ou d’autres gestionnaires de paquets ;
• n’exécutant aucun script d’installation ;
• traitant la machine uniquement comme une source d’inventaire.

Le résultat est un modèle d’inspection passif et sûr, qui révèle les expositions sans modifier l’environnement analysé.

Ce que le scanner analyse

Bumblebee se concentre sur plusieurs surfaces souvent impliquées dans les attaques de supply chain modernes.

Écosystèmes de paquets

L’outil lit les métadonnées de plusieurs gestionnaires de paquets populaires, notamment :

• npm, pnpm, Yarn et Bun
• PyPI
• Go modules
• RubyGems
• Composer

En analysant les lockfiles et les métadonnées associées, il peut identifier les versions exactes des dépendances présentes sur une machine, sans exécuter le gestionnaire de paquets.

Extensions d’éditeurs de code

Les extensions d’éditeurs (comme celles utilisées dans VS Code ou d’autres IDE) peuvent accéder au code source, aux tokens ou aux identifiants des développeurs. Bumblebee inventorie ces extensions et leurs manifests afin de repérer les plugins potentiellement compromis.

Extensions de navigateur

Les extensions de navigateur font désormais partie de la surface de risque des développeurs. Certaines peuvent accéder aux cookies, aux sessions ou aux outils internes. Bumblebee peut recenser les extensions installées pour détecter celles associées à des alertes de sécurité ou à des activités malveillantes.

Configurations d’agents IA et MCP

Les outils de développement intégrant l’IA ouvrent un nouveau vecteur d’attaque. Bumblebee examine les fichiers de configuration des agents utilisant le Model Context Protocol (MCP) et d’autres formats de configuration d’outils IA.

Ces fichiers — par exemple mcp.json ou d’autres configurations similaires — peuvent pointer vers des services ou des outils externes susceptibles d’introduire des risques dans la chaîne logicielle.

Des profils de scan pour différents scénarios

Bumblebee propose plusieurs profils de scan afin de s’adapter aux différents besoins des équipes sécurité.

Baseline

Un scan léger qui inspecte les emplacements standards d’une machine de développeur. Les entreprises peuvent l’exécuter régulièrement via leurs outils de gestion de parc informatique (MDM ou gestion de flotte).

Project

Un scan ciblé sur des répertoires de développement ou des dépôts spécifiques afin d’examiner les dépendances utilisées dans des projets actifs.

Deep

Un mode d’investigation plus large, généralement utilisé lors d’un incident de sécurité. Il explore davantage d’emplacements dans le système de fichiers pour identifier toutes les expositions possibles.

Grâce à ces profils, les équipes peuvent passer d’une surveillance régulière à une enquête approfondie sans changer d’outil.

Détection basée sur des catalogues d’exposition

Les détections de Bumblebee reposent sur des catalogues d’exposition : des listes de paquets, versions, extensions ou configurations identifiés comme risqués.

Lorsqu’il inventorie une machine, le scanner compare les composants trouvés à ces catalogues pour repérer les correspondances.

Chaque détection indique :

• l’entrée du catalogue qui a déclenché l’alerte ;
• la date d’ajout de cette entrée ;
• les preuves montrant le composant présent sur la machine.

Cela permet aux équipes sécurité de répondre rapidement à une question essentielle lors d’un incident : quelles machines de développeurs sont actuellement exposées à ce paquet ou à cette vulnérabilité ?

Pourquoi ce type d’outil devient indispensable

Les attaques visant la supply chain logicielle ont fortement augmenté ces dernières années. Des recherches de Sonatype ont identifié plus de 1,23 million de paquets open source malveillants, dont plus de 454 000 découverts en 2025 seulement.

Parallèlement, un rapport de ReversingLabs signale une hausse de 73 % des paquets open source malveillants détectés en 2025 par rapport à l’année précédente.

Dans le même temps, les postes de développeurs exécutent aujourd’hui un nombre croissant de composants : gestionnaires de paquets, extensions d’éditeur, plugins de navigateur et outils d’IA. Beaucoup d’organisations disposent encore de peu de visibilité sur cet environnement local.

Bumblebee vise justement à combler cette lacune en offrant un moyen rapide et sûr d’inventorier les composants présents sur les machines des développeurs et de repérer les expositions lors d’incidents de supply chain.

À retenir

Avec Bumblebee, Perplexity propose une approche pragmatique d’un problème complexe : détecter rapidement les composants à risque sur les machines des développeurs sans déclencher de code malveillant pendant l’analyse.

Grâce à son modèle de scan en lecture seule, à sa couverture des outils modernes (dépendances, extensions et configurations d’IA) et à ses détections basées sur des catalogues, l’outil offre aux équipes sécurité une nouvelle couche de visibilité sur les endpoints des développeurs — un maillon critique dans la sécurité des logiciels modernes.