Perplexity ने इस हफ़्ते Bumblebee drop किया — एक Go binary जो developer machines पर supply-chain compromise को scan करता है, और जिन packages को audit करता है उन्हें कभी execute नहीं करता। Design point नाम में ही है: read-only। कभी `npm install` नहीं चलाता, कभी lifecycle hooks trigger नहीं करता, कभी pnpm, bun, pip, go mod download invoke नहीं करता। यह lockfiles खोलता है, metadata पढ़ता है, extension manifests और MCP configuration files parse करता है। बस इतना ही। उन builders के लिए जिन्होंने scanner tooling को उन्हीं projects के ख़िलाफ़ weaponise होते देखा है जिन्हें वह protect करने वाला था — यह वो architectural move है जो matter करता है।

Build: Go 1.25, zero non-stdlib dependencies, single binary install via `go install github.com/perplexityai/bumblebee/cmd/bumblebee@latest`। Apache 2.0, अभी v0.1.1। Coverage में npm, pnpm, Yarn, Bun, PyPI, Go modules, RubyGems और Composer — साथ में VS Code, Cursor, Windsurf, VSCodium, Chrome और Firefox extensions, और MCP config files। Perplexity ने TanStack, SAP और Zapier पर हाल के campaigns को threat model के रूप में cite किया है। कोई process monitoring नहीं, कोई network telemetry नहीं, कोई daemon नहीं — पढ़ना ख़त्म होने पर tool exit कर जाता है।

Bumblebee जो ecosystem gap भरता है, वह SBOMs जो cover करते हैं वो नहीं है। SBOMs deployed artifacts describe करते हैं; Snyk और Socket install time पर dependency graphs scan करते हैं; EDR running processes देखता है। कोई भी *local developer state* scan नहीं करता — वह IDE extension जो full FS privilege के साथ चल रहा है, वह MCP config जो agent को poisoned tool server की ओर point कर रहा है, वह lockfile जो पिछले मंगलवार typosquat पर resolve हुआ और चुपचाप तुम्हारे `node_modules` में बैठा है। यह surface agent stack के साथ explode हो गया है। Cursor extensions, Windsurf plugins, वो दर्जनों MCP servers जिन्हें builders Claude Desktop और Code में load कर रहे हैं — हर एक full local privilege वाला code है जिसे लगभग कोई audit नहीं कर रहा। Bumblebee उस surface को first-class treat करता है।

Monday सुबह: अगर तुम उस machine से code ship करते हो जो Cursor, Windsurf, VS Code या कोई भी MCP-loading client भी run करती है, तो `go install github.com/perplexityai/bumblebee/cmd/bumblebee@latest` और चलाओ। Single binary, कोई telemetry नहीं, कोई install scripts नहीं। IDE-extension और MCP-config coverage differentiator है — तुम्हारा existing `npm audit` या Snyk scan poisoned Cursor extension या agent के tool surface को rewire करने वाले MCP config को कभी catch नहीं करता।