想像一下,你怀疑有人在你家的一瓶水里下了毒。为了确认,你把每一瓶水都喝了一遍。大多数安检扫描仪的工作原理大致如此。
Perplexity 公司刚刚开源了一款名为Bumblebee的工具,它采用了不同的方法。它会扫描开发者的电脑,寻找受感染的软体包、恶意浏览器扩充功能和被篡改的 AI 工具配置——但绝不会运行它找到的程式码。它读取程式码,就像读取成分标签,而不是直接吞噬食物。
5月11日,一个名为TeamPCP的骇客组织将恶意程式码植入全球数百万开发者使用的160多个软体包中,其中包括Mistral AI、UiPath以及一款每周下载量高达1200万次的热门React工具。一旦开发者安装这些软体包,攻击就会自动传播。 Perplexity公司表示,其Bumblebee工具本来可以阻止这种情况的发生。
软体程式套件——尤其是在 JavaScript 领域——可以在安装后立即执行隐藏脚本。 5 月 11 日的攻击正是利用了这一点,导致攻击迅速蔓延。恶意程式码在安装过程中自动执行,在任何人察觉到异常之前就被触发了。
扫描器如果呼叫软体包管理器来检查感染,就可能触发同样的脚本。你去找蠕虫病毒,蠕虫病毒就运作了。 Bumblebee 透过完全不呼叫任何软体包管理器来规避这个问题。它读取原始元资料档案——描述已安装软体的记录——而不触及软体本身。
真正的新功能是,Bumblebee 还会扫描MCP 设定档——这些本机档案会告诉 Claude 或 Cursor 等 AI 助理它们可以连接到哪些外部服务。
MCP 连接器使 AI 工具能够存取电子邮件、资料库、日历和程式码。如果攻击者将恶意连接器偷偷植入到设定中,您的 AI 助理可能会泄漏凭证或在背景执行未经授权的命令。目前大多数安全工具尚未对此进行检测。
除了 MCP 之外,它还涵盖 Chrome、Edge、Brave、Arc 和 Firefox 浏览器的扩充程序,以及 VS Code 及其衍生版本中的编辑器外挂程式。整个扫描过程只需一次即可完成,输出一份清晰的结构化列表,列出所有发现的问题,并且不会对计算机进行任何修改。
Perplexity 一直在内部运行 Bumblebee 来保护其搜寻产品、 Comet 浏览器和电脑 AI 代理背后的系统。当出现新的威胁时,Perplexity Computer 会为其建立目录条目,经人工审核批准后,Bumblebee 会在所有开发人员的机器上执行,以检查是否有符合项目。
团队可以采用相同的方式运行自己的目录。该工具内建了一个威胁目录,其中包含来自近期供应链攻击(包括 5 月 11 日的攻击活动)的威胁资料。该攻击背后的组织(Google追踪到的别名是 UNC6780)至少从 2026 年 3 月起就开始进行协同软体中毒攻击活动。
Bumblebee 可在github.com/perplexityai/bumblebee免费获取,并遵循 Apache 2.0 许可协议,这意味著您可以运行它、调整它、改进它并 fork 它,而无需承担法律后果。
