Perplexity ra mắt Bumblebee: Công cụ quét dành cho nhà phát triển chỉ đọc mới này khác với Chainguard như thế nào

Công nghệ Trang chủ Công nghệ Bảo mật Perplexity ra mắt Bumblebee: Công cụ quét nhà phát triển chỉ đọc mới này khác gì so với Chainguard Công cụ Bumblebee của công ty AI giải quyết câu hỏi cấp bách nhất của bạn sau bất kỳ khuyến cáo về chuỗi cung ứng nào: Các lập trình viên của bạn có cài đặt phần mềm độc hại này không? Bài viết của Steven Vaughan-Nichols, Biên tập viên cấp cao Ngày 28/5/2026 lúc 2:01 chiều theo giờ PT dem10/ iStock / Getty Images Plus qua Getty ImagesTheo dõi ZDNET: Thêm chúng tôi làm nguồn ưu tiên trên Google. Những điểm chính của ZDNET Perplexity Bumblebee là một chương trình bảo mật nhà phát triển mã nguồn mở. Bumblebee không yêu cầu AI hoặc đăng ký. Chương trình nhằm mục đích phát hiện các vấn đề trên máy tính xách tay của lập trình viên. Nếu bạn là một lập trình viên, bạn nhận thức rõ rằng đã có một loạt các cuộc tấn công độc hại thành công vào chuỗi cung ứng phần mềm của bạn. Các cuộc tấn công này bao gồm việc xâm phạm gói npm Axios, cuộc tấn công AI PyPI LiteLLM và cuộc tấn công npm CanisterSprawl. Một lập trình viên phải làm gì khi họ thậm chí không thể tin tưởng vào những khối xây dựng cơ bản của chương trình của họ? Có một số cách tiếp cận, và cách mới nhất đến từ Perplexity. Theo công ty AI, Bumblebee là một "công cụ quét chỉ đọc mà chúng tôi sử dụng để kiểm tra các máy của nhà phát triển về các gói, tiện ích mở rộng và cấu hình công cụ AI rủi ro trong các sự cố chuỗi cung ứng." Công ty cho biết trong thông báo của mình rằng chương trình này là một trong "các công cụ nội bộ mà chúng tôi sử dụng để bảo vệ các hệ thống nhà phát triển đằng sau Perplexity, Comet và Computer." Ngoài ra: Cách tôi đưa email doanh nghiệp của mình qua các bộ lọc thư rác với SPF, DKIM và DMARC Câu hỏi bảo mật mà Bumblebee được xây dựng để trả lời Công cụ này được xây dựng để trả lời câu hỏi đầu tiên xuất hiện trong đầu bạn sau một khuyến cáo chuỗi cung ứng mới: Có lập trình viên nào của chúng ta đã cài đặt thứ này không? Bumblebee chạy trên các máy phát triển MacOS và Linux và hiện có sẵn dưới dạng dự án Go mã nguồn mở. Bạn có thể tích hợp kết quả của công cụ vào bất kỳ hệ thống bảo mật nào bạn đang sử dụng. Thay vì nhắm mục tiêu vào mã hoặc hành vi thời gian chạy, Bumblebee tập trung vào bốn bề mặt cụ thể. Perplexity tuyên bố các công cụ mã nguồn mở hiện có thường chỉ bao gồm một hoặc hai bề mặt này, trong khi Bumblebee có thể xử lý cả bốn cùng một lúc: Trình quản lý gói ngôn ngữ: npm, pnpm, Yarn, Bun, PyPI, Go modules, RubyGems và Composer Cấu hình tác nhân AI: Model Context Protocol (MCP) Tiện ích mở rộng trình chỉnh sửa: Họ VS Code (tức là VS Code, Cursor, Windsurf, VSCodium) Tiện ích mở rộng trình duyệt: Họ Chromium (Chrome, Comet, Edge, Brave, Arc) và Firefox Ngoài ra: Vòng lặp vá lỗi: Tại sao bảo mật ứng dụng truyền thống không còn đủ Nói cách khác, công cụ này dành cho những người chạy JavaScript/TypeScript, Python, Go, Ruby và PHP; các lập trình viên thử nghiệm cấu hình AI MCP; và các nhà phát triển làm việc trong các trình chỉnh sửa kiểu VS Code và trình duyệt kiểu Chromium. Cách Bumblebee tích hợp vào quy trình làm việc nội bộ của bạn Bumblebee là một phần của quy trình làm việc nội bộ lớn hơn, được Perplexity phác thảo như sau: Một tín hiệu mối đe dọa được xác định thông qua các công bố công khai, nguồn cấp dữ liệu tình báo bên thứ ba hoặc nghiên cứu nội bộ. Perplexity Computer soạn thảo một bản cập nhật danh mục. Công ty nhập tín hiệu vào một mục có cấu trúc (hệ sinh thái, tên, phiên bản), sau đó mở một yêu cầu kéo (PR) trên GitHub với các liên kết nguồn. Phát hiện được gửi đến bộ phận xem xét của con người, sau đó PR được hợp nhất. Bumblebee chạy trên các điểm cuối với danh mục đã cập nhật. Các phát hiện được chia sẻ với đội ngũ an ninh. Người dùng không cần sử dụng danh mục JSON của Perplexity; giờ đây có thể chạy Bumblebee với các danh mục và quy trình xem xét của riêng mình. Perplexity lưu ý: "Mỗi phát hiện đều có thể truy vết, cho thấy mục danh mục nào đã kích hoạt việc lưu trữ, thời điểm nó được thêm vào và bất kỳ bằng chứng nào". Người dùng có thể sử dụng danh mục Bumblebee mã nguồn mở trên GitHub. Danh mục này nằm trong thư mục threat_intel/, chứa "các danh mục phơi nhiễm được duy trì, xây dựng từ báo cáo tình báo mối đe dọa công khai về các chiến dịch chuỗi cung ứng gần đây". Mỗi tệp trong thư mục đó là một danh mục ở định dạng JSON tiêu chuẩn (schema_version + entries). Tệp README tại đó giải thích danh sách danh mục hiện tại và hướng dẫn xem xét. Để sử dụng các danh mục, người dùng sao chép kho lưu trữ và chuyển thư mục đó cho trình quét. Để biết thêm chi tiết về bước này, hãy xem mục Bumblebee's Threat Intelligence Exposure Catalogs. Ngoài ra: Các dịch vụ VPN tốt nhất: Được chuyên gia kiểm tra và đề xuất. Ngoài ra, người dùng có thể xây dựng danh mục Bumblebee của riêng mình dưới dạng một tệp JSON đơn giản liệt kê các kết quả khớp chính xác cho các thành phần rủi ro mà họ quan tâm, chẳng hạn như hệ sinh thái, tên gói và các phiên bản bị ảnh hưởng. Bumblebee sau đó so sánh kho lưu trữ máy cục bộ với danh mục đó và chỉ gắn cờ các kết quả khớp chính xác (hệ sinh thái, tên, phiên bản), do đó danh mục được thiết kế hẹp và có tính xác định. Trình quét hỗ trợ ba cấu hình tương ứng khá rõ ràng với cách các nhà phát triển và đội ngũ an ninh nghĩ về phạm vi: Cấu hình cơ bản: Quét định kỳ các vị trí máy tính xách tay tiêu chuẩn. Các đội ngũ lên lịch quét thông qua hệ thống của riêng họ. Cấu hình dự án: Quét mục tiêu các kho lưu trữ hoặc không gian làm việc cụ thể. Cấu hình chuyên sâu: Quét phản ứng cho các sự cố đang hoạt động. Perplexity định vị công cụ này một cách rõ ràng trong cấp độ "bề mặt nhà phát triển": Phần mềm Bill of Materials (SBOM) và các trình quét lỗ hổng xử lý các kho lưu trữ và tạo tác xây dựng. Các sản phẩm kiểm kê điểm cuối bao gồm các ứng dụng đã cài đặt. Bumblebee chạy trên máy tính xách tay của nhà phát triển. Đầu ra chính là: "Nó cho bạn biết liệu máy đó có cài đặt một gói, phiên bản, tiện ích mở rộng hoặc cấu hình MCP cụ thể khi một cảnh báo chuỗi cung ứng xuất hiện hay không". Chỉ đọc giúp tránh các lần quét rủi ro. Công ty nhấn mạnh mạnh mẽ vào "chỉ đọc" như một thuộc tính bảo mật, không chỉ là một chi tiết triển khai. Theo lời của họ, "Bumblebee là chỉ đọc. Nó đọc trực tiếp các tệp siêu dữ liệu và không bao giờ cho phép các công cụ có khả năng bị xâm phạm chạy, điều này ngăn chặn việc quét trở thành một rủi ro".