หน้าแรก
ข่าวสาร
รายละเอียด

Perplexity เปิดตัวเครื่องมือด้านความปลอดภัย Bumblebee สำหรับสแกนระบบของนักพัฒนา

icon币界网
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconสรุป

expand icon
Perplexity ได้เปิดแหล่งที่มาของเครื่องมือด้านความปลอดภัยชื่อ Bumblebee เพื่อเสริมความปลอดภัยของบล็อกเชนและเครื่องมือสำหรับนักพัฒนา เครื่องมือนี้สแกนระบบของนักพัฒนาเพื่อค้นหาซอฟต์แวร์ที่เป็นอันตราย ส่วนขยายเบราว์เซอร์ และการตั้งค่า AI connector มันอ่านข้อมูลเมตาและไฟล์การตั้งค่าโดยไม่ต้องรันโค้ด ลดความเสี่ยงจากสคริปต์ นอกจากนี้ยังตรวจสอบไฟล์ MCP ที่ใช้โดยเครื่องมือ AI เช่น Claude และ Cursor Perplexity ใช้ Bumblebee ภายในองค์กรและเผยแพร่บน GitHub ภายใต้ใบอนุญาต Apache 2.0
CoinMarketCap รายงาน:

Perplexity ได้เปิดตัวเครื่องมือด้านความปลอดภัยชื่อ Bumblebee สำหรับสแกนแพ็กเกจซอฟต์แวร์ที่ถูกปนเปื้อน ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย และการตั้งค่าคอนเนคเตอร์ของเครื่องมือ AI บนคอมพิวเตอร์ของนักพัฒนา โดยมีคุณสมบัติไม่เรียกใช้โปรแกรมที่ต้องการตรวจสอบ แต่จะอ่านข้อมูลเมตาและไฟล์การตั้งค่าแบบโลคัลโดยตรง เพื่อหลีกเลี่ยงการกระตุ้นโค้ดที่เป็นอันตรายในระหว่างการตรวจสอบ

ไม่รันโค้ดเพื่อตรวจสอบ

เครื่องมือสแกนความปลอดภัยหลายตัวต้องเรียกใช้ตัวจัดการแพ็กเกจหรือโปรแกรมที่เกี่ยวข้องเมื่อตรวจสอบแพ็กเกจ วิธีนี้มีความเสี่ยงในสถานการณ์การโจมตีห่วงโซ่อุปทาน เนื่องจากสคริปต์ที่เป็นอันตรายบางตัวจะทำงานอัตโนมัติเมื่อติดตั้งหรือเรียกใช้งาน

Perplexity ระบุว่า Bumblebee ใช้วิธีการสแกนแบบอ่านอย่างเดียว โดยวิเคราะห์ไฟล์ดิบที่บันทึกข้อมูลการติดตั้งในระบบโดยตรง โดยไม่สัมผัสกับกระบวนการที่สามารถทำงานได้ และไม่ได้แก้ไขเนื้อหาของอุปกรณ์ หลังจากการสแกนเสร็จสิ้น เครื่องมือจะส่งออกผลลัพธ์ที่มีโครงสร้าง ซึ่งระบุวัตถุที่พบความเสี่ยง

การกำหนดค่า MCP ถูกรวมเข้ากับการสแกน

จุดใหม่ของเครื่องมือนี้คือการพิจารณาไฟล์การตั้งค่า MCP เป็นจุดเข้าสู่ระบบด้านความปลอดภัยที่ต้องตรวจสอบ MCP เป็นการตั้งค่าแบบท้องถิ่นที่กำหนดว่าผู้ช่วย AI เช่น Claude และ Cursor สามารถเชื่อมต่อกับบริการภายนอกใดได้บ้าง

หากผู้โจมตีฝังตัวเชื่อมต่อที่เป็นอันตรายลงในการตั้งค่าเหล่านี้ ผู้ช่วย AI อาจเข้าถึงอีเมล ฐานข้อมูล ปฏิทิน หรือที่เก็บรหัสในพื้นหลัง รวมถึงเปิดเผยข้อมูลรับรองหรือดำเนินคำสั่งที่ไม่ได้รับอนุญาต รายงานระบุว่า เครื่องมือรักษาความปลอดภัยส่วนใหญ่ในปัจจุบันยังไม่ครอบคลุมความเสี่ยงระดับนี้

นอกจาก MCP แล้ว Bumblebee ยังรองรับการตรวจสอบส่วนขยายเบราว์เซอร์ของ Chrome, Edge, Brave, Arc และ Firefox รวมถึงปลั๊กอินตัวแก้ไขใน VS Code และรุ่นสาขาของมัน

ใช้แล้วในระบบพัฒนาภายใน

Perplexity ระบุว่าเมื่อวันที่ 11 พฤษภาคม กลุ่มแฮกเกอร์ชื่อ TeamPCP ได้ฝังรหัสที่เป็นอันตรายไว้ในแพ็กเกจซอฟต์แวร์มากกว่า 160 แพ็กเกจ ส่งผลกระทบต่อนักพัฒนาทั่วโลก แพ็กเกจที่ได้รับผลกระทบรวมถึงแพ็กเกจของ Mistral AI และ UiPath รวมถึงเครื่องมือ React ที่มีการดาวน์โหลดประมาณ 12 ล้านครั้งต่อสัปดาห์

ลักษณะของการโจมตีประเภทนี้คือ เมื่อผู้พัฒนาติดตั้งแพ็กเกจที่เกี่ยวข้อง รหัสที่เป็นอันตรายอาจถูกดำเนินการทันที Perplexity ระบุว่าการออกแบบแบบอ่านอย่างเดียวของ Bumblebee ถูกออกแบบมาเพื่อหลีกเลี่ยงปัญหาประเภท “ตรวจสอบแล้วกระตุ้นทันที”

  • เครื่องมือได้เปิดให้ใช้งานฟรีบน GitHub
  • ใช้ใบอนุญาต Apache 2.0
  • รายการตัวอย่างการโจมตีซัพพลายเชนล่าสุดที่มีอยู่ภายใน

ปัจจุบัน Perplexity ได้ใช้ Bumblebee ภายในเพื่อปกป้องระบบพัฒนาที่อยู่เบื้องหลังผลิตภัณฑ์การค้นหา, เว็บเบราว์เซอร์ Comet และตัวแทน AI ของคอมพิวเตอร์ บริษัทระบุว่าทีมภายนอกสามารถดูแลรายการภัยคุกคามของตนเองในลักษณะเดียวกันและรันเครื่องมือสแกนชุดนี้ในสภาพแวดล้อมท้องถิ่น

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา