Bumblebee 是 Perplexity 開源的唯讀式安全掃描器,可在 macOS 與 Linux 開發者電腦上盤點套件、外掛與 AI 工具設定,用於檢測供應鏈風險。[1][13] 它只讀取本機鎖檔、套件紀錄與外掛設定等中繼資料,不會執行 npm、pip 等套件管理器或安裝腳本,避免在調查時觸發惡意程式。[4][13] 透過三種掃描模式與基於風險目錄(catalog)的偵測方式,安全團隊能在供應鏈事件中快速找出哪些開發者端點受到影響。[1][14]

Create a landscape editorial hero image for this Studio Global article: What is Perplexity’s open‑source Bumblebee supply‑chain security scanner, how does its read‑only scanning approach help prevent triggering m. Article summary: Perplexity’s Bumblebee is an open-source, read-only scanner for developer machines that Perplexity says it uses during software supply-chain incidents to check for risky packages, extensions, and AI tool configurations.[. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Perplexity releases Bumblebee, an open-source read-only scanner for macOS and Linux, that inventories packages, browser extensions, and configurations to detect supply-chain risk" source context "Perplexity releases Bumblebee, an open-source read-only scanner for macOS and Linux, that inventories packages, brow
現代軟體開發高度依賴開源套件、開發工具、編輯器外掛,以及越來越多的 AI 助手。這種生態系帶來了巨大的生產力,但同時也讓軟體供應鏈攻擊面迅速擴大。
Perplexity 最近將其內部使用的安全工具 Bumblebee 開源。這是一個專門用來掃描開發者電腦的安全工具,可以快速找出系統中是否存在有風險的套件、外掛或 AI 工具設定。
與許多安全工具不同的是,Bumblebee 採用 完全唯讀(read‑only)設計。這意味著它在調查供應鏈事件時,只會讀取系統中的資訊,而不會執行任何安裝或腳本,降低誤觸惡意程式的風險。
Bumblebee 是 Perplexity 開源的輕量級安全掃描器,主要用於檢查 開發者端點(developer endpoints) 上的軟體組件。
它可直接在 macOS 與 Linux 開發者電腦上執行,並盤點系統中已安裝的套件、外掛與 AI 工具設定。
與傳統安全工具常聚焦於原始碼庫或生產環境不同,Bumblebee 專門檢查開發者工作站本身。這個環節往往是企業安全可視性最薄弱的地方,但卻是供應鏈攻擊常見的切入點。
透過快速盤點本機環境,安全團隊可以回答一個關鍵問題:
某個已被通報存在風險的套件或外掛,是否已經出現在開發者的電腦上?
Bumblebee 最大的設計特色是:不會執行任何套件管理器或安裝腳本。
它只會讀取磁碟上的中繼資料,例如:
這樣的設計在資安事件調查中特別重要。
許多惡意套件會把攻擊行為藏在 install hook 或 post‑install script 中。如果掃描工具在調查時觸發這些流程,反而可能啟動惡意程式。
Bumblebee 的唯讀模型可避免這種情況,因為它:
結果就是一種被動但安全的檢查方式:可以找出潛在暴露風險,但不會改動系統。
Bumblebee 會盤點開發者電腦中幾種常見的供應鏈攻擊入口。
工具會讀取多個常見套件生態系的中繼資料,包括:
它透過解析 lockfile 或套件資訊,判斷系統中有哪些套件與版本,而不需要執行套件管理器。
現代開發者大量使用 IDE 或程式編輯器外掛,而這些外掛通常能存取原始碼、API token 或憑證。
Bumblebee 會盤點 編輯器外掛與其設定檔,找出可能存在風險或被入侵的插件。
越來越多安全研究將瀏覽器外掛視為開發供應鏈的一部分。Bumblebee 也能盤點系統中的 瀏覽器擴充套件,協助比對已知風險清單。
隨著 AI 開發工具普及,新的攻擊面也開始出現。
Bumblebee 會掃描與 Model Context Protocol(MCP) 或其他 AI agent 工具相關的設定檔,例如 mcp.json 等配置。
這些設定可能連結外部服務或工具,如果被入侵,也可能成為供應鏈攻擊的入口。
Bumblebee 提供三種掃描模式(scan profiles),讓企業能依不同需求調整掃描範圍。
基礎盤點模式,掃描常見的開發者電腦目錄。企業可以透過 MDM 或裝置管理系統定期執行這種掃描。
針對特定專案或開發目錄進行掃描,例如某個 repository 或 workspace。
完整掃描模式,通常在發生資安事件時使用,會搜尋更廣泛的檔案系統路徑,以找出所有潛在暴露點。
這三種模式讓團隊可以從日常監控延伸到事件應變調查。
Bumblebee 的偵測機制依賴一種稱為 exposure catalog(暴露風險目錄) 的資料來源。
這些目錄包含已知有問題的:
掃描時,Bumblebee 會將本機盤點結果與目錄比對。如果發現命中項目,就會標記為潛在風險。
每個偵測結果都能追溯,例如:
這讓資安團隊能快速回答一個關鍵問題:
目前有哪些開發者電腦暴露在這個供應鏈漏洞之下?
近年來,開源生態系已成為攻擊者的重要目標。
研究顯示,已知的惡意開源套件總數已超過 123 萬個,其中 2025 年就新增超過 45.4 萬個。
另一份報告指出,2025 年偵測到的惡意開源套件數量比前一年增加了 73%。
同時,開發者電腦上運行的工具種類也越來越多:
許多企業其實對這些本機環境缺乏可視性。
Bumblebee 的定位正是補上這個缺口:
它不取代 runtime security 或 repository scanning,而是提供開發者端點層級的快速盤點能力,讓企業在供應鏈事件發生時能迅速確認影響範圍。
Perplexity 開源的 Bumblebee 提供了一種務實的解法:
在不執行任何程式碼的情況下,安全地盤點開發者電腦中的潛在供應鏈風險。
透過:
安全團隊可以在供應鏈事件發生時,迅速了解哪些開發者端點受到影響。
隨著 AI 工具與開源依賴持續增加,能夠安全盤點開發者環境的工具,正逐漸成為現代應用安全體系中的關鍵一環。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Bumblebee 是 Perplexity 開源的唯讀式安全掃描器,可在 macOS 與 Linux 開發者電腦上盤點套件、外掛與 AI 工具設定,用於檢測供應鏈風險。[1][13]
Bumblebee 是 Perplexity 開源的唯讀式安全掃描器,可在 macOS 與 Linux 開發者電腦上盤點套件、外掛與 AI 工具設定,用於檢測供應鏈風險。[1][13] 它只讀取本機鎖檔、套件紀錄與外掛設定等中繼資料,不會執行 npm、pip 等套件管理器或安裝腳本,避免在調查時觸發惡意程式。[4][13]
透過三種掃描模式與基於風險目錄(catalog)的偵測方式,安全團隊能在供應鏈事件中快速找出哪些開發者端點受到影響。[1][14]