Perplexity开源Bumblebee安全扫描工具：软件供应链安全防护实战指南

软件供应链安全领域近期出现一个值得开发者关注的新工具。当地时间5月22日，AI公司Perplexity正式开源了其内部网络安全风险扫描工具——Bumblebee。这款工具的发布，为应对日趋复杂的软件供应链投毒威胁，提供了一个基于实战的检测方案。

Perplexity在技术公告中阐明了一个核心安全逻辑：面向用户的应用安全，其根本保障在于开发环境自身的安全性。一旦开发流程或系统被渗透，最终产出的软件产品便难以确保其完整性。为此，公司内部构建了一套名为“Perplexity Computer”的防护体系，该体系融合了威胁情报的人工研判与Bumblebee工具的自动化扫描能力，形成了一道高效的人机协同防御层。

Bumblebee的核心功能是什么？它专注于扫描开发环境中那些常被忽略的安全薄弱点，覆盖范围包括软件包管理器配置、AI智能体设置、代码编辑器插件以及浏览器扩展等关键环节。其架构设计体现了纵深防御思想：为避免扫描工具自身成为新的攻击载体，Bumblebee采用静态分析策略，直接解析相关元数据文件进行检测，而非执行可能存在风险的代码。这种设计从根本上确保了扫描过程的安全性。

在具体操作层面，Bumblebee提供了基准扫描、定向扫描与深度扫描三种模式，以适应不同严格级别的安全审计需求。Perplexity此次选择开源，旨在将这套经过内部高强度验证的防护框架，共享给更广泛的开源社区与开发者生态，共同提升软件供应链的整体安全水位。