Perplexityが「セキュリティスキャナー」を出した理由 — Bumblebeeが照らす開発環境の死角
AI検索エンジンを作っている会社が、なぜセキュリティスキャナーを出すのか。
5月22日、Perplexity AIがBumblebeeをオープンソースで公開した。開発者のPC上にあるlockfile、MCP設定、IDE拡張、ブラウザ拡張を「読み取り専用で」スキャンし、既知の脆弱性を持つパッケージや不審な設定を検出するツールだ。Apache 2.0ライセンス、Go製。公開1週間でGitHubスターは1,450を超えた。
答えは単純で、Perplexity自身がAIエージェントを大量に運用しているからだ。自社のComet ブラウザやPerplexity Computerの開発基盤を守るために作ったものを、そのまま公開した形になる。
「何もしない」という設計思想
Bumblebeeの最大の特徴は、何も実行しないことだ。
従来のセキュリティスキャナーの多くは、npm auditやpip checkのようにパッケージマネージャを呼び出して脆弱性を確認する。だがこのアプローチには致命的な弱点がある。パッケージマネージャを実行すること自体が攻撃ベクトルになりうるのだ。postinstallスクリプトが悪意のあるコードを実行する事例は、2026年に入って急増している。
Bumblebeeはlockfileだけを直接読む。npmもpipもbunも呼び出さない。依存関係の情報はlockfileに全て書いてあるのだから、それを読めばいい。実行しなければ、スキャン自体が攻撃経路になることはない。
MCPサーバー設定の監査 — 見落とされてきた攻撃面
筆者が最も注目したのは、MCP設定ファイルの監査機能だ。
Claude Desktop、Cursor、Cline、Windsurf。これらのツールはMCPサーバーを通じて外部サービスに接続する。メール、データベース、カレンダー、コードリポジトリ。MCPの設定ファイル(claude_desktop_config.json、mcp_settings.json等)に悪意のあるサーバー設定が紛れ込めば、認証情報の漏洩やバックグラウンドでの不正コマンド実行が起きる。
にもかかわらず、MCP設定を専門に監査するツールはこれまでほぼ存在しなかった。Bumblebeeはmcp.json、.mcp.json、claude_desktop_config.json、mcp_config.json、mcp_settings.json、cline_mcp_settings.json、さらにGemini CLIの設定までパースする。環境変数やAPIキーの値自体は出力しない設計で、「どのサーバーが設定されているか」だけを報告する。
MCP対応ツールを3つ以上使っている開発者にとって、これは地味だが重要な安心材料になる。
スキャン対象の広さ
Bumblebeeがカバーする範囲は広い。
パッケージエコシステムは8種類 — npm、pnpm、Yarn、Bun、PyPI、Go modules、RubyGems、Composer。IDE拡張ではVS Code、Cursor、Windsurf、VSCodiumをスキャンし、ブラウザ拡張はChromiumとFirefoxの両方に対応する。
開発者のマシン上にある「攻撃面」をほぼ網羅しようとしている。パッケージの脆弱性チェックだけなら他にもツールがあるが、lockfile + MCP + IDE拡張 + ブラウザ拡張を一括でスキャンできるのはBumblebeeだけだろう。
使い方
macOSとLinuxに対応。Goがインストールされていれば、以下のコマンドで導入できる。
go install github.com/perplexityai/bumblebee@latest
bumblebee scan
出力はJSON形式で、CI/CDパイプラインに組み込むことも想定されている。
正直に微妙な点
Windows非対応は痛い。開発者の一定数はWindowsを使っており、WSL2環境でのMCP設定は独自のパスにある。Perplexityがどこまでクロスプラットフォーム対応を進める気なのかは不明だ。
また、v0.1.1というバージョンが示す通り、まだ初期段階だ。誤検出や検出漏れは当然ある。「これを入れておけば安心」というレベルにはまだない。あくまで追加の防御層として使うべきだ。
なぜこれが「今」必要なのか
2026年の開発者は、2024年とは比較にならない数のサードパーティ接続を持っている。CursorのMCPサーバー、Claude Desktopのプラグイン、npmの自動インストール。一人の開発者のマシンが持つ攻撃面は、かつてのサーバー以上に複雑だ。
Bumblebeeが面白いのは、この複雑さに対して「全部読むけど何も実行しない」というシンプルな原則で立ち向かっている点だ。セキュリティツールにありがちな「導入すること自体がリスク」という矛盾を、設計レベルで回避している。
MCP対応のAIコーディングツールを日常的に使っている開発者なら、一度bumblebee scanを走らせてみる価値はある。見覚えのないMCPサーバーが設定に紛れ込んでいないか確認するだけでも、5分の投資としては悪くない。
関連記事
無料・OSS・100万トークン — Googleの「Gemini CLI」がターミナルAI三つ巴を完成させた
GoogleがApache 2.0で公開したターミナルAIエージェント「Gemini CLI」を解説。無料でGemini 2.5 Proが使える仕組み、Claude Code・Codex CLIとの違い、MCP対応の実態を整理する。
AIコーディングエージェントに「今はファイルを触るな」と教える — Statewrightのステートマシン式ガードレール
AIコーディングエージェントにフェーズ別のツール制限を設けるOSS「Statewright」を解説。SWE-benchで2/10→10/10の改善効果とMCP対応の仕組み。
OpenCode vs Claude Code 2026年版 — 16万スターOSSと最強CLIエージェント、どちらを選ぶべきか
OpenCodeとClaude Codeを5つの軸で徹底比較。料金・モデル対応力・コード品質・開発体験・拡張性の違いから、ターミナルAIコーディングツールの最適な選び方を解説する。