FFeel.Trading
要闻列表Perplexity 构建了一款可检查你电脑中受感染软件的工具——而且不会触发感染
Decrypt2026-05-25 16:08:55

Perplexity 构建了一款可检查你电脑中受感染软件的工具——而且不会触发感染

ORIGINALPerplexity Built a Tool That Checks Your Computer for Infected Software—Without Setting Off the Infection
AI 影响分析Grok 分析中...
📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯3765 字
简而言之 - Bumblebee 是一款免费的开源工具,用于检查开发者电脑中是否存在被入侵的软件、浏览器扩展和 AI 连接器配置——而无需运行受感染的代码。 - 大多数扫描器的工作方式是调用它们要检查的软件,这可能会意外触发它们本应检测的攻击。 - 它是首个将 MCP 配置文件——为 AI 工具提供数据访问权限的连接器——视为安全面的开源扫描器。 设想你怀疑有人在你家中的一瓶水里下了毒。为了检查,你把每一瓶水都喝一遍。这大致就是大多数安全扫描器的工作方式。 Perplexity 刚刚开源了一款名为 Bumblebee 的工具,采用了一种不同的方法。它扫描开发者电脑上是否存在受感染的软件包、恶意浏览器扩展以及被入侵的 AI 工具配置——而从不运行所发现的代码。它读取代码,就像读取成分标签而不是吃下食物一样。 5 月 11 日,一个名为 TeamPCP 的黑客组织将恶意代码植入了全球数百万开发者使用的 160 多个软件包中——包括来自 Mistral AI、UiPath 的软件包,以及一个每周下载量达 1200 万次的广泛使用的 React 工具。开发者一旦安装这些软件包,攻击便会自动传播。Perplexity 表示,Bumblebee 本可以阻止这一切。 为何"只读"才是关键 软件包——尤其是在 JavaScript 世界中——可以在你安装它们的那一刻运行隐藏脚本。这正是 5 月 11 日的攻击得以如此迅速传播的原因。恶意代码在安装时自动触发,在任何人察觉异常之前就已发动。 一个调用包管理器来检查感染的扫描器,可能会触发那些相同的脚本。你去寻找蠕虫,结果蠕虫运行了起来。Bumblebee 通过完全不调用任何包管理器来规避这一点。它读取原始元数据文件——描述已安装内容的记录——而不接触软件本身。 真正新颖之处在于,Bumblebee 还会扫描 MCP 配置文件——这些本地文件告诉 Claude 或 Cursor 等 AI 助手它们被允许连接到哪些外部服务。 MCP 连接器为 AI 工具提供对电子邮件、数据库、日历和代码的访问权限。如果攻击者将恶意连接器偷偷塞入该配置中,你的 AI 助手可能会泄露凭证或在后台运行未经授权的命令。大多数安全工具尚未对此进行检查。 除 MCP 之外,它还涵盖 Chrome、Edge、Brave、Arc 和 Firefox 上的浏览器扩展,以及 VS Code 及其分支中的编辑器插件。整个扫描一次性完成,输出一份干净的结构化清单,列出所发现的内容,并且从不修改机器上的任何东西。 Perplexity 如何在内部使用它 Perplexity 一直在内部运行 Bumblebee,以保护其搜索产品、Comet 浏览器和 Computer AI agent 背后的系统。当出现新威胁时,Perplexity Computer 会为其起草一条目录条目,由人工审核并批准,然后 Bumblebee 在所有开发者机器上运行以检查是否匹配。 Bumblebee 起初是一款内部工具。 让 Perplexity 产品对用户更安全,要从保护我们用来构建它们的开发者系统开始。 阅读完整博客:https://t.co/M2IrAYtfCg — Perplexity (@perplexity_ai) May 22, 2026 团队可以以相同方式运行自己的目录。该工具附带一个内置的威胁目录,其中收录了近期的供应链攻击,包括 5 月 11 日的那次行动。该攻击背后的组织——Google 以代号 UNC6780 进行追踪——至少自 2026 年 3 月以来一直在开展有组织的软件投毒行动。 Bumblebee 在 github.com/perplexityai/bumblebee 以 Apache 2.0 协议免费提供,这意味着你可以运行、调整、改进并 fork 它,而不会产生法律后果。
数据状态✓ 已抓取全文阅读原文(Decrypt)
🔍历史类似事件· 关键词 + 标的比对4 则
2026-05-13
Meta 员工抗议用于训练 AI 模型的鼠标追踪工具
相似度 130%關鍵字 tool/built
2026-04-22
OpenAI 刚刚开源了一款工具,能在 ChatGPT 接触到你的秘密之前将其抹除
相似度 100%關鍵字 tool/your
2026-04-21
美国太平洋司令部最高指挥官称 Bitcoin 是国家权力和安全领域“有价值的计算机科学工具”
相似度 100%關鍵字 tool/computer
2026-04-18
量子計算機如何能在「9 分鐘」內真正竊取你的 Bitcoin
相似度 100%關鍵字 computer/your
💡 目前用关键词 + 标的比对(MVP)· 之后会升级为 embedding 语义搜寻
原始信息
ID:e07ed863af
来源:Decrypt
发布:2026-05-25 16:08:55
分类:一般 · 导出分类 neutral
标的:未指定
社群投票:+0 /0 · ⭐ 0 重要 · 💬 0 留言