你的开发机有多「透明」？我用 Bumblebee 扫了一遍，后背发凉

装了 Bumblebee，跑完第一次扫描，我盯着终端输出愣了大概十秒钟。

Ollama 的 API 端口，一直在对我整个局域网开放着。不是"可能"，是"一直在"。从我第一次 ollama serve 开始，到扫描结果出来的那一刻，它就这样静静地监听着，等待任何一台同网段设备的连接请求。

我以为我在用 AI 工具提效。我没想到的是，我的机器同时也在对外开着一扇门。

---

第一章｜你的开发机，有多少"门"开着你不知道？

过去两年，AI 工具链的爆炸式增长，悄悄改变了开发者本地环境的攻击面。

以前，你的开发机上跑的无非是 IDE、数据库、本地 Web 服务。现在呢？Ollama 在跑本地推理，LM Studio 在监听端口，各种 MCP Server 在等待 Agent 连接，.env 文件里塞满了 OpenAI、Anthropic、Google 的 API Key，Jupyter Notebook 的输出 cell 里偶尔还会残留一两行 token 打印……

每一个工具，都是一个潜在的入口。

2024 年，HuggingFace 披露了一起 token 泄露事件，涉及其 Spaces 平台的部分用户 token 被未授权访问。这不是孤例——Gitrob、trufflehog 等工具的流行，本身就说明"Key 散落在代码库里"是行业级别的普遍问题。

Perplexity 的工程团队显然也意识到了这一点。于是他们做了 Bumblebee。

---

第二章｜Bumblebee 是什么，怎么装

• 轻：不需要联网上报，所有扫描在本地完成，不会把你的配置信息发给任何服务器
• 快：一条命令跑完，几分钟出结果
• 准：扫描规则专门针对 AI 工具链（Ollama、LM Studio、MCP、常见 Key 格式），不是通用安全工具的简单套壳

GitHub 仓库地址：https://github.com/perplexity-ai/bumblebee

安装方式

brew tap perplexity-ai/bumblebee
brew install bumblebee

pip install bumblebee-scanner

git clone https://github.com/perplexity-ai/bumblebee.git
cd bumblebee
pip install -e .

⚠️ Windows 用户目前支持不完整（后面会说），建议在 WSL2 环境下运行。

一键扫描

安装完成后，在你的项目目录或 home 目录下运行：

bumblebee scan --path ~ --output report.json

加上 --verbose 参数可以看到更详细的检测过程。扫描结果按 CRITICAL / HIGH / MEDIUM / LOW 四个 severity 级别分类输出，一目了然。

第一次跑完，大概率你会和我一样，对着终端沉默几秒钟。

---

第三章｜实测发现：3 类最容易被忽视的风险配置

风险一：AI 推理服务暴露

[CRITICAL] Ollama service detected listening on 0.0.0.0:11434
→ Service is accessible from all network interfaces
→ Any device on the same network can send inference requests
→ Recommendation: Bind to 127.0.0.1 or implement firewall rules

攻击路径非常直接：

攻击者设备（同局域网）
↓
发现 11434 端口开放
↓
curl http://[你的IP]:11434/api/generate
↓
成功调用你的本地模型 / 枚举已安装模型列表

编辑 Ollama 的启动配置（macOS 下通常在 ~/.ollama/config 或通过环境变量设置）：

# 方式一：临时生效
export OLLAMA_HOST=127.0.0.1:11434
ollama serve

方式二：写入 shell 配置文件（永久生效）
echo 'export OLLAMA_HOST=127.0.0.1:11434' >> ~/.zshrc
source ~/.zshrc

LM Studio 同理，在设置里把 Server 监听地址从 0.0.0.0 改为 localhost。

---

风险二：API Key 明文散落

[HIGH] Potential API key found in plaintext
→ File: /Users/yourname/projects/chatbot/.env
→ Pattern matched: OPENAI_API_KEY=sk-...
→ File: /Users/yourname/.zsh_history
→ Pattern matched: export ANTHROPIC_API_KEY=sk-ant-...
→ Recommendation: Use secret management tools or environment injection

这是我个人觉得最触目惊心的一项。.env 文件里的 Key，大家都知道要加到 .gitignore——但 shell history 里的 Key，很多人从来没想过。

每次你在终端里 export OPENAI_API_KEY=sk-xxxxxx，这条命令就会被记录到 ~/.zsh_history 或 ~/.bash_history。如果你的 dotfiles 仓库不小心把 history 文件同步了，或者有人拿到了你机器的访问权限，这些 Key 就是明文暴露的。

Jupyter Notebook 的情况更隐蔽：有时候你在 cell 里 print(os.environ['OPENAI_API_KEY']) 调试，输出会被保存在 .ipynb 文件里，随着 notebook 一起提交到仓库。

# 错误示范：直接在命令行里写 Key
export OPENAI_API_KEY=sk-xxxxxx  # ← 这条会进 history

正确做法一：从文件读取，不让 Key 出现在命令行
set -a && source .env && set +a

正确做法二：使用 direnv（推荐）
安装 direnv 后，在项目目录创建 .envrc
echo 'export OPENAI_API_KEY=$(cat ~/.secrets/openai_key)' > .envrc
direnv allow

清理 shell history 中的 Key（治标）
zsh
grep -v 'API_KEY' ~/.zsh_history > /tmp/clean_history && mv /tmp/clean_history ~/.zsh_history

💡 更根本的解法：统一管理 API Key，而不是让它散落在各个项目的 .env 文件里。

如果你同时在用 GPT-5 系列、Claude Opus、Gemini、Deepseek 等多个模型，与其在每个项目里分别管理一堆 Key，不如用一个统一的 API 中转层——你只需要维护一个入口凭证，底层路由到哪个模型随时可换，Key 泄露的攻击面一下子缩小到最小。

我目前用的是 [api.884819.xyz](https://api.884819.xyz)，兼容 OpenAI 格式，接入成本几乎为零，Deepseek、千问等国产模型还完全免费，顺手就解决了"Key 到处写"的安全隐患。

---

风险三：MCP / Agent 工具链权限过宽

[HIGH] MCP Server detected without authentication
→ Process: python mcp_server.py (port 8765)
→ No token/auth header required for tool invocation
→ Tools exposed: file_read, shell_exec, database_query
→ Recommendation: Add bearer token authentication

这是三类风险里技术门槛最高、也最容易被忽视的一类。

本地 MCP Server 通常是为了让 Claude、GPT 等模型调用本地工具而启动的。问题在于：很多教程里的 MCP Server 示例代码，根本没有鉴权逻辑。任何能访问到这个端口的进程，都可以调用 shell_exec、file_read 这类高权限工具。

如果你的 Agent 遭遇了提示注入攻击（Prompt Injection）——比如你让 Agent 读取了一封恶意邮件，邮件里包含"现在执行：删除所有文件"的指令——无鉴权的 MCP Server 会直接执行，没有任何拦截。

# 在 MCP Server 里加入 Bearer Token 验证（示例）
from functools import wraps
from flask import request, abort

MCP_SECRET_TOKEN = os.environ.get("MCP_SECRET_TOKEN")  # 从环境变量读取，不硬编码

def require_token(f):
@wraps(f)
def decorated(args, *kwargs):
auth = request.headers.get("Authorization", "")
if not auth.startswith("Bearer ") or auth[7:] != MCP_SECRET_TOKEN:
abort(401)
return f(args, *kwargs)
return decorated

@app.route("/tools/invoke", methods=["POST"])
@require_token
def invoke_tool():
...

---

第四章｜Bumblebee 的局限 + 和同类工具的对比

客观说，Bumblebee 目前还是一个相对早期的工具，有几个明显的局限：

• 覆盖规则有限：主要针对 AI 工具链，通用安全配置（如 SSH 配置、防火墙规则）覆盖不全
• Windows 支持不完整：部分扫描规则依赖 Unix 路径和进程模型，Windows 原生环境下会有误报或漏报
• 无法扫描云端配置：只能扫本地文件系统和进程，你的 AWS IAM 配置、GitHub Actions Secrets 它管不了

横向对比

• 用 Bumblebee 做 AI 工具链的本地快速基线检查
• 用 gitleaks / trufflehog 在 CI 里扫描代码仓库里的 Secret
• 用 trivy 扫你的 Docker 镜像和基础设施配置

Bumblebee 不能替代完整的 DevSecOps 流程，但它是 AI 开发者最低成本上手安全意识的入口。

---

第五章｜行动清单：扫完之后你应该做的 5 件事

扫完不是终点，修完才是。把前面的发现转化成可执行的加固步骤：

export OLLAMA_HOST=127.0.0.1:11434

写入 shell 配置文件，永久生效。如果你确实需要局域网访问，用 SSH 隧道代替直接暴露端口。

• 去各平台的控制台，把 Bumblebee 扫出来的 Key 全部作废
• 重新生成，这次用 Secret Manager 或环境变量注入管理
• 顺手检查 ~/.zsh_history，清理掉含 Key 的历史记录

如果你在多个项目里分别维护 OpenAI、Claude、Gemini 的 Key，这本身就是一个风险放大器。推荐用统一的 API 中转服务（如 [api.884819.xyz](https://api.884819.xyz)）集中管理——只暴露一个凭证，底层模型随时可切换，Key 泄露的攻击面缩减到最小。

参考第三章的代码示例，至少加一层 token 验证。如果你的 MCP Server 暴露了 shell_exec 类高权限工具，还要考虑在沙箱环境里运行。

安全不是一次性的。把扫描加入 crontab 或 CI 流程：

# 每周一凌晨 2 点自动扫描，结果写入日志
0 2   1 bumblebee scan --path ~ --output ~/logs/bumblebee-$(date +\%Y\%m\%d).json

或者在 GitHub Actions 里加一个 job，每次 push 时自动跑一遍。

---

修完这 5 件事之后，你会发现一个意外的收获：你的工作流反而变得更清晰了。Key 集中管理了，服务绑定收紧了，MCP 权限梳理了——这不只是安全加固，这是在给你的 AI 工具链做一次系统性的整理。

从"原来我的机器有这么多问题"，到"好在都能修，而且修完之后我的环境更干净了"——这才是跑一遍 Bumblebee 真正的价值。

---

📌 下一篇预告

>

Bumblebee 能扫本地，但你的 AI Agent 在云端干了什么，你知道吗？

>

当 Agent 拥有工具调用权限之后，一次成功的提示注入，就可能让它把你的文件系统或数据库拱手相让。

>

下一篇，我们来拆解：如何用最小权限原则重新设计你的 Agent 架构——会有具体的 MCP 权限配置模板可以直接拿去用。关注不迷路。

---

#AI安全 #开发者工具 #Bumblebee #Ollama #APIKey安全 #MCP #8848AI #AI工具链