AI 搜尋公司 Perplexity 近期在 GitHub 公開新工具 Bumblebee，定位為唯讀式的資安工具，可掃描本機磁碟上的套件、瀏覽器 / 編輯器外掛，以及 MCP 等開發工具設定，用來回答一個非常實務的資安問題：當某個資安公告點名特定套件、外掛或版本遭到供應鏈攻擊時，企業要如何快速確認「哪些開發者電腦現在就有暴露風險」？

Bumblebee 是什麼？

根據 Perplexity 在 GitHub 的說明，Bumblebee 並不是要取代 SBOM 或 EDR。SBOM 比較適合回答「產品最後出貨包含了什麼」，EDR 則偏向回答「什麼程式執行過、連過網路」。但在供應鏈事件應變中，安全團隊常需要另一種視角：開發者電腦裡散落在 lockfile、package manager metadata、extension manifest、MCP host config 裡的本地狀態。

Bumblebee 的做法，是把這些分散在磁碟上的狀態轉成結構化的 NDJSON component records；如果使用者提供 exposure catalog，也就是已知有問題的套件 / 版本清單，Bumblebee 會標記精準命中的項目，讓資安團隊在已知攻擊指標的情境下，快速做唯讀式暴露檢查。

這也讓 Bumblebee 的定位非常清楚：它不是泛用弱點掃描器，是事件發生後，用來追問「我家哪些開發者機器踩到這個地雷」的工具。

掃描範圍：npm、PyPI、Go、RubyGems、Composer

Bumblebee 目前支援多個開發生態系，包含 npm、pnpm、Yarn、Bun、PyPI、Go modules、RubyGems、Composer / Packagist，以及 VS Code、Cursor、Windsurf、VSCodium 等編輯器外掛，另也涵蓋 Chromium-family 與 Firefox 的瀏覽器外掛。

值得注意的是，Bumblebee 特別把 MCP server configs 納入掃描範圍，支援 mcp.json、.mcp.json、claude_desktop_config.json、mcp_config.json、mcp_settings.json、cline_mcp_settings.json，以及 Gemini CLI / Gemini Code Assist 的 ~/.gemini/settings.json。

這代表它不只看傳統開源套件，也開始把 AI agent / AI coding workflow 會用到的 MCP 設定視為供應鏈暴露面的一部分。

不過，Perplexity 也強調 Bumblebee 採取保守設計：它只讀取 lockfile、安裝 metadata、extension manifest 與支援的 JSON 設定檔，不會執行 npm ls、pip show、go list 等 package manager 指令，也不讀取 source file。對於 MCP config 中可能出現的 env block，Bumblebee 會解析所需的 server inventory，但不輸出其中的環境變數值。

三種掃描模式：baseline、project、deep

Bumblebee 提供三種掃描 profile，分別對應不同部署節奏與風險情境。

baseline 主要掃描常見的全域 / 使用者套件根目錄、語言工具鏈、編輯器外掛、瀏覽器外掛與 MCP 設定，適合定期、輕量級的基本盤 inventory。project 則用於掃描開發目錄，例如 ~/code、~/src、~/work 等專案工作區。deep 則是針對明確指定的 root path，例如整個 $HOME，通常用於事件發生後的 on-demand 應變檢查，並搭配 exposure catalog 與 –findings-only 使用。

Perplexity 也設計了一個安全邊界：baseline 與 project 會拒絕直接掃描裸露的 home root，只有 deep 模式允許掃描較廣泛的 $HOME。這代表 Bumblebee 預設不是鼓勵使用者把整台機器無差別掃到底，而是針對不同情境調整掃描範圍。

Exposure Catalog 精準比對已知惡意版本

Bumblebee 最關鍵的功能之一，是支援 Exposure Catalog。這是一種 JSON 格式的清單，使用 (ecosystem, name, version) 做精準比對；例如當公告指出某個 npm 套件的 1.2.3 版本遭到污染，資安團隊就能把該套件與版本寫入 catalog，再用 Bumblebee 掃描開發者端點是否出現命中項。

Perplexity 在 threat_intel/ 目錄中也維護了一批 exposure catalog，來源是公開威脅情報報告，並透過 PR 隨新攻擊活動更新。

目前 catalog 涵蓋多個 2026 年 5 月的供應鏈事件，包括 Mini / Shai-Hulud npm 與 PyPI compromise、Laravel Lang Composer / Packagist 供應鏈攻擊、Nx Console VS Code extension compromise、node-ipc credential-stealer、Go typosquat 後門，以及 RubyGems GemStuffer exfiltration campaign 等。

這個設計很有意思：Bumblebee 不只是工具，也開始像是一個「開發者端點供應鏈攻擊情報格式」的雛形。當新攻擊爆出時，安全團隊不一定要等 EDR 規則或大型平台更新，可以用公開 catalog 快速跑一次端點比對。

為什麼 AI 公司會做這個？MCP 與 coding agent 讓開發者電腦變成新攻擊面

Bumblebee 最值得關注的地方，不只是它支援 npm、PyPI、Go 這些傳統套件生態，而是它把 MCP、AI coding tool、editor extension、browser extension 都納入供應鏈風險範圍。

這反映出一個新趨勢：隨著 Claude Code、Cursor、Windsurf、Gemini CLI、MCP server 等工具進入開發者工作流，開發者端點不再只是「寫 code 的機器」，而是連接模型、API、憑證、本地檔案、repo、瀏覽器 session 的高價值攻擊面。

MCP server 設定中可能包含啟動指令、package selector、Docker image reference，甚至 env block；Bumblebee 雖然不輸出敏感環境變數，但會把設定中的 server identity 轉成 inventory record，讓企業知道自己員工電腦上到底配置了哪些 AI 工具與 MCP server。

Perplexity 公開 Bumblebee 的時機點，剛好踩在「AI agent 工作流普及」與「開源套件供應鏈攻擊升溫」的交會點上。過去企業比較關心 CI/CD、production dependency、container image；但在 agentic coding 時代，開發者本機的外掛、MCP、瀏覽器套件，也會變成供應鏈的一部分。