گھر
خبریں
تفصیلات

پرکلپسٹیٹی نے ڈیولپر سسٹمز کو اسکین کرنے کے لیے سیکورٹی ٹول بمبربی کو اوپن سورس کر دیا ہے

icon币界网
بانٹیں
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconخلاصہ

expand icon
پرپلیکسٹی نے بلاک چین سیکورٹی اور ڈیولپر ٹولنگ کو بہتر بنانے کے لیے ایک سیکورٹی ٹول کا نام "بمبلبی" کھلا ذریعہ بنایا ہے۔ یہ ٹول ڈیولپرز کے سسٹمز میں مالویئر، براؤزر ایکسٹینشنز اور AI کنیکٹر سیٹ اپس کا جائزہ لیتا ہے۔ یہ کوڈ چلانے کے بجائے میٹا ڈیٹا اور کانفگ فائلز پڑھتا ہے، جس سے اسکرپٹ کے خطرات کم ہوتے ہیں۔ یہ AI ٹولز جیسے کلاؤڈ اور کرسر کے استعمال کردہ MCP فائلز بھی چیک کرتا ہے۔ پرپلیکسٹی Bumblebee کو اپنے اندر استعمال کرتی ہے اور اسے Apache 2.0 کے تحت GitHub پر جاری کر دیا گیا ہے۔
CoinDesk کی رپورٹ:

پرپلیکسٹی نے ایک محفوظ ٹول Bumblebee کو اوپن سورس کیا ہے، جو ڈیولپرز کے لیے آلودہ سافٹ ویئر پیکیجز، خطرناک براؤزر ایکسٹینشنز اور AI ٹول کنیکٹرز کی ترتیبات کے اسکین کے لیے ہے۔ اس کی خصوصیت یہ ہے کہ یہ جانچے جانے والے پروگرام کو فعال نہیں کرتا، بلکہ مقامی میٹا ڈیٹا اور ترتیبات کے فائلز کو براہ راست پڑھتا ہے، تاکہ جانچ کے دوران خطرناک کوڈ کو فعال ہونے سے بچا جا سکے۔

کوڈ کو چیک کرنے کے لیے نہ چلائیں

کئی سیکورٹی اسکین ٹولز سافٹ ویئر پیکیجز کی جانچ کے دوران پیکج مینیجر یا متعلقہ پروگرامز کو عملی طور پر کال کرتے ہیں۔ اس طریقہ کار کے تحت سپلائی چین حملوں کے سیناریو میں خطرہ ہے، کیونکہ کچھ برے نوٹس انسٹال یا کال کے دوران خودبخود اجراء ہو جاتے ہیں۔

پرپلیکسٹی کے مطابق، بمبی بی صرف پڑھنے والے اسکیننگ طریقے کا استعمال کرتا ہے، جو سسٹم میں انسٹالیشن کی معلومات کو ریکارڈ کرنے والے اصل فائلز کا تجزیہ کرتا ہے، ایگزیکیبل پروسیسز سے نہیں لگتا اور ڈیوائس کے مواد میں کوئی تبدیلی نہیں کرتا۔ اسکین مکمل ہونے کے بعد، ٹول ساختی نتائج پیدا کرتا ہے جو دریافت شدہ خطرناک اشیاء کی فہرست پیش کرتا ہے۔

MCP کنفیگریشن کو اسکین میں شامل کر دیا گیا ہے

اس ٹول کا ایک نیا پہلو یہ ہے کہ وہ MCP کنفیگریشن فائل کو بھی ایک سیکیورٹی انٹری کے طور پر چیک کرتا ہے۔ MCP ایک قسم کا مقامی کنفیگریشن ہے جو Claude، Cursor جیسے AI اسسٹنٹس کو کنected کرنے کی اجازت دیتا ہے۔

اگر حملہ آور اس ترتیبات میں برے مقاصد کے لیے کنیکٹر ڈال دے، تو AI اسسٹنٹ پیچھے سے ای میل، ڈیٹا بیس، کیلنڈر یا کوڈ ریپوزٹری تک رسائی حاصل کر سکتا ہے، اور یہاں تک کہ اعتماد کی تفصیلات فاش کر سکتا ہے یا غیر اختیاری حکمات نافذ کر سکتا ہے۔ رپورٹ میں بتایا گیا ہے کہ اب تک زیادہ تر سیکورٹی ٹولز اس خطرے کو شامل نہیں کرتے۔

MCP کے علاوہ، بمبلبی Chrome، Edge، Brave، Arc اور Firefox کے براؤزر ایکسٹینشنز، اور VS Code اور اس کے برانچز میں ایڈیٹر پلگ انز کی جانچ بھی کرتا ہے۔

اندری ترقیاتی سسٹم کے لیے استعمال کیا گیا

پرپلیکسٹی کے مطابق، 11 مئی کو، ایک ہیکر گروپ جس کا نام TeamPCP ہے، نے 160 سے زیادہ سافٹ ویئر پیکجز میں بری بھر دی، جس سے دنیا بھر کے بہت سے ڈویلپرز متاثر ہوئے۔ متاثرہ پیکجز میں Mistral AI، UiPath سے متعلق پیکجز، اور ایک ایسا React ٹول شامل ہے جس کی ہفتہ وار 12 ملین بار ڈاؤن لوڈ ہوتی ہے۔

اس قسم کے حملوں کی خصوصیت یہ ہے کہ جب ڈویلپر متعلقہ سافٹ ویئر پیکیج نصب کرتا ہے، تو برے کوڈ فوراً انجام پا سکتا ہے۔ پرپلیکسٹی کے مطابق، بمبربی کا ریڈ-اوں ڈیزائن اس قسم کے "چیک اور ٹرگر" مسائل سے بچنے کے لیے بنایا گیا تھا۔

  • ٹول GitHub پر مفت دستیاب ہے
  • Apache 2.0 لائسنس کے تحت
  • اندرونی تازہ سپلائی چین حملوں کے نمونوں کا ڈائریکٹری

ابھی، پرکسلیٹی Bumblebee کا استعمال کر رہی ہے تاکہ اپنے سرچ پروڈکٹ، Comet براؤزر اور کمپیوٹر AI ایجینٹ کے پیچھے کے ڈویلپمنٹ سسٹم کا تحفظ کیا جا سکے۔ کمپنی کے مطابق، باہری ٹیمیں بھی اپنے خطرات کے کیٹلاگ کو اسی طرح برقرار رکھ سکتی ہیں اور ان سکین ٹولز کو اپنے لوکل ماحول میں چلا سکتی ہیں۔

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔