就在最近，Perplexity开源了内部供应链安全工具Bumblebee！

一家AI公司，怎么突然杀入了供应链安全战场？

当然是最近遇到的太多供应链安全事件。

TeamPCP 和 BreachForums推广Shai-Hulud供应链攻击大赛

供应链攻击的盲区：开发者终端

SBOM看仓库，EDR看进程，但没人看开发者电脑里藏着的无数“定时炸弹”！

一直以来，供应链安全只有两把武器：SBOM和EDR。

SBOM 告诉你什么东西被打包分发出去。

但当一个供应链投毒情报发布时，安全团队最想知道的问题永远是：

现在，我们公司哪些机器上，已经安装了这个被投毒的包？

这个问题，SBOM 回答不了。

因为它看不到开发者本地未提交的文件，看不到开发者编辑器和浏览器扩展。

这个问题，EDR 也回答不了。

因为EDR 一般看不到从未运行过的依赖，看不到在目录深处的漏洞版本。

而Bumblebee，就是为回答这个问题而生的。

Bumblebee不调用npm、pip、go list这类包管理器命令。

要知道，一些供应链攻击的致命陷阱，恰恰藏在postinstall脚本里！

有些扫描器为了查版本，反手跑一次npm install，反而会触发供应链攻击！

三种扫描模式，常态要轻，应急才深

Bumblebee 提供了三个扫描配置，适配不同场景。

baseline模式：轻量日常扫描

只看标准开发者位置，适合MDM定时运行。

project模式：扫描指定的开发目录

只扫~/code、~/src等指定目录，不碰无关文件。

deep模式：应急事件专用

支持任意根路径，包括整个$HOME目录。

威力最大，适合大型供应链投毒爆发时的紧急全量扫描。

当一个投毒情报发布时，

安全团队再也不用手忙脚乱地发邮件、开会、让开发团队自查。

只要把风险对象写成结构化条目：

Bumblebee扫描时就会精确匹配，命中立即发出finding告警。

Bumblebee把供应链应急响应的门槛，直接降到了零。

小公司，也能拥有和大厂一样的供应链排查能力。

Bumblebee完美预示了安全运营的未来。

过去需要数周才能完成的定制化开发，现在安全团队自己几小时就能搞定。

从 “我们购买安全工具”，到 “我们构建需要的安全系统”。

那些率先拥抱这一趋势的安全团队，将获得巨大优势。

参考资料：https://github.com/perplexityai/bumblebee https://www.perplexity.ai/hub/blog/perplexity-is-open-sourcing-bumblebee

声明：本文来自玄月调查小组，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。