Perplexity ने डेवलपर्स के लिए एक सुरक्षा उपकरण Bumblebee ओपन सोर्स किया है, जो संक्रमित सॉफ्टवेयर पैकेज, दुष्ट ब्राउज़र एक्सटेंशन और AI टूल कनेक्टर कॉन्फ़िगरेशन की जांच के लिए उपयोग किया जाता है। इसकी विशेषता यह है कि यह जांचे जा रहे प्रोग्राम को कॉल नहीं करता, बल्कि स्थानीय मेटाडेटा और कॉन्फ़िगरेशन फ़ाइलों को सीधे पढ़ता है, ताकि जांच के दौरान दुष्ट कोड को ट्रिगर किए बिना समस्या का पता लगाया जा सके।
कोड चलाए बिना जांच पूरी न करें
कई सुरक्षा स्कैनिंग उपकरण एक पैकेज की जांच के दौरान, पैकेज मैनेजर या संबंधित कार्यक्रम को वास्तविक रूप से कॉल करते हैं। इस तरीके से सप्लाई चेन हमलों के परिदृश्य में जोखिम होता है, क्योंकि कुछ दुर्भावनापूर्ण स्क्रिप्ट स्थापित या कॉल करते समय स्वचालित रूप से निष्पादित हो जाते हैं।
Perplexity के अनुसार, Bumblebee पढ़ने योग्य स्कैनिंग विधि का उपयोग करता है, जो सिस्टम में स्थापना जानकारी दर्ज करने वाली मूल फाइलों का सीधे विश्लेषण करता है, निष्पादनीय प्रक्रियाओं को स्पर्श नहीं करता और डिवाइस की सामग्री में कोई परिवर्तन नहीं करता। स्कैनिंग पूरी होने के बाद, उपकरण संरचित परिणाम निकालता है, जिसमें पाए गए जोखिम वाले ऑब्जेक्ट्स की सूची दी जाती है।
MCP कॉन्फिगरेशन को स्कैन में शामिल किया गया है
इस उपकरण की एक नई विशेषता यह है कि यह MCP कॉन्फ़िगरेशन फ़ाइल को भी सुरक्षित एंट्री पॉइंट के रूप में जांचने के लिए मानता है। MCP एक प्रकार का स्थानीय कॉन्फ़िगरेशन है, जो Claude, Cursor आदि AI सहायकों को कौन सी बाहरी सेवाओं से जुड़ने की अनुमति देता है।
यदि हमलावर इन कॉन्फ़िगरेशन में दुर्भावनापूर्ण कनेक्टर घुसा देता है, तो AI सहायक पृष्ठभूमि में ईमेल, डेटाबेस, कैलेंडर या कोड रिपॉजिटरी तक पहुँच सकता है, यहाँ तक कि पासवर्ड लीक कर सकता है या अनधिकृत आदेश निष्पादित कर सकता है। रिपोर्ट में बताया गया है कि वर्तमान में अधिकांश सुरक्षा उपकरण इस स्तर के जोखिम को कवर नहीं करते हैं।
Bumblebee, MCP के अलावा, Chrome, Edge, Brave, Arc और Firefox के ब्राउज़र एक्सटेंशन, और VS Code और उसकी शाखाओं में एडिटर प्लगइन्स की जांच करता है।
आंतरिक विकास प्रणाली के लिए उपयोग किया गया
Perplexity के अनुसार, 11 मई को, TeamPCP नामक एक हैकर समूह ने 160 से अधिक सॉफ्टवेयर पैकेज में दुर्भावनापूर्ण कोड शामिल किया, जिससे दुनिया भर के कई डेवलपर्स प्रभावित हुए। प्रभावित पैकेज में Mistral AI, UiPath संबंधित पैकेज और एक ऐसा React टूल शामिल है जिसकी सप्ताहिक डाउनलोड 1.2 करोड़ है।
इस प्रकार के हमलों की विशेषता यह है कि जैसे ही विकासक संबंधित पैकेज स्थापित करते हैं, दुर्भावनापूर्ण कोड तुरंत निष्पादित हो सकता है। पर्प्लेक्सिटी के अनुसार, बम्बलबी का पढ़ने के लिए मात्र डिज़ाइन मूल रूप से इस तरह की "जांच-और-ट्रिगर" समस्याओं से बचने के लिए किया गया था।
- टूल GitHub पर मुफ्त उपलब्ध हैं
- Apache 2.0 लाइसेंस के तहत
- सम्मिलित हाल के आपूर्ति श्रृंखला हमलों के नमूनाओं की निर्देशिका
वर्तमान में, Perplexity ने Bumblebee का उपयोग अपने खोज उत्पाद, Comet ब्राउज़र और कंप्यूटर AI एजेंट के पीछे के विकास प्रणाली की सुरक्षा के लिए किया है। कंपनी का कहना है कि बाहरी टीमें भी इसी तरह अपने खतरों की सूची को बनाए रख सकती हैं और इन स्कैनिंग टूल्स को स्थानीय पर्यावरण में चला सकती हैं।