供应链安全排查利器:Perplexity 开源 Bumblebee 终端扫描工具
📅 2026年05月24日 · 技术
引言
当安全公告指出某个 npm 包或 VS Code 扩展存在供应链投毒风险时,运维团队面临一个棘手问题:公司几千台开发者机器里,到底哪些装了受影响版本? SBOM 能回答"发布了什么",EDR 能回答"运行了什么",但两者之间有一大片灰色地带——本地锁文件、包管理器元数据、编辑器扩展清单,这些散落在磁盘各处的状态信息才是应急响应的关键。
Perplexity AI 最近开源了 Bumblebee,正是为解决这个问题而生。
项目介绍
Bumblebee 是一个只读的终端库存采集器,用 Go 编写,零第三方依赖,编译成单个静态二进制文件。它扫描 macOS 和 Linux 开发者终端上的包管理器元数据、编辑器/浏览器扩展清单、MCP 配置文件,生成结构化的 NDJSON 记录,并与外部提供的"暴露目录"做精确匹配,快速定位受影响组件。
项目目前获得 1295 Star,采用 Apache 2.0 开源协议。
核心特性
- 全覆盖扫描:支持 npm、pnpm、Yarn、Bun、PyPI、Go modules、RubyGems、Composer 等主流包管理器,以及 VS Code/Cursor 扩展、Chrome/Firefox 浏览器扩展、MCP 配置文件
- 三种扫描模式:
baseline(快速检查)、project(项目级扫描)、deep(全盘深度扫描),适配不同场景 - 只读不执行:不调用
npm ls、pip show等包管理命令,仅读取磁盘上的锁文件和元数据,对系统零副作用 - 内容寻址记录:每条发现记录由哈希 ID 标识,跨扫描运行稳定去重
- 内建自检:
bumblebee selftest命令用嵌入式测试数据验证安装完整性,适合大规模部署前的冒烟测试
适用人群
安全运维工程师、DevSecOps 团队、以及需要管理开发者终端合规的企业安全部门。如果你经历过 SolarWinds 或 xz utils 这类供应链攻击的应急响应,Bumblebee 能帮你把排查时间从天缩短到分钟。
快速上手
安装只需一条命令(需要 Go 1.25+):
go install github.com/perplexityai/bumblebee/cmd/bumblebee@latest
运行基线扫描:
bumblebee scan --profile baseline --output results.ndjson
配合暴露目录做精确匹配:
bumblebee scan --profile deep --exposure-catalog advisory.json
总结
Bumblebee 填补了供应链安全应急响应中"本地状态可见性"的空白。它以极简的设计哲学(单二进制、零依赖、只读操作)解决了一个真实且紧迫的问题。对于关注开发者终端安全的团队来说,这是一个值得纳入工具箱的项目。