Perplexity 本周发布了 Bumblebee——一个 Go 二进制,用于扫描开发者机器的供应链入侵,且从不执行它所审计的包。设计要点就在名字里:只读。从不运行 `npm install`,从不触发 lifecycle hook,从不调用 pnpm、bun、pip、go mod download。它打开 lockfile、读元数据、解析扩展清单和 MCP 配置文件。就这些。对那些看过扫描工具自己被武器化反过来攻击它本该保护的项目的 builder 来说,这才是有意义的架构动作。
构建:Go 1.25,零非标准库依赖,单二进制安装 `go install github.com/perplexityai/bumblebee/cmd/bumblebee@latest`。Apache 2.0,当前 v0.1.1。包生态覆盖 npm、pnpm、Yarn、Bun、PyPI、Go modules、RubyGems 和 Composer——扩展侧覆盖 VS Code、Cursor、Windsurf、VSCodium、Chrome 和 Firefox,加上 MCP 配置文件。Perplexity 把最近针对 TanStack、SAP 和 Zapier 的攻击行动列为威胁模型。无进程监控、无网络遥测、无 daemon——读完就退出。
Bumblebee 填补的生态空白不是 SBOM 覆盖的范围。SBOM 描述已部署的产物;Snyk 和 Socket 在安装时扫描依赖图;EDR 监视运行中的进程。没有一个扫描*开发者本地状态*——以完整 FS 权限运行的 IDE 扩展、把 agent 指向被投毒 tool server 的 MCP 配置、上周二解析到 typosquat 后安静住在你 `node_modules` 里的 lockfile。这个面随 agent stack 爆炸性扩大。Cursor 扩展、Windsurf 插件、builder 加载到 Claude Desktop 和 Code 里的几十个 MCP server——每一个都是有完整本地权限、几乎没人审计的代码。Bumblebee 把这个面当作头等公民处理。
周一上午:如果你从一台同时跑 Cursor、Windsurf、VS Code 或任何 MCP 客户端的机器 ship 代码,`go install github.com/perplexityai/bumblebee/cmd/bumblebee@latest` 然后跑一下。单二进制,无遥测,无 install script。IDE 扩展和 MCP 配置覆盖是差异点——你现有的 `npm audit` 或 Snyk 扫描永远抓不到被投毒的 Cursor 扩展或重新接线 agent tool surface 的 MCP 配置。