La sicurezza informatica legata alla supply chain del software è diventata uno dei temi più delicati degli ultimi anni, soprattutto ora che strumenti IA, agenti automatici e librerie open source sono entrati stabilmente nei flussi di lavoro quotidiani degli sviluppatori. Sempre più spesso gli attacchi non colpiscono direttamente gli utenti finali, ma prendono di mira pacchetti, estensioni e configurazioni utilizzate durante lo sviluppo, trasformando componenti apparentemente affidabili in vettori per la diffusione di malware.
È proprio in questo contesto che si inserisce il nuovo annuncio di Perplexity, che nelle scorse ore ha deciso di rendere open source Bumblebee, uno strumento interno utilizzato dall’azienda per controllare i computer degli sviluppatori alla ricerca di software, pacchetti e configurazioni potenzialmente compromessi.
La particolarità di Bumblebee è però un’altra: il tool è progettato per analizzare il sistema senza eseguire alcun codice esterno, evitando dunque di attivare accidentalmente eventuali minacce durante la scansione.
Indice:
Segui TuttoTech.net su Google Discover
Bumblebee nasce per proteggere gli sviluppatori
Perplexity spiega come il rapido avanzamento dell’intelligenza artificiale abbia introdotto nuove complessità nel panorama della sicurezza informatica. Le vulnerabilità emergono continuamente e, sempre più spesso, riguardano strumenti utilizzati direttamente dagli sviluppatori, come pacchetti software, estensioni degli editor, agenti IA e configurazioni locali.
Secondo l’azienda, la sicurezza dei prodotti deve iniziare molto prima della produzione vera e propria, partendo proprio dagli endpoint utilizzati dai team di sviluppo. Per questo motivo Perplexity utilizza già Bumblebee internamente per proteggere i sistemi dietro i propri servizi, inclusi il motore di ricerca Perplexity, il browser Comet e l’agente AI Computer. Ora lo strumento viene distribuito come progetto open source sviluppato in Go, disponibile per endpoint Linux e macOS.
Uno scanner read-only che non esegue nulla
Il concetto alla base di Bumblebee è relativamente semplice ma estremamente importante nel panorama moderno della cybersecurity. Molti attacchi alla supply chain si attivano nel momento in cui un pacchetto viene installato o aggiornato, in alcuni casi basta l’esecuzione automatica di uno script postinstall per compromettere immediatamente il sistema dello sviluppatore.
Perplexity cita esplicitamente il caso dell’ecosistema npm, dove numerosi malware recenti hanno sfruttato proprio questo meccanismo. Uno scanner tradizionale che invoca comandi come npm install, pnpm, bun o pip rischia quindi di attivare involontariamente l’attacco che sta cercando di identificare.
Bumblebee evita completamente questo scenario perché opera in modalità read-only: legge soltanto metadati, manifest e lockfile già presenti sul sistema, senza eseguire script, senza lanciare installazioni e senza interagire direttamente con i gestori dei pacchetti.
L’azienda precisa inoltre che lo strumento non è un sistema EDR tradizionale. Bumblebee non monitora processi, traffico di rete o comportamento delle applicazioni, e non analizza nemmeno il codice sorgente dei progetti; il suo compito è esclusivamente quello di verificare la presenza di componenti sospetti leggendo informazioni strutturate già disponibili sul dispositivo.
Cosa controlla Bumblebee
Uno degli aspetti più interessanti dello strumento riguarda la notevole quantità di superfici che riesce a monitorare. Bumblebee controlla infatti lockfile, manifest e pacchetti provenienti da numerosi ecosistemi software, inclusi npm, pnpm, Yarn, Bun, PyPI, Go Modules, RubyGems e Composer. A questi si aggiungono anche le configurazioni MCP utilizzate dagli agenti IA, un elemento che sta assumendo sempre più importanza con la diffusione dei workflow agentici.
Lo scanner analizza inoltre le estensioni installate negli editor della famiglia VS Code, comprese piattaforme sempre più diffuse come Cursor, Windsfurf e VSCodium, oltre alle estensioni dei browser Chromium e Firefox. Tra i browser supportati figurano Chrome, Edge, Brave, Arc e lo stesso Comet sviluppato da Perplexity.
L’obbiettivo è quello di individuare rapidamente eventuali esposizioni nei punti che oggi rappresentano i vettori di attacco più comuni all’interno degli ambienti di sviluppo moderni.
Tre modalità di scansione per scenari differenti
Perplexity spiega inoltre che Bumblebee supporta tre differenti profili di scansione, pensati per adattarsi a differenze diverse.
La modalità baseline viene utilizzata per controlli periodici standard sui laptop aziendali e può essere integrata nei sistemi di gestione della flotta o negli strumenti MDM, il profilo project permette invece di limitare la scansione a repository o workspace specifici, mentre la modalità deep è pensata per la risposta a incidenti attivi e per analisi molto più approfondite.
Ogni rilevamento viene inoltre collegato direttamente alla voce del catalogo delle minacce che ha generato la segnalazione, mostrando quando è stata aggiunta e quali evidenze sono associate al problema rilevato.
Come funziona il workflow interno di Perplexity
L’azienda ha condiviso anche alcuni dettagli sul funzionamento interno del proprio flusso di sicurezza: quando emerge una minaccia (tramite divulgazioni pubbliche, feed di intelligence o ricerca interna) Perplexity Computer prepara automaticamente un aggiornamento del catalogo delle vulnerabilità sotto forma di pull request GitHub, includendo ecosistema, nome del componente, versione e fonti utilizzate.
Successivamente entra in gioco la revisione umana, solo dopo l’approvazione la nuova voce viene aggiunta al catalogo ufficiale e Bumblebee viene eseguito sugli endpoint degli sviluppatori per verificare eventuali esposizioni.
È un approccio che mostra piuttosto bene come stia cambiando il settore della sicurezza informatica nell’era degli strumenti IA agentici. Oggi non basta più proteggere il singolo dispositivo, bisogna monitorare anche automatismi, agenti software e l’intera catena di distribuzione dei componenti utilizzati nello sviluppo.
Bumblebee arriva dopo i recenti attacchi alla supply chain
Il rilascio pubblico dello strumento arriva peraltro in un momento particolarmente delicato per il settore. All’inizio di maggio il gruppo TeamPCP avrebbe compromesso oltre 160 pacchetti software utilizzati da milioni di sviluppatori nel mondo, inclusi componenti collegati a Mistral AI, UiPath e uno strumento React estremamente diffuso con circa 12 milioni di download settimanali.
Secondo quanto riportato, il malware si propagava automaticamente durante l’installazione dei pacchetti compromessi, proprio per questo Perplexity ritiene che un approccio read-only come quello di Bumblebee possa ridurre sensibilmente la diffusione di una minaccia mentre si cerca di identificarla.
Con la pubblicazione open source, qualsiasi team di sicurezza può ora scaricare Bumblebee, utilizzare cataloghi personalizzati di versioni dannose e integrarlo nei propri workflow di risposta agli incidenti.
- GPT-5.5 e GPT-5.5-Cyber: OpenAI ridefinisce la sicurezza informatica con l’accesso affidabile
- FRITZ! e cybersicurezza europea: cosa cambia con NIS 2 e CRA
- Se avete ChatGPT sul Mac e non l’avete ancora aggiornato, fermatevi e fatelo adesso
- Migliaia di PC Windows a rischio per una possibile backdoor in Daemon Tools
I nostri contenuti da non perdere:
- 🔝 Importante: Intel Core Ultra 5 250K Plus vs AMD Ryzen 7 9850X3D: quale scegliere e perché
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo