Perplexity, 공급망 보안 스캐너 Bumblebee 오픈소스 공개

Perplexity가 자사 제품(Comet, Computer 등)의 개발 환경을 보호하기 위해 내부적으로 사용하던 보안 스캐너 Bumblebee를 오픈소스로 공개했다. GitHub(perplexityai/bumblebee)을 통해 누구나 사용할 수 있다.

Bumblebee는 개발자 머신에서 위험한 패키지, 확장 프로그램, AI 도구 설정을 점검하는 읽기 전용 스캐너다. macOS와 Linux를 지원하며, 코드를 실행하거나 패키지 관리자를 호출하지 않고 lockfile·매니페스트·설치된 패키지 메타데이터만 읽는다. 스캐너 자체가 공격 벡터가 되는 것을 방지하기 위한 설계다.

스캔 대상은 npm, PyPI, Go, Ruby, Composer 등 언어별 패키지 관리자와 MCP(Model Context Protocol) 설정, VS Code 계열 에디터 확장, Chromium·Firefox 브라우저 확장을 포함한다. 세 가지 프로필(기본·프로젝트·딥)을 제공해 정기 스캔부터 사고 대응까지 다양한 시나리오를 지원한다.

특히 MCP 설정을 스캔한다는 점은 주목할 만하다. AI 에이전트와 LLM 도구 사용이 확산되면서 MCP 기반 악성 설정을 통한 공급망 공격이 새로운 위협 벡터로 떠오르고 있다. Bumblebee는 이 영역까지 커버하는 몇 안 되는 오픈소스 도구다.

한국에서도 AI 에이전트 도구 활용이 빠르게 늘고 있는 가운데, 개발팀 단위에서 손쉽게 도입할 수 있는 오픈소스 공급망 보안 스캐너의 등장은 보안 담당자와 DevOps 팀에게 반가운 소식이다.