Perplexity AI hace pública Bumblebee, su escáner de seguridad para los equipos de desarrollo
Bumblebee detecta paquetes y extensiones maliciosos sin tener que ejecutar código de terceros.
Perplexity AI publicó en acceso abierto Bumblebee, un escáner para comprobar los ordenadores de trabajo de los desarrolladores en busca de rastros de paquetes peligrosos, extensiones y configuraciones de herramientas. La utilidad ayuda a entender rápidamente si en la máquina hay componentes que ya se han relacionado con ataques a las cadenas de suministro.
Bumblebee está escrito en Go y se distribuye como un único archivo ejecutable sin dependencias externas. El escáner funciona en macOS y Linux, recopila información de los metadatos locales y no modifica archivos en el equipo. Los desarrolladores de Perplexity crearon la herramienta para comprobar los equipos de trabajo dentro de la empresa, y ahora han publicado el proyecto para la comunidad bajo la licencia Apache 2.0.
La idea principal de Bumblebee consiste en comprobar de forma segura sin ejecutar código de terceros. La utilidad no invoca gestores de paquetes, no ejecuta scripts de instalación, no ejecuta comandos como npm ls o go list y no lee el código fuente de los proyectos. En lugar de eso, el escáner examina los archivos de bloqueo, los manifiestos, los metadatos de los paquetes instalados, las configuraciones del Model Context Protocol y la información sobre extensiones.
Bumblebee es compatible con npm, pnpm, Yarn, Bun, PyPI, módulos de Go, RubyGems y Composer. También el escáner verifica extensiones para Visual Studio Code, Cursor, Windsurf y VSCodium, así como extensiones para navegadores basados en Chromium y Firefox. Se tienen en cuenta por separado las configuraciones del Model Context Protocol en archivos JSON compatibles. Si en dichas configuraciones hay variables de entorno o credenciales, Bumblebee usa la configuración únicamente para inventariar servidores y no incluye secretos en el informe.
El escáner permite responder rápidamente a incidentes concretos. Cuando se publica una advertencia sobre una versión maliciosa de un paquete, una extensión peligrosa o un componente comprometido, el equipo de seguridad puede comprobar con rapidez en qué equipos de trabajo hay coincidencias en los metadatos locales. El formato del resultado es NDJSON, un registro por línea, por lo que los datos pueden enviarse a sistemas que procesan registros.
Bumblebee tiene tres perfiles de comprobación. Baseline permite inventariar de forma regular y sin carga adicional las rutas de usuario y globales más comunes. Project comprueba directorios indicados con proyectos de trabajo, por ejemplo ~/code o ~/Developer. Deep está pensado para comprobaciones puntuales durante el análisis de incidentes y puede recorrer rutas amplias, incluido el directorio personal del usuario.
El escáner también puede trabajar con catálogos de riesgo. Dicho catálogo describe las combinaciones exactas de ecosistema, nombre de paquete y versión, y Bumblebee busca coincidencias en la máquina local. En Perplexity dichos catálogos se recopilan a partir de datos abiertos sobre ataques actuales a las cadenas de suministro y se actualizan mediante solicitudes de cambio.
Para equipos pequeños, Bumblebee puede ser una alternativa sencilla a las pesadas herramientas corporativas que inventarían los puestos de trabajo de los desarrolladores. La utilidad no intenta reemplazar los inventarios de componentes de un producto terminado ni las herramientas de protección de endpoints, pero cubre otra cuestión práctica: qué paquetes peligrosos, extensiones y configuraciones se ven ahora mismo en los ordenadores de trabajo.