Tu veux les meilleurs outils IA avant les autres ?
On teste et on décrypte les nouveaux outils IA chaque soir, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Perplexity a récemment introduit Bumblebee, un nouvel outil de sécurité destiné aux développeurs. Ce scanner open-source vise à répondre à une question cruciale dans le domaine de la chaîne d'approvisionnement : les développeurs ont-ils installé des malwares sur leurs machines ?
Un outil open-source sans IA
Bumblebee se distingue par son caractère open-source et ne nécessite ni intelligence artificielle ni abonnement. Il a été conçu pour identifier les vulnérabilités potentielles sur les ordinateurs portables des développeurs. Les récentes attaques sur la chaîne d'approvisionnement, telles que celles impliquant le package npm Axios, l'attaque LiteLLM sur PyPI, et l'assaut sur npm CanisterSprawl, ont souligné l'importance de tels outils.
Fonctionnalités principales
Bumblebee est un scanner en lecture seule, conçu pour examiner les machines des développeurs à la recherche de packages, d'extensions et de configurations d'outils IA à risque. Il fonctionne sur MacOS et Linux et est développé en Go. Plutôt que de cibler le code ou le comportement d'exécution, Bumblebee se concentre sur quatre domaines spécifiques :
- Gestionnaires de packages de langage : npm, pnpm, Yarn, Bun, PyPI, modules Go, RubyGems, et Composer
- Configurations d'agents IA : Model Context Protocol (MCP)
- Extensions d'éditeur : famille VS Code (VS Code, Cursor, Windsurf, VSCodium)
- Extensions de navigateur : famille Chromium (Chrome, Comet, Edge, Brave, Arc) et Firefox
Intégration dans le flux de travail
Bumblebee s'intègre dans un flux de travail interne plus large. Lorsqu'un signal de menace est identifié via des divulgations publiques, des flux d'informations tiers ou des recherches internes, Perplexity met à jour un catalogue et soumet une demande de tirage (PR) sur GitHub. Après une révision humaine, la PR est fusionnée, et Bumblebee s'exécute avec le catalogue mis à jour. Les résultats sont ensuite partagés avec l'équipe de sécurité. Les utilisateurs peuvent également personnaliser Bumblebee avec leurs propres catalogues et processus de révision. Chaque détection est traçable, indiquant quelle entrée de catalogue a déclenché le dépôt, quand elle a été ajoutée, et toute preuve associée.
Sécurité et lecture seule
Perplexity souligne que Bumblebee est en lecture seule, ce qui signifie qu'il se contente de lire les fichiers de métadonnées sans exécuter d'outils potentiellement compromis. Cela réduit le risque d'attaques, car Bumblebee n'exécute jamais de scripts d'installation ou de hooks de cycle de vie. Il ne lit pas les fichiers source des applications, mais se concentre sur des métadonnées telles que les fichiers de verrouillage et les manifestes.
Comparaison avec Chainguard
Bumblebee intervient plus tôt dans le cycle de vie du développement que Chainguard, qui se concentre sur le durcissement des conteneurs et des pipelines. Bumblebee vérifie directement les machines des développeurs pour détecter les risques liés aux packages, extensions et configurations MCP. En tant qu'outil gratuit et open-source sous licence Apache 2.0, Bumblebee est accessible à un large éventail de développeurs.




