Perplexity একটি নিরাপত্তা টুল বাম্বিবি ওপেন সোর্স করেছে, যা ডেভেলপারদের জন্য দূষিত সফটওয়্যার প্যাকেজ, ম্যালওয়্যার ব্রাউজার এক্সটেনশন এবং AI টুল কানেক্টর কনফিগারেশন স্ক্যান করতে ব্যবহার করা যায়। এর বৈশিষ্ট্য হলো, এটি পরীক্ষাধীন প্রোগ্রামকে কল করে না, বরং স্থানীয় মেটাডেটা এবং কনফিগারেশন ফাইলগুলি সরাসরি পড়ে, যাতে সমস্যা নির্ণয়ের সময় ম্যালিশিয়াস কোড ট্রিগার না হয়।
কোড চালানো ছাড়াই চেক সম্পন্ন করুন
অনেক সুরক্ষা স্ক্যান টুল প্যাকেজ পরীক্ষা করার সময় প্যাকেজ ম্যানেজার বা সংশ্লিষ্ট প্রোগ্রামকে বাস্তবিকভাবে কল করে। এই পদ্ধতি সাপ্লাই চেইন আক্রমণের পরিস্থিতিতে ঝুঁকিপূর্ণ, কারণ কিছু ম্যালিশিয়াস স্ক্রিপ্ট ইনস্টল বা কল করার সময় স্বয়ংক্রিয়ভাবে চলে।
পার্প্লেক্সিটি অনুসারে, বাম্বিবি শুধুমাত্র পড়ার স্ক্যানিং পদ্ধতি ব্যবহার করে, সিস্টেমে ইনস্টলেশন তথ্য রেকর্ড করা মূল ফাইলগুলির বিশ্লেষণ করে, এক্সিকিউটেবল প্রক্রিয়াগুলির সাথে যোগাযোগ করে না এবং ডিভাইসের কন্টেন্টকেও পরিবর্তন করে না। স্ক্যানিং শেষে, টুলটি একটি স্ট্রাকচারড ফলাফল আউটপুট করে, যা আবিষ্কৃত ঝুঁকির বস্তুগুলির একটি তালিকা দেয়।
MCP কনফিগারেশন স্ক্যানে অন্তর্ভুক্ত করা হয়েছে
এই টুলটির একটি নতুন বৈশিষ্ট্য হল এটি MCP কনফিগারেশন ফাইলকেও পরীক্ষার জন্য একটি নিরাপত্তা এন্ট্রি হিসাবে বিবেচনা করে। MCP হল একধরনের স্থানীয় কনফিগারেশন যা Claude, Cursor ইত্যাদি AI সহায়কগুলিকে কোন বাহ্যিক সেবাগুলির সাথে সংযুক্ত হতে দেয়।
যদি আক্রমণকারী এই কনফিগারেশনগুলিতে ম্যালিশিয়াস কনেক্টর প্রবেশ করায়, তবে এআই সহায়ক ব্যাকগ্রাউন্ডে ইমেইল, ডাটাবেস, ক্যালেন্ডার বা কোড রিপোজিটরি অ্যাক্সেস করতে পারে এবং এমনকি পাসওয়ার্ড প্রকাশ করতে বা অননুমোদিত কমান্ড চালাতে পারে। প্রতিবেদনটি উল্লেখ করে যে, বর্তমানে বেশিরভাগ সুরক্ষা টুলগুলি এই স্তরের ঝুঁকি কভার করে না।
MCP-এর পাশাপাশি, বাম্বিবি ক্রোম, এজ, ব্রেভ, আর্ক এবং ফায়ারফক্সের ব্রাউজার এক্সটেনশন এবং VS Code এবং এর ব্রাঞ্চ ভার্সনগুলিতে এডিটর প্লাগইনগুলি চেক করতে সমর্থন করে।
অভ্যন্তরীণ ডেভেলপমেন্ট সিস্টেমে ব্যবহার করা হয়েছে
পার্প্লেক্সিটি উল্লেখ করেছে যে, 11 মে, একটি টিমপিসিপি নামের হ্যাকার দল 160-এরও বেশি সফটওয়্যার প্যাকেজে ম্যালওয়্যার কোড ইনস্টল করেছিল, যা বিশ্বব্যাপী অসংখ্য ডেভেলপারকে প্রভাবিত করেছিল। প্রভাবিত প্যাকেজগুলির মধ্যে রয়েছে মিস্ট্রাল এআই, উইপাথ সংশ্লিষ্ট প্যাকেজ, এবং প্রতি সপ্তাহে প্রায় 12 মিলিয়ন বার ডাউনলোড হওয়া একটি রিয়্যাক্ট টুল।
এই ধরনের আক্রমণের বৈশিষ্ট্য হল যে, ডেভেলপাররা যেকোনো সম্পর্কিত সফটওয়্যার প্যাকেজ ইনস্টল করার সাথে সাথে ম্যালওয়্যার কোডটি সক্রিয় হয়ে উঠতে পারে। পারপ্লেক্সিটি বলেছে, বাম্বিলির শুধুমাত্র-পড়ার ডিজাইনটি এই ধরনের “চেক-অ্যান্ড-ট্রিগার” সমস্যা এড়ানোর জন্যই তৈরি করা হয়েছিল।
- টুলটি GitHub-এ বিনামূল্যে উন্মুক্ত করা হয়েছে
- Apache 2.0 লাইসেন্স ব্যবহার করা হয়
- সাম্প্রতিক সরবরাহ শৃঙ্খল আক্রমণের নমুনা ডিরেক্টরি অন্তর্ভুক্ত করা হয়েছে
বর্তমানে, পার্প্লেক্সিটি তাদের অনুসন্ধান পণ্য, কমেট ব্রাউজার এবং কম্পিউটার এআই এজেন্টের পিছনের ডেভেলপমেন্ট সিস্টেম সুরক্ষিত করতে বাম্বলবি ব্যবহার করছে। কোম্পানিটি বলেছে যে বাইরের দলগুলি একইভাবে তাদের হুমকি ডিরেক্টরি বজায় রাখতে পারে এবং স্থানীয় পরিবেশে এই স্ক্যানিং টুলস চালাতে পারে।