퍼플렉시티 AI(Perplexity AI)가 2026년 5월 22일 공개한 범블비(Bumblebee)는 개발자의 로컬 엔드포인트를 타겟으로 하는 소프트웨어 공급망(Supply Chain) 및 AI 도구 환경의 취약점을 탐지하기 위한 오픈소스 보안 감사 도구입니다. 마치 숙련된 순찰 대원이 가택 내부의 문단속 상태를 파손이나 강제 침입 없이 눈으로만 꼼꼼히 점검하고 지나가듯, 이 도구는 로컬 개발 머신에 설치된 다양한 언어별 패키지 매니저 파일, 편집기 확장 기능, 그리고 최근 급증하고 있는 MCP(Model Context Protocol) 서버 설정의 보안 위험 요소를 읽기 전용(Read-Only) 스캔 방식으로 안전하게 감지합니다. Go 언어를 기반으로 구현되어 단일 실행 파일만으로 동작하며, 외부 라이브러리 의존성 없이 로컬 운영체제(macOS 및 Linux)의 파일 메타데이터를 정적으로 파싱하여 잠재적 위협을 시각화합니다. 기존의 소프트웨어 구성 분석(SCA)이나 SBOM(소프트웨어 자재 명세서) 도구들은 주로 배포 가능한 프로덕션 아티팩트나 클라우드 리포지토리의 종속성 점검에만 초점을 맞추고 있어, 개발자가 매일 사용하는 개인 개발 장비의 보안 위협에 신속히 대처하는 데 한계가 있었습니다. 특히 최근에 성행하는 고도화된 공급망 공격은 패키지가 실제로 설치되는 과정에서 동작하는 preinstall 스크립트나 AI 어시스턴트의 과도한 파일 시스템 쓰기 권한을 악용해 로컬에 저장된 API 키, 환경 변수 등 주요 자산을 가로채는 위협을 초래합니다. Bumblebee는 이러한 문제점에 대응하기 위해 위험한 패키지를 직접 설치하여 실행하거나 외부와 통신하지 않고, 디스크에 존재하는 lockfile이나 JSON 구성 문서만을 안전하게 분석하여 공격 코드가 로컬 시스템 내부에서 실행되는 경로를 사전에 원천 차단합니다. 생물정보학 및 AI 신약 개발 분야를 다루는 연구원과 엔지니어들은 대규모 계산 파이프라인 구동을 위해 수많은 오픈소스 종속성 모듈과 AI 코딩 어시스턴트를 복합적으로 사용하기 때문에 공급망 위협에 항상 노출되어 있습니다. 연구 프로젝트가 보관된 디렉터리 경로를 매개변수로 지정하여 스캔을 실행하면, 프로젝트 내에서 구동 중인 PyPI나 npm 종속성 구조와 MCP 서버 구성 정보 내에 포함된 자격 증명 관리 상태를 신속히 인벤토리화하여 분석합니다. 이를 통해 연구 데이터 유출 위험이나 외부 악성 유입 코드를 정량적으로 검사하고 NDJSON 형식의 표준화된 위협 리포트를 1~2초 이내로 출력받아 연구 인프라의 신뢰도를 공고히 유지할 수 있습니다.