1. 产品档案 (Product Profile)
Perplexity Bumblebee 是由知名人工智能公司 Perplexity AI 开源的一款针对开发者终端的供应链安全扫描工具。它作为一个只读的扫描器,设计用于快速、安全地检测 macOS 和 Linux 操作系统上的开发者机器是否存在已知风险的软件包、开发环境扩展和 AI 工具配置。
核心价值: 传统安全工具(如软件物料清单 SBOM 或终端检测与响应 EDR)往往侧重于生产环境或运行中的应用程序,而对散布在本地开发环境中的“混乱”状态(如 lockfiles、包管理器缓存、IDE 扩展、浏览器插件、AI 模型配置等)的可见性不足。 Bumblebee 旨在解决这一痛点,它能够快速准确地回答“当一个安全公告指出某个漏洞包时,我们组织内哪些开发机器安装了它?”这样的关键问题。 其只读设计避免了在扫描潜在恶意组件时意外触发其恶意行为,从而确保了扫描过程自身的安全性。
适用人群: 主要适用于需要加强软件供应链安全的组织、安全团队以及使用 macOS 或 Linux 作为开发环境的开发者。它特别有助于那些希望在供应链攻击事件发生时,快速评估开发者机器暴露风险,并将其结果整合到现有安全运营工作流中的团队。
2. 核心功能详解 (Core Features)
只读扫描与零依赖设计 (Read-Only Scanning & Zero-Dependency Design)
Bumblebee 作为 Perplexity AI 的内部工具,后以 Apache 2.0 许可证开源,其核心优势在于其轻量化和高安全性。它是一个单一的 Go 语言二进制文件,仅依赖 Go 标准库构建,不包含任何外部第三方依赖,从而有效降低了工具自身的供应链风险。 在扫描机制上,Bumblebee 采用只读模式,通过直接解析本地元数据文件(例如 package-lock.json、yarn.lock、扩展程序清单、MCP 配置文件等),而非执行包管理器命令(如 npm install、pip install)或项目代码。 这种设计可以防止在检查潜在恶意组件时意外激活其恶意安装脚本或生命周期钩子,确保了在可能已被攻陷的机器上进行扫描时的安全性。
广泛的扫描覆盖范围 (Broad Scan Coverage)
Bumblebee 能够全面扫描开发者终端上的多个关键表面,以识别供应链风险,超越了许多只关注单一领域的工具。其扫描范围包括:
- 语言包管理器: 支持检测主流的包管理器及其依赖,包括 npm、pnpm、Yarn、Bun(JavaScript/TypeScript 生态)、PyPI(Python 生态)、Go modules(Go 生态)、RubyGems(Ruby 生态)和 Composer(PHP 生态)等。
- AI 代理配置: 针对 Model Context Protocol (MCP) 服务器配置进行扫描,涵盖了 AI 工具日益增长的供应链风险。
- 编辑器扩展: 检查 VS Code 系列编辑器(如 VS Code、Cursor、Windsurf、VSCodium)的安装扩展,这些扩展也可能成为攻击目标。
- 浏览器扩展: 扫描 Chromium 和 Firefox 浏览器中安装的扩展程序,因为浏览器扩展也可能被用于恶意目的。
多维度扫描配置文件 (Multiple Scan Profiles)
为了满足不同场景下的安全检查需求,Bumblebee 提供了三种灵活的扫描配置文件,允许用户根据情况选择扫描的广度和深度:
- Baseline (基线模式): 适用于对标准笔记本电脑位置进行例行、轻量级扫描。它会检查全局安装的软件包、用户级别的工具链、编辑器和浏览器扩展以及 MCP 配置。这通常用于获取开发者机器的常规安全快照。
- Project (项目模式): 针对特定的代码仓库或工作区目录进行有针对性的扫描。此模式专注于检查项目级的依赖锁文件和配置,适用于需要了解特定项目安全状态的场景。
- Deep (深度模式): 用于响应活跃的安全事件,提供最广泛的扫描范围。此模式可以接受显式的根路径,包括用户主目录 (
$HOME) 等更广泛的区域,以进行全面的事件响应排查。
自定义暴露目录 (Custom Exposure Catalogs)
Bumblebee 能够将本地扫描到的软件包、扩展和配置信息与预定义的“暴露目录”(exposure catalog)进行比对。这些目录包含了已知存在漏洞或已被攻陷的组件列表。 用户可以使用 Perplexity AI 维护的社区贡献目录,也可以创建或导入自定义的威胁情报目录,以精确匹配组织特有的安全策略或针对特定漏洞进行检查。
3. 新手使用指南 (How to Use)
Perplexity Bumblebee 是一个命令行工具,以下是用户从零开始使用它的典型流程:
第一步:准备环境
- 确保您的开发机器运行的是 macOS 或 Linux 操作系统,因为 Bumblebee 目前仅支持这两种平台。
- 安装 Go 语言环境。Bumblebee 是用 Go 语言编写的,通常通过
go install命令进行安装和管理。
第二步:安装 Bumblebee
- 打开您的系统终端(Terminal)。
- 执行以下 Go 命令来安装 Bumblebee:
go install github.com/perplexityai/bumblebee/cmd/bumblebee@latest - 成功安装后,Bumblebee 的可执行文件通常会放置在您的
$GOPATH/bin或$HOME/go/bin目录下。请确保这些目录已添加到您的系统PATH环境变量中,以便在任何位置直接运行bumblebee命令。
第三步:运行自检 (可选)
- 安装完成后,您可以运行内置的自检功能,以验证 Bumblebee 是否已正确安装并能正常工作:
bumblebee selftest - 如果一切顺利,您将在终端看到自检成功的提示。
第四步:执行扫描
-
进行基线扫描: 这是最常用的扫描模式,用于对开发机器进行常规和轻量级的安全检查。
bumblebee scan --profile baseline > baseline.ndjson- 此命令将执行基线扫描,并将结果输出为 NDJSON (Newline Delimited JSON) 格式,重定向到
baseline.ndjson文件中。您可以使用cat和jq等工具进一步分析此文件。
- 此命令将执行基线扫描,并将结果输出为 NDJSON (Newline Delimited JSON) 格式,重定向到
-
进行项目扫描: 如果您希望专注于特定项目目录中的依赖和配置:
- 首先,建议克隆 Bumblebee 的 GitHub 仓库以获取最新的威胁情报目录:
git clone https://github.com/perplexityai/bumblebee - 然后,运行项目扫描,并指定您的项目路径和威胁情报目录:
bumblebee scan --profile project --root "$HOME/code/my-awesome-project" --exposure-catalog ./bumblebee/threat_intel/ --findings-only- 请将
"$HOME/code/my-awesome-project"替换为您的实际项目路径。--findings-only参数将只输出检测到的安全问题。
- 请将
- 首先,建议克隆 Bumblebee 的 GitHub 仓库以获取最新的威胁情报目录:
-
进行深度扫描: 在响应紧急安全事件时,可能需要对更广泛的范围进行彻底检查:
bumblebee scan --profile deep --root "$HOME"- 此命令将对您的整个用户主目录进行深度扫描。请注意,深度扫描可能需要更长的时间来完成。
第五步:分析扫描结果
- 打开您在第四步中生成的 NDJSON 报告文件(例如
baseline.ndjson)。 - 仔细审查文件内容,它将详细列出所有检测到的与已知威胁目录匹配的软件包、扩展或配置项。每个发现都会包含触发匹配的目录条目信息。
- 根据扫描报告,安全团队和开发者可以采取适当的措施,例如更新受影响的组件、移除有风险的扩展或采取其他缓解措施,以解决潜在的供应链风险。
4. 市场反响与评价 (Market Review)
行业地位
Perplexity Bumblebee 于 2026 年 5 月由 Perplexity AI 开源发布,是该公司内部用于保护其自身开发者系统(包括 Perplexity 搜索产品、Comet 浏览器和 Computer 代理)的安全工具。 它在软件供应链安全领域中占据了一个独特的利基市场,专注于解决传统安全工具(如软件物料清单 SBOM、通用漏洞扫描器或终端检测与响应 EDR)难以覆盖的“开发者终端本地状态”的可见性问题。 作为一个只读、零依赖的 Go 语言二进制工具,Bumblebee 以其高安全性、部署便捷性以及对多维度开发组件(包管理器、AI 配置、编辑器/浏览器扩展)的全面覆盖,在同类工具中展现出独特的价值和竞争力。
用户口碑
正面评价 (Pros):
- 高度安全性: Bumblebee 最大的优势之一是其只读扫描模式。它直接解析元数据文件,从不执行任何安装脚本或调用包管理器,有效避免了在扫描过程中意外触发潜在恶意代码的行为,使其在可能已被攻陷的环境中运行也相对安全。
- 部署与审计简便: 作为一个单一的 Go 二进制文件,Bumblebee 没有额外的第三方依赖,这使得它易于在各种异构的 macOS 和 Linux 开发者环境中部署,并且由于代码库小巧,其可审计性也更强。
- 快速高效: 该工具能够在几秒钟内提供开发者机器上安装的本地库存清单,对于供应链攻击事件发生时,安全团队需要迅速评估暴露范围至关重要。
- 全面覆盖: Bumblebee 能够同时检查语言包管理器、AI 代理配置、编辑器扩展和浏览器扩展,这比许多只专注于其中一两个方面的现有工具更加全面和实用。
- 开源透明与社区驱动: 遵循 Apache 2.0 开源许可证,允许社区贡献威胁情报目录,这种开放性增强了企业安全团队对工具的信任度,并促进了威胁情报的及时更新。
- 填补空白: 业界普遍认为 Bumblebee 填补了现有安全工具在开发者机器本地状态可见性上的关键空白。
负面评价/不足 (Cons):
- 平台限制: 目前 Bumblebee 仅支持 macOS 和 Linux 操作系统,尚不兼容 Windows 开发者环境,这限制了其在某些企业中的适用范围。
- 相对较新: 作为一个新发布的开源项目,Bumblebee 的功能、社区支持和覆盖范围仍在不断发展和迭代中,可能需要时间来成熟和扩大影响力。
- 非完整安全解决方案: 尽管功能强大,但 Bumblebee 并非一个“一站式”的完整安全解决方案。它旨在作为现有 EDR、SIEM、SBOM 或通用漏洞扫描工具的补充,而非替代品。
重要信息
- 开发背景: Perplexity Bumblebee 由 Perplexity AI 公司开发。Perplexity AI 是一家以其基于大型语言模型和实时网络搜索能力的 AI 驱动问答引擎而闻名的公司。 Bumblebee 的开源是其将内部使用的核心安全工具贡献给社区的举措。
- 开源许可: 该项目以 Apache 2.0 许可证发布,这意味着它对商业和非商业用途都是免费且开放的。
- 与 Perplexity AI 内部工作流集成: Perplexity AI 内部使用其 AI 产品,例如 Perplexity Computer,来协助草拟威胁情报目录的更新。当检测到新的威胁信号时,Perplexity Computer 会创建结构化的目录更新,并提交 GitHub PR 进行人工审查,然后由 Bumblebee 在开发者终端上运行扫描。这展示了 AI 技术在自动化安全分析和响应中的潜力。
5. 常见问题解答 (FAQ)
1. Perplexity Bumblebee 究竟是什么?
Perplexity Bumblebee 是 Perplexity AI 公司开源的一款命令行工具,专为 macOS 和 Linux 开发者终端设计,用于只读扫描本地环境中是否存在已知存在安全风险的软件包、开发工具扩展和 AI 工具配置,以帮助应对软件供应链攻击。
2. Bumblebee 支持哪些操作系统?
目前,Bumblebee 仅支持在 macOS 和 Linux 操作系统上运行。
3. Bumblebee 如何确保扫描过程的安全性?
Bumblebee 的关键特点是其只读性。它通过直接读取文件元数据(如依赖锁文件、扩展清单)来收集信息,而不会执行任何包管理器命令或项目代码。这种设计避免了在扫描潜在恶意组件时,意外触发其恶意安装脚本或行为。
4. Bumblebee 能扫描哪些类型的组件?
Bumblebee 的扫描范围广泛,包括:各种语言的包管理器依赖(如 npm, PyPI, Go modules 等)、AI 代理配置(Model Context Protocol, MCP)、主流代码编辑器(如 VS Code 系列)的扩展,以及浏览器(Chromium 和 Firefox)的扩展程序。
5. Bumblebee 是一个完整的安全解决方案吗?
不是。Bumblebee 是一个高度专业化的工具,专注于解决开发者终端供应链风险的特定问题。它被设计为现有安全基础设施(如 EDR、SIEM、SBOM 生成工具和通用漏洞扫描器)的有效补充,而非替代品。
6. 如何获取 Bumblebee 的最新威胁情报目录?
Bumblebee 的威胁情报目录通过其 GitHub 仓库中的社区贡献 PR 进行持续更新。用户可以通过克隆或同步 Bumblebee 的 GitHub 仓库来获取最新的目录文件。
7. 我是否可以使用自定义的威胁情报?
是的,Bumblebee 支持用户通过指定 --exposure-catalog 参数来使用自己定制的威胁情报目录,以满足特定的安全策略或针对内部发现的威胁进行检查。
8. Bumblebee 在扫描过程中是否会向外部发送数据?
Bumblebee 在执行扫描任务时是完全离线的,它不会进行任何网络调用来发送扫描数据或收集信息。 扫描结果以 NDJSON 格式输出到本地,用户可以根据自己的安全策略决定如何处理和聚合这些数据。
9. Perplexity AI 为什么要开发并开源 Bumblebee?
Perplexity AI 自身拥有一支庞大的工程师团队,其开发者机器广泛使用 AI 辅助编程工具,面临着日益复杂的软件供应链攻击威胁。为了增强自身产品的安全性,并回馈更广泛的开发者和安全社区,Perplexity AI 选择将其内部使用的这款有效工具开源。
10. 如何将 Bumblebee 集成到现有的安全工作流中?
Bumblebee 输出的 NDJSON 格式结果易于解析和集成。安全团队可以将其扫描结果通过管道传输到其他自动化脚本、移动设备管理 (MDM) 系统、安全信息和事件管理 (SIEM) 平台或事件响应流程中,实现自动化聚合、分析和警报。它也可以集成到 CI/CD 流程中作为安全门禁。
