Ipinaglaban ng Perplexity ang isang security tool na tawagin ay Bumblebee, na nag-aalok ng pag-scan sa mga nasirang software package, malisius na browser extension, at configuration ng AI tool connectors para sa mga developer. Ang tampok nito ay hindi itinatawag ang mga programang susuriin, kundi direktang binabasa ang lokal na metadata at configuration files, upang mabawasan ang posibilidad na ma-trigger ang malicious code habang nagpapagawa ng pagmamasid.
Huwag patakbuhin ang code para sa pagsusuri
Ang ilang mga tool para sa pag-scan ng seguridad ay nangangailangan ng aktibong pagtawag sa package manager o mga kaugnay na programa habang sinusuri ang mga package. Ang paraang ito ay may panganib sa mga skenaryo ng supply chain attack, dahil ang ilang masasamang script ay awtomatikong gumagana habang inii-install o tinatawag.
Ipinapakilala ng Perplexity na ang Bumblebee ay gumagamit ng read-only scanning method, na diretso ang pag-analisa sa mga orihinal na file na nag-uugnay sa impormasyon ng pag-install, nang hindi nakakontak sa mga executable process at hindi nagbabago ng nilalaman ng device. Pagkatapos ng scanning, ang tool ay maglalabas ng structured results na listahan ng mga natuklasang risk objects.
Ang MCP configuration ay isinama sa scan
Ang isang bagong tampok ng kasangkapan na ito ay ang pagtingin sa MCP configuration file bilang isang security entry point na kailangang i-check. Ang MCP ay isang uri ng local configuration na nagtatakda kung anong mga external service ang maaaring i-connect ng mga AI assistant tulad ng Claude at Cursor.
Kung i-insert ng attacker ang masamang connector sa mga konfigurasyong ito, maaaring ma-access ng AI assistant ang email, database, kalendaryo, o code repository sa background, at kahit na i-leak ang credentials o i-execute ang mga awtorisadong utos. Ayon sa ulat, ang karamihan sa kasalukuyang security tools ay hindi pa nakakapag-cover sa antas na ito ng panganib.
Bukod sa MCP, suporta rin ng Bumblebee ang pagsusuri sa mga browser extension ng Chrome, Edge, Brave, Arc, at Firefox, pati na rin sa mga editor plugin sa VS Code at mga branch nito.
Nagamit na sa loob ng sistema ng pag-unlad
Sinabi ng Perplexity na noong Mayo 11, isang grupo ng hacker na tinatawag na TeamPCP ay naglagay ng masamang code sa higit sa 160 na package, na nakaaapekto sa maraming developer sa buong mundo. Ang mga napepektong package ay kasama ang Mistral AI, mga package na may kinalaman sa UiPath, at isang React tool na may halos 12 milyong download bawat linggo.
Ang katangian ng ganitong uri ng pag-atake ay ang pagpapalabas ng masamang code agad pagkatapos i-install ng developer ang kaugnay na package. Sinabi ng Perplexity na ang disenyo na read-only ng Bumblebee ay idinisenyo upang maiwasan ang ganitong uri ng “trigger-on-scan” na problema.
- Ang tool ay libre nang ipinakalabas sa GitHub
- Ginagamit ang Apache 2.0 License
- Nakapaloob na direktoryo ng mga sample ng recent supply chain attack
Kasalukuyan, ginagamit na ng Perplexity ang Bumblebee upang protektahan ang kanilang search product, Comet browser, at ang development system sa likod ng Computer AI agent. Sinasabi ng kumpanya na maaari rin ng mga panlabas na team na panatilihin ang kanilang sariling directory ng banta at patakbuhin ang set na ito ng scanning tools sa kanilang lokal na environment.