Perplexity stellt Bumblebee als Open Source bereit: ein Sicherheits-Scanner für Entwickler-Rechner
Perplexity hat Bumblebee veröffentlicht — einen kostenlosen, quelloffenen, nur-lesenden Scanner für Entwickler-Rechner. In Go geschrieben, ohne externe Abhängigkeiten, inventarisiert er lokale Pakete, Editor-Erweiterungen und KI-Tool-Konfigurationen, um beim Auftauchen einer neuen Lieferketten-Schwachstelle die Betroffenheit zu erkennen.
Wenn eine neue Lieferketten-Schwachstelle einen Namen bekommt, ist die dringende Frage nicht, ob die Produktion gepatcht ist. Sie lautet: Welche Entwickler-Rechner sind gerade jetzt verwundbar?
Genau diese Lücke deckt die vorhandene Sicherheits-Werkzeugkette schlecht ab. SBOMs und Schwachstellen-Scanner erfassen Build-Artefakte und Repositories. EDR-Produkte verfolgen, welche Prozesse liefen oder das Netzwerk berührten. Keines prüft den lokalen Entwickler-Zustand — die Lockfiles, Paket-Metadaten, Editor-Erweiterungen, Browser-Add-ons und KI-Tool-Konfigurationen, die über den Laptop verstreut sind.
Perplexity hat ein Werkzeug gebaut, um diese Lücke intern zu schließen, und es diese Woche auf GitHub veröffentlicht. Bumblebee ist ein nur-lesender Inventar-Sammler für macOS- und Linux-Entwickler-Rechner. Er ist vollständig in Go geschrieben, ohne Abhängigkeiten außerhalb der Standardbibliothek. Führt man ihn aus, gibt er einen strukturierten NDJSON-Schnappschuss dessen aus, was installiert ist: Pakete aus npm, PyPI, RubyGems, Go-Modulen und Composer; Editor-Erweiterungen; Browser-Add-ons; und MCP-Konfigurationen (Model Context Protocol).
Die abgedeckten Ökosysteme wurden nicht willkürlich gewählt. Laut dem MarkTechPost-Artikel entsprechen sie der „Mini Shai-Hulud”-Lieferketten-Kampagnenreihe — einer Reihe von Angriffen, die Pakete bei TanStack, SAP und Zapier trafen.
Bumblebee läuft nicht als dauerhafter Agent. Jeder Aufruf scannt und beendet sich. Die zeitliche Planung liegt beim Betreiber — cron, launchd oder was sonst passt. Perplexity setzt es intern ein, um die Entwickler-Systeme hinter seinem Suchprodukt, dem Comet-Browser und dem Computer-Agenten zu überwachen.
Warum das für Solo-Gründer wichtig ist: Die meisten Sicherheits-Werkzeuge setzen ein Team voraus, das sie betreut. Ein abhängigkeitsfreier, nur-lesender Scanner, der per cron läuft, ist für einen Ein-Personen-Aufbau realistisch. Das Scannen der MCP-Konfigurationen ist ein beachtenswertes Detail — wer lokal mit KI-Werkzeugen baut, dessen Angriffsfläche bleibt von Standard-Tools meist unüberwacht.
Quelle: Perplexity Open-Sources Bumblebee: A Read-Only Supply-Chain Scanner for Developer Endpoints — MarkTechPost, 23. Mai 2026.
KI-gestützte Zusammenfassung. Alle Aussagen beruhen ausschließlich auf der verlinkten Quelle. ai_generated: true.
Newsletter + Geschenk
Trag dich ein und bekomme die Checkliste „Die 7 häufigsten KI-Reinfälle — und wie du sie vermeidest". Dazu neue Beiträge zu KI & Automatisierung für Nicht-Programmierer — ehrlich, ohne Hype. Kein Spam, jederzeit abbestellbar.



Anonym möglich. Bleib fair — wir lesen mit.