5月26日,AI搜索领域的明星企业Perplexity宣布了一项重大举措——将其内部网络安全风险扫描工具Bumblebee正式开源。这一动作背后,折射出软件供应链投毒问题正日益成为悬在整个行业头顶的一把利剑。

Perplexity的思路其实非常直接:要让面向用户的产品安全可靠,首先必须确保开发者系统的安全。为此,他们内部搭建了一套半自动化流程——由Perplexity Computer负责持续跟踪并人工审核威胁列表,同时借助Bumblebee对终端节点进行扫描验证。
那么Bumblebee究竟能做什么?它支持三种运行模式:基准扫描、定向扫描和深度扫描。覆盖范围也相当广泛,从软件包管理器、智能体配置,到编辑器扩展、浏览器扩展,统统都在扫描清单之内。最关键的一点是,Bumblebee采用直接读取元数据文件的方式,不会执行任何可能被篡改的工具——这意味着扫描行为本身不会被攻击者利用,安全闭环才算真正落地。
