الصفحة الرئيسةمركز أخبار LBank
بربلكسيتي طوّرت أداة تفحص حاسوبك من البرمجيات المصابة دون تنشيط العدوى
perplexity-open-source-bumblebee-ai-scanner-mcp-infection-malware
بربلكسيتي طوّرت أداة تفحص حاسوبك من البرمجيات المصابة دون تنشيط العدوى
يقوم Bumblebee بفحص أجهزة المطورين بحثًا عن الحزم المخترقة وتكوينات أدوات الذكاء الاصطناعي. يكمن سرها الأساسي في أنها لا تقوم بتشغيل التعليمات البرمجية التي تبحث عنها على الإطلاق.
2026-05-25 المصدر:decrypt.co

باختصار

  • Bumblebee هي أداة مجانية ومفتوحة المصدر تفحص أجهزة المطورين بحثًا عن البرامج المخترقة وإضافات المتصفح وتكوينات موصلات الذكاء الاصطناعي — دون تشغيل الكود المصاب.
  • تعمل معظم أدوات الفحص عن طريق استدعاء البرامج التي تفحصها، مما قد يؤدي عن طريق الخطأ إلى تشغيل الهجمات التي تهدف إلى اكتشافها.
  • إنه أول ماسح ضوئي مفتوح المصدر يتعامل مع ملفات تكوين MCP — الموصلات التي تمنح أدوات الذكاء الاصطناعي إمكانية الوصول إلى بياناتك — كسطح أمني.

تخيل أنك تشك في أن شخصًا ما سمم زجاجة ماء في منزلك. للتحقق، تشرب من كل زجاجة. هذه هي تقريبًا كيفية عمل معظم أدوات الفحص الأمني.

لقد قامت Perplexity للتو بإطلاق أداة مفتوحة المصدر تُدعى Bumblebee تتخذ نهجًا مختلفًا. تقوم بمسح أجهزة المطورين بحثًا عن حزم البرامج المصابة، وإضافات المتصفح الضارة، وتكوينات أدوات الذكاء الاصطناعي المخترقة — دون تشغيل الكود الذي تجده على الإطلاق. إنها تقرأ الكود، مثل قراءة ملصق المكونات بدلاً من تناول الطعام.

في 11 مايو، أدخلت مجموعة قراصنة تُدعى TeamPCP كودًا ضارًا في أكثر من 160 حزمة برمجية يستخدمها ملايين المطورين حول العالم — بما في ذلك حزم من Mistral AI و UiPath وأداة React شائعة الاستخدام مع 12 مليون عملية تنزيل أسبوعية. انتشر الهجوم تلقائيًا بمجرد قيام المطورين بتثبيت تلك الحزم. تقول الشركة إن Bumblebee من Perplexity كان بإمكانه منع ذلك.

لماذا "للقراءة فقط" هي بيت القصيد

يمكن لحزم البرامج — خاصة في عالم JavaScript — تشغيل نصوص برمجية مخفية لحظة تثبيتها. هذا بالضبط كيف انتشر هجوم 11 مايو بسرعة كبيرة. تم تشغيل الكود الضار تلقائيًا عند التثبيت، قبل أن يلاحظ أي شخص وجود خطأ ما.

قد يؤدي الماسح الضوئي الذي يستدعي مدير الحزم للتحقق من الإصابات إلى تشغيل تلك النصوص البرمجية نفسها. تذهب للبحث عن الدودة؛ فتنطلق الدودة. يتجنب Bumblebee هذا الأمر من خلال عدم استدعاء أي مدير حزم على الإطلاق. يقرأ ملفات البيانات الوصفية الخام — السجلات التي تصف ما هو مثبت — دون لمس البرنامج نفسه.

الجزء الجديد حقًا هو أن Bumblebee يقوم أيضًا بمسح ملفات تكوين MCP — وهي الملفات المحلية التي تخبر مساعدات الذكاء الاصطناعي مثل Claude أو Cursor بالخدمات الخارجية التي يُسمح لها بالاتصال بها.

تمنح موصلات MCP أدوات الذكاء الاصطناعي إمكانية الوصول إلى رسائل البريد الإلكتروني وقواعد البيانات والتقويمات والتعليمات البرمجية. إذا قام مهاجم بإدخال موصل ضار في هذا التكوين، فقد يقوم مساعد الذكاء الاصطناعي الخاص بك بتسريب بيانات الاعتماد أو تشغيل أوامر غير مصرح بها في الخلفية. معظم أدوات الأمان لا تتحقق من هذا حتى الآن.

بالإضافة إلى MCP، فإنه يغطي إضافات المتصفح على Chrome و Edge و Brave و Arc و Firefox، بالإضافة إلى إضافات المحرر في VS Code ومشتقاته. يتم الفحص بأكمله في تمريرة واحدة، ويخرج قائمة منظمة وواضحة لما تم العثور عليه، ولا يقوم أبدًا بتعديل أي شيء على الجهاز.

كيف تستخدم Perplexity الأداة داخليًا

تقوم Perplexity بتشغيل Bumblebee داخليًا لحماية الأنظمة الكامنة وراء منتجها البحثي، ومتصفحها Comet، وعامل الذكاء الاصطناعي الخاص بها Computer AI. عندما يظهر تهديد جديد، يقوم Perplexity Computer بصياغة إدخال كتالوج له، ويقوم إنسان بمراجعته والموافقة عليه، ثم يتم تشغيل Bumblebee عبر جميع أجهزة المطورين للتحقق من المطابقات.

Bumblebee started as an internal tool.

Making Perplexity products more secure for users starts with protecting the developer systems we use to build them.

Read the full blog: https://t.co/M2IrAYtfCg

— Perplexity (@perplexity_ai) May 22, 2026

يمكن للفرق تشغيل كتالوجاتها الخاصة بنفس الطريقة. تأتي الأداة مع دليل تهديدات مدمج مستمد من هجمات سلسلة التوريد الأخيرة، بما في ذلك حملة 11 مايو. المجموعة التي تقف وراء هذا الهجوم — التي تتبعها Google تحت الاسم المستعار UNC6780 — تدير حملات تسميم برمجيات منسقة منذ مارس 2026 على الأقل.

Bumblebee متاح مجانًا على github.com/perplexityai/bumblebee بموجب ترخيص Apache 2.0، مما يعني أنه يمكنك تشغيله وتعديله وتحسينه وتطويره دون تداعيات قانونية.

العملات المشفرة الشائعة
سجل الآن ولا تفوّت أي تحديثات!