집에 있는 물병에 누군가 독을 넣었다고 의심된다고 상상해 보세요. 확인하기 위해 모든 물병의 물을 마셔보겠죠. 대부분의 보안 스캐너는 대략 이런 방식으로 작동합니다.
Perplexity는 기존과는 다른 접근 방식을 취하는 Bumblebee 라는 도구를 오픈소스로 공개했습니다. 이 도구는 개발자 컴퓨터에서 감염된 소프트웨어 패키지, 악성 브라우저 확장 프로그램, 손상된 AI 도구 설정 파일을 검사하는데, 발견된 코드는 절대 실행하지 않습니다. 마치 음식을 먹는 대신 코드를 읽는 것처럼, 성분표를 분석하는 방식입니다.
5월 11일, TeamPCP라는 해커 그룹이 전 세계 수백만 명의 개발자가 사용하는 160개 이상의 소프트웨어 패키지에 악성 코드를 심었습니다 . 여기에는 Mistral AI, UiPath, 그리고 주당 1,200만 건의 다운로드를 기록하는 널리 사용되는 React 도구의 패키지도 포함됩니다. 개발자들이 해당 패키지를 설치하는 순간 공격은 자동으로 확산되었습니다. Perplexity는 자사의 Bumblebee가 이러한 공격을 막을 수 있었을 것이라고 밝혔습니다.
소프트웨어 패키지, 특히 자바스크립트 기반 소프트웨어는 설치되는 순간 숨겨진 스크립트를 실행할 수 있습니다. 5월 11일 공격이 그렇게 빠르게 확산된 것도 바로 그런 이유 때문입니다. 악성 코드는 설치와 동시에 자동으로 실행되어 누구도 이상 징후를 알아차리기 전에 이미 작동했습니다.
패키지 관리자를 호출하여 감염 여부를 확인하는 스캐너는 이러한 스크립트를 실행할 수 있습니다. 웜을 찾으려고 하면 웜이 실행되는 것입니다. 범블비는 패키지 관리자를 전혀 호출하지 않음으로써 이러한 문제를 해결합니다. 소프트웨어 자체에는 접근하지 않고 설치된 소프트웨어를 설명하는 메타데이터 파일만 읽습니다.
진정으로 새로운 점은 범블비가 MCP 구성 파일 , 즉 클로드나 커서와 같은 AI 비서에게 어떤 외부 서비스에 연결할 수 있는지 알려주는 로컬 파일도 스캔한다는 것입니다.
MCP 커넥터는 AI 도구가 이메일, 데이터베이스, 캘린더 및 코드에 접근할 수 있도록 해줍니다. 공격자가 악성 커넥터를 해당 구성에 몰래 삽입하면 AI 비서가 자격 증명을 유출하거나 백그라운드에서 승인되지 않은 명령을 실행할 수 있습니다. 대부분의 보안 도구는 아직 이러한 취약점을 탐지하지 못합니다.
MCP 외에도 Chrome, Edge, Brave, Arc, Firefox의 브라우저 확장 프로그램과 VS Code 및 파생 프로그램의 편집기 플러그인까지 검사합니다. 전체 검사는 한 번에 완료되며, 발견된 항목에 대한 깔끔하고 구조화된 목록을 출력하고, 컴퓨터의 어떤 부분도 수정하지 않습니다.
Perplexity는 자사의 검색 제품인 Comet 브라우저 와 Computer AI 에이전트 시스템을 보호하기 위해 내부적으로 Bumblebee를 운영하고 있습니다. 새로운 위협이 발생하면 Perplexity Computer는 해당 위협에 대한 카탈로그 항목을 작성하고, 담당자가 검토 및 승인하면 Bumblebee가 모든 개발자 컴퓨터에서 실행되어 일치하는 항목을 확인합니다.
팀에서도 같은 방식으로 자체 카탈로그를 운영할 수 있습니다. 이 도구에는 5월 11일 공격을 포함한 최근 공급망 공격 데이터를 기반으로 구축된 위협 디렉토리가 내장되어 있습니다. 구글이 UNC6780이라는 가명으로 추적하는 해당 공격 배후 그룹은 적어도 2026년 3월부터 조직적인 소프트웨어 포이즈닝 공격을 실행해 왔습니다.
Bumblebee는 Apache 2.0 라이선스 하에 github.com/perplexityai/bumblebee 에서 무료로 이용할 수 있습니다. 즉, 법적 문제 없이 실행, 수정, 개선 및 포크(Fork) 수 있습니다.
