Perplexity ouvre Bumblebee : scanner supply-chain en Go, lecture seule

Perplexity a sorti Bumblebee cette semaine — un binaire Go qui scanne les machines de dev pour compromission supply-chain sans jamais exécuter les paquets qu'il audite. Le design est dans le nom : lecture seule. Jamais de `npm install`, jamais de lifecycle hooks, jamais d'appel à pnpm, bun, pip, go mod download. Il ouvre les lockfiles, lit les métadonnées, parse les manifestes d'extensions et les fichiers de config MCP. Point. Pour les builders qui ont vu le tooling de scan se faire weaponiser contre les projets qu'il protégeait, c'est le move architectural qui compte.

La build : Go 1.25, zéro dépendance hors stdlib, binaire unique via `go install github.com/perplexityai/bumblebee/cmd/bumblebee@latest`. Apache 2.0, présentement v0.1.1. Couverture sur npm, pnpm, Yarn, Bun, PyPI, modules Go, RubyGems et Composer côté paquets — plus VS Code, Cursor, Windsurf, VSCodium, Chrome et Firefox côté extensions, plus les fichiers MCP. Perplexity cite les campagnes récentes contre TanStack, SAP et Zapier comme threat model. Pas de monitoring de processus, pas de télémétrie réseau, pas de daemon — l'outil sort quand il a fini de lire.

Le trou dans l'écosystème que Bumblebee remplit, c'est pas ce que les SBOMs couvrent. Les SBOMs décrivent des artifacts déployés ; Snyk et Socket scannent les graphes de deps à l'install ; les EDR surveillent les process qui tournent. Aucun ne scanne le *local developer state* — l'extension IDE qui tourne avec full FS privilege, le config MCP qui pointe un agent vers un tool server empoisonné, le lockfile qui a résolu vers un typosquat mardi dernier et vit tranquille dans ton `node_modules`. Cette surface a explosé avec la agent stack. Extensions Cursor, plugins Windsurf, les douzaines de serveurs MCP que les builders chargent dans Claude Desktop et Code — chacun est du code avec full local privilege que presque personne audite. Bumblebee traite cette surface comme first-class.

Lundi matin : si tu shippes du code d'une machine qui roule aussi Cursor, Windsurf, VS Code ou n'importe quel client MCP, `go install github.com/perplexityai/bumblebee/cmd/bumblebee@latest` et roule-le. Binaire unique, pas de télémétrie, pas de scripts d'install. La couverture extensions IDE et configs MCP, c'est le différenciateur — ton `npm audit` ou Snyk existant allait jamais catcher une extension Cursor empoisonnée ou un config MCP qui rebranche le tool surface de ton agent.