- A Perplexity lançou o Bumblebee, um scanner de apenas leitura que verifica máquinas de desenvolvedores em busca de pacotes, extensões e configurações de IA durante incidentes de cadeia de suprimentos.
- O Bumblebee funciona em MacOS e Linux, é um projeto open source em Go e pode integrar os resultados aos sistemas de segurança já usados pela equipe.
- O foco é em quatro superfícies: gerenciadores de pacotes (como npm, pnpm, Yarn, PyPI, Go modules, entre outros), configurações de agentes de IA (Model Context Protocol), extensões de editor (família VS Code) e extensões de navegador (família Chromium e Firefox).
- O fluxo de uso envolve detecção de sinal, criação de catálogo, pull request no GitHub, revisão humana, execução nos endpoints e compartilhamento dos resultados com a equipe de segurança.
- Em comparação com a Chainguard, Bumblebee atua no laptop do desenvolvedor, visando a integridade antes da produção; a ferramenta é gratuita e de código aberto sob a licença Apache 2.0.
Perplexity lançou o Bumblebee, uma ferramenta de varredura de leitura única criada para verificar máquinas de desenvolvedor durante incidentes de cadeia de suprimentos. O objetivo é identificar se pacotes, extensões e configurações de IA estão presentes nos sistemas de desenvolvedores.
A Bumblebee funciona como scanner de leitura, não altera código nem comportamento de runtime. O foco está em quatro superfícies: gerenciadores de pacotes, configurações de agentes de IA, extensões de editor e extensões de navegador. O projeto é aberto e está disponível em Go.
Segundo a Perplexity, a ferramenta verifica pacotes de linguagem como npm, PyPI, Go modules, entre outros, bem como configurações de Model Context Protocol e extensões do ecossistema VS Code e navegadores Chromium e Firefox. O objetivo é detectar risco na base de desenvolvimento.
A Bumblebee é integrada a um fluxo de trabalho interno da empresa, que começa com um sinal de ameaça identificado em fontes públicas ou internas. O catálogo é atualizado e transformado em PR no GitHub, com uma verificação humana antes da implementação.
Em comparação com Chainguard, Bumblebee atua na máquina do desenvolvedor, antes da construção de contêineres. Enquanto Chainguard foca em imagens base e SBOM, Bumblebee mira pacotes, extensões e configurações instaladas localmente. Ambos são gratuitos e licenciados sob Apache 2.0.
Entre na conversa da comunidade