الصفحة الرئيسية
الأخبار
التفاصيل

Perplexity تُطلق أداة الأمان Bumblebee كمصدر مفتوح لفحص أنظمة المطورين

icon币界网
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
أطلقت Perplexity أداة أمان مفتوحة المصدر تُسمى Bumblebee لتعزيز أمان البلوكشين وأدوات المطورين. تقوم الأداة بفحص أنظمة المطورين بحثًا عن برامج ضارة، وامتدادات المتصفح، وإعدادات موصلات الذكاء الاصطناعي. تقوم بقراءة البيانات الوصفية وملفات التكوين دون تشغيل أي كود، مما يقلل من مخاطر النصوص البرمجية. كما تتحقق من ملفات MCP المستخدمة من قبل أدوات الذكاء الاصطناعي مثل Claude و Cursor. وتستخدم Perplexity Bumblebee داخليًا، وأطلقتها على GitHub بموجب ترخيص Apache 2.0.
موقع CoinNews يفيد:

أطلقت Perplexity أداة أمان مفتوحة المصدر تُدعى Bumblebee، مصممة لفحص أجهزة المطورين بحثًا عن حزم برمجية ملوثة، وامتدادات متصفح خبيثة، وتكوينات موصلات أدوات الذكاء الاصطناعي. وتتميز الأداة بعدم استدعاء البرامج قيد الفحص، بل تقرأ مباشرةً البيانات الوصفية والملفات الإعدادية المحلية، لتقليل أقصى قدر ممكن خطر تفعيل الكود الخبيث أثناء التحقق.

لا تشغّل الكود لإكمال التحقق

تتطلب العديد من أدوات المسح الأمني عند فحص الحزم استدعاء فعلي لمديري الحزم أو البرامج ذات الصلة. هذه الطريقة تحمل مخاطر في سيناريوهات الهجوم على سلسلة التوريد، حيث يمكن لبعض النصوص الضارة تنفيذ نفسها تلقائيًا أثناء التثبيت أو الاستدعاء.

توضح Perplexity أن Bumblebee يستخدم طريقة مسح قراءة فقط، وتحلل مباشرة الملفات الأصلية التي تسجل معلومات التثبيت في النظام، دون التفاعل مع العمليات القابلة للتنفيذ أو تعديل محتوى الجهاز. بعد اكتمال المسح، يُصدر الأداة نتائج منظمة تسرد الكيانات المخاطر التي تم اكتشافها.

تم تضمين تكوين MCP في المسح

إحدى النقاط الجديدة في هذه الأداة هي أنها تُعتبر ملفات MCP أيضًا مدخلات أمان تحتاج إلى التحقق منها. MCP هي نوع من التكوينات المحلية التي تحدد الخدمات الخارجية التي يمكن للمساعدين الذكاء الاصطناعي مثل Claude و Cursor الاتصال بها.

إذا قام المهاجم بزرع مُلحَق خبيث في هذه التكوينات، فقد يحصل المساعد الذكي على وصول خلفي إلى البريد الإلكتروني أو قواعد البيانات أو التقويم أو مستودعات الكود، وحتى يُسرب بيانات الاعتماد أو ينفذ أوامر غير مصرح بها. أشار التقرير إلى أن معظم أدوات الأمان الحالية لا تغطي هذا المستوى من المخاطر.

بالإضافة إلى MCP، يدعم Bumblebee فحص ملحقات المتصفحات Chrome وEdge وBrave وArc وFirefox، بالإضافة إلى ملحقات المحرر في VS Code وإصداراته الفرعية.

تم استخدامه في نظام التطوير الداخلي

أشارت Perplexity إلى أنه في 11 مايو، أدخلت منظمة قرصنة تُسمى TeamPCP كودًا ضارًا في أكثر من 160 حزمة، مما أثر على مطورين كثر حول العالم. وشملت الحزم المتأثرة حزم Mistral AI وUiPath، بالإضافة إلى أداة React التي تُحمّل حوالي 12 مليون مرة أسبوعيًا.

تتميز هذه الهجمات بتنفيذ الكود الضار فورًا بمجرد تثبيت المطور لحزمة البرنامج ذات الصلة. وأوضحت Perplexity أن التصميم المقروء فقط لـ Bumblebee كان مخصصًا أصلاً لتجنب مشكلة "التحقق والتشغيل في نفس الوقت" هذه.

  • الأدوات متاحة مجانًا على GitHub
  • بترخيص Apache 2.0
  • دليل مدمج لعينات هجمات سلسلة التوريد الحديثة

حاليًا، تستخدم Perplexity Bumblebee داخليًا لحماية نظام التطوير الخاص بمنتجاتها البحثية، ومتصفح Comet ووكيل الكمبيوتر AI. وتقول الشركة إنه يمكن للفِرق الخارجية أيضًا صيانة دليل التهديدات الخاصة بها بطريقة مماثلة وتشغيل أدوات المسح هذه في بيئة محلية.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.