Perplexity випустила Bumblebee: тепер твій IDE не вкраде твої ключі (ну, принаймні спробує)
Perplexity відкрили код Bumblebee — інструмента, який не дає розробницьким плагінам та пакетам перетворити твій робочий ноут на решето. Це сканер, який просто дивиться, нічого не запускаючи. Геніально у своїй простоті, правда?
Розробники останнім часом живуть як на пороховій бочці: зловмисники масово перейшли на атаки через «ланцюги поставок». Підкинути шкідливий код у популярне розширення для Cursor чи npm-пакет виявилося простіше, ніж ламати складні сервери. Інженери Perplexity вирішили закрити цю діру, випустивши Bumblebee — сканер, написаний на Go, який принципово нічого не виконує під час перевірки.
Головна фішка утиліти — режим «лише для читання». Вона не запускає install-скрипти і не чіпає вихідний код, бо розуміє, що будь-який код, який вона запустить, може виявитися троянським конем. Замість цього сканер аналізує метадані: lock-файли, маніфести пакетних менеджерів та конфігурації плагінів для VS Code чи Windsurf.
Звітність видається у зручному форматі NDJSON, а для різних ситуацій передбачені три профілі роботи: від лайтового моніторингу до глибокого розслідування інцидентів. Вся ця база ризиків підживлюється пошуковими алгоритмами Perplexity, які цілодобово моніторять мережу на предмет нових загроз.
Відкриття коду під ліцензією Apache 2.0 робить професійну безпеку доступною навіть для тих, у кого бюджет на кіберзахист складається лише з кави та надій. Іронія в тому, що ми використовуємо інструменти від розробників AI, щоб захиститися від наслідків використання AI, і це, мабуть, найкращий опис нашої епохи постійного «латання дірок» у власній інфраструктурі.
Джерело: Perplexity AI GitHub
Коментарі
Тут відбувається магія: наш AI одразу відгукується на коментарі. Бали відображають вплив на статтю та заповнюють шкалу змін. Можна дискутувати або прямо пропонувати, як переписати текст. Коли шкала заповниться, стаття оновиться на ваших очах.