Bromure Agentic Coding

Lassen Sie Ihren KI-Agent
loslegen — sicher.

Lassen Sie Claude Code, Codex und den nächsten Coding-Agent in einer Linux-VM laufen, die nur die Ordner sieht, die Sie wählen. Was sie auch herunterladen, installieren oder kaputt machen — es bleibt in der VM.

Bromure Agentic Coding jetzt herunterladenApple Silicon (M1 oder neuer) · Kostenlos & Open Source

Bromure Agentic Coding running Claude in an isolated VM with the Trace Inspector

Coding-Agents laufen jetzt auf Ihrem Laptop.

Claude Code und Codex ziehen Pakete, lassen Skripte laufen, fahren Server hoch und führen aus, was das Modell für nützlich hält. Genau das ist der Sinn. Aber jedes npm install, jedes pip install, jedes curl | bash, das sie ausführen, landet auf Ihrem Host-OS — neben Ihren SSH-Keys, Ihrem Passwort-Manager, Ihrem iCloud und dem Rest Ihrer Arbeit.

Eine einzige typosquattete Dependency, ein vergiftetes Skript oder ein verwirrter Agent kann leise ein Token exfiltrieren, einen Launch Agent ablegen oder ein Verzeichnis löschen. Der Agent ist nicht bösartig; er hat schlicht root-äquivalenten Zugriff auf Ihre echte Maschine. Das ist ein Blast Radius, für den niemand unterschrieben hat.

Verschieben Sie den Agent in eine VM.

Bromure Agentic Coding gibt jedem Entwickler eine Linux-VM, die nur die Ordner sieht, die er auswählt. Claude oder Codex laufen in der VM. Sie sehen Ihr Repo über einen geteilten Mount; sie sehen weder Ihr Home-Verzeichnis, Ihren Keychain noch den Rest Ihrer Disk.

Installieren Sie alles, was der Agent braucht — System-Pakete, Sprach-Toolchains, halbgare Experimentier-Builds. Die VM ist der Workspace des Agents, nicht Ihr Laptop. Wenn etwas schiefgeht, setzen Sie die VM zurück und starten neu. Ihr Host bleibt makellos.

Die geteilten Ordner werden in beide Richtungen live gemountet — Sie editieren also weiter in Cursor, VS Code oder Xcode auf macOS, während der Agent in der VM arbeitet. Sie speichern in Ihrem Editor, und der Agent sieht die Änderung sofort; der Agent schreibt eine Datei um, und Ihr Editor übernimmt sie — dieselben Dateien, zwei Ansichten, kein Sync, kein Checkout-Tanz.

~/projects/my-app

$ bromure code --share ./

→ launching VM (clone of base image)…

→ mounting ~/projects/my-app at /workspace

→ proxy ready · ssh-agent forwarded · tracer on

→ ready in 3.2s

vm:/workspace

$ claude

→ npm install ✓

→ git push ✓ (token swapped at proxy)

→ host ~/.ssh: not visible · keys never left Mac

Credential-Brokering

Der Agent arbeitet, die Geheimnisse bleiben zu Hause.

Ein Agent, der nicht zu GitHub pushen, aus einer privaten Registry ziehen oder per SSH auf einen Build-Server zugreifen kann, ist nicht nützlich. Die naive Antwort: Ihre langlebigen Tokens und SSH-Keys einfach in die VM legen. Dann liest die nächste typosquattete Dependency sie aus und verschwindet mit Ihrer Organisation.

Bromure dreht das um. Die Konfiguration in der VM kommt mit Stubs — Fake-Bearer-Tokens, Fake-API-Keys — die für git, gh, die CLI Ihres Modell-Providers, Ihre private Registry und alles andere, was einen Authorization-Header erwartet, echt aussehen. Ein Proxy auf Ihrem Mac sitzt vor jeder Verbindung, die die VM verlässt, erkennt den Stub, tauscht ihn am Draht gegen das echte Geheimnis aus und leitet die Anfrage weiter. Der echte Wert wird nie in eine Datei geschrieben, die die VM lesen kann, nie in einer Env-Variable gehalten, die die VM dumpen kann, nie in Speicher geladen, den die VM scrapen kann.

Stubs rein, echte Tokens raus

Konfigurieren Sie GitHub, Ihren Modell-Provider, npm, AWS, Ihre interne Registry — was der Agent eben braucht — einmal auf dem Host. Die VM bekommt Stubs, die jede Erwartung der Tools erfüllen. Der host-seitige Proxy ersetzt das echte Bearer-Token, sobald die Anfrage die Hypervisor-Grenze passiert. Ein Paket, das Env-Variablen abgreift, ~/.netrc liest oder Speicher dumpt, läuft mit Platzhaltern davon.

ssh-agent weitergereicht, nie offengelegt

ssh-agent läuft auf Ihrem Mac, mit Schlüsseln im macOS Keychain. Bromure leitet nur den Agent-Socket in die VM weiter, genau wie OpenSSH es immer gedacht hat. In der VM funktionieren ssh und git transparent — aber es gibt keine Schlüsseldatei auf Disk, keine Passphrase im Speicher, nichts, was eine kompromittierte Dependency stehlen könnte. Sitzung schließen, Kanal zu.

Ein vergiftetes Paket kann das VM-Dateisystem plattmachen. Es kann nicht Ihre GitHub-Org übernehmen. Es kann nicht in Ihre Build-Infrastruktur pivotieren. Es kann nicht Ihren AWS-Account leerräumen. Der Blast Radius ist die VM, und die VM ist Wegwerfware.

Approval Gating

Ein Klick zwischen dem Agent und Ihren Geheimnissen.

Stub-and-Swap ist nur die halbe Geschichte. Die echten Tokens leben weiterhin irgendwo — sie liegen eben auf Ihrem Mac, hinter dem Proxy, statt in der VM. Das ist eine enorme Verbesserung, wenn die Bedrohung Malware in der VM ist. Es ist eine kleinere, wenn die Bedrohung Malware auf Ihrem Laptop selbst ist: ein Update mit Backdoor, eine kompromittierte Browser-Erweiterung, ein Prozess, der bereits lokale Code-Ausführung hat. Alles, was mit dem Proxy sprechen kann, könnte ihn im Prinzip um einen echten Token bitten.

Deshalb fügt Bromure einen expliziten Human-in-the-Loop-Schritt vor den Credentials ein, die Sie als sensibel markieren. Wenn etwas — der Agent, eine CLI, die Sie selbst getippt haben, oder ein Prozess, den Sie nicht angestoßen haben — versucht, einen dieser Tokens über den Proxy zu nutzen, taucht Bromure auf Ihrem Mac auf, nennt das Credential und das Ziel und fragt Sie. Sie bewilligen es für fünf Minuten, eine Stunde, den Rest der Sitzung oder nur für genau diese eine Anfrage. Danach ist es wieder verriegelt.

Zeitlich begrenzte Freigabe

Wählen Sie die TTL beim Bewilligen. Fünf Minuten für einen einzelnen Push. Eine Stunde für eine fokussierte Release-Sitzung. Single-Use für die wirklich heiklen Fälle — ein Production-Deploy, eine Secret-Rotation, eine destruktive Migration. Die Freigabe verfällt automatisch, sodass Sie nicht mit einem `aws sso login` enden, das den Rest des Tages weit offen steht.

Lokale Malware verliert ihren Hebel

Wenn ein Prozess auf Ihrem Mac versucht, in Ihre Container-Registry zu pushen, sich gegenüber GitHub als Sie auszugeben oder einen Cloud-Account leerzuräumen, geht das nicht. Die Credentials liegen nicht auf Disk zum Auslesen, und der Proxy, der sie hält, gibt nur dann eines heraus, wenn der Mensch vor dem Bildschirm auf Bewilligen klickt. Code-Ausführung auf Ihrem Laptop reicht nicht mehr aus, um in Production zu handeln.

Aus langlebigen Tokens werden Momente des Zugriffs. Selbst wenn Ihr Laptop vollständig kompromittiert ist, muss ein Angreifer immer noch an Ihnen vorbei, um irgendetwas zu tun, das zählt.

Warum Agents in einer Bromure-VM laufen lassen

Eingegrenzter Blast Radius

Ein sich danebenbenehmendes Paket, ein vergiftetes Post-Install-Skript oder ein Agent, der rm -rf ausführt — sie können nur das anfassen, was in der VM ist. Ihr Home-Verzeichnis, Ihre Keys und Ihr iCloud sitzen jenseits einer Hypervisor-Grenze.

Keine echten Zugangsdaten drinnen

Die VM kommt mit Stub-Tokens. Ein host-seitiger Proxy tauscht sie am Draht gegen das echte Bearer-Token, sobald eine Anfrage die VM verlässt — und ssh-agent läuft auf Ihrem Mac, nur der Socket wird hineingereicht. Ein Paket, das Env-Variablen abgreift oder die Disk liest, findet Platzhalter, keine Geheimnisse.

Jede Aktion aufgezeichnet

Bromure traced die gesamte Sitzung — Prompts, Modellantworten, Tool-Aufrufe, Shell-Kommandos, Dateibearbeitungen — während sie läuft. Trace nachher öffnen, durchsuchen, einem Reviewer übergeben, an den Pull Request anhängen. Nachvollziehbarkeit gibt's gratis.

Auf macOS editieren, parallel zur VM

Geteilte Ordner sind in beide Richtungen live. Bleiben Sie auf dem Host bei Cursor, VS Code oder Xcode — der Agent schreibt eine Datei in der VM um, Ihr Editor übernimmt sie; Sie speichern in Ihrem Editor, und der Agent sieht es sofort. Dieselben Dateien, zwei Ansichten, kein Sync.

Session Tracer

Sehen Sie genau, was der Agent getan hat.

Ein Coding-Agent trifft Hunderte von Entscheidungen pro Sitzung. Die meisten davon sehen Sie nie — sie scrollen in einem Tool-Aufruf vorbei, den Sie nicht aufmerksam gelesen haben, werden in einer einzigen Zeile zusammengefasst oder passieren zwischen zwei Nachrichten, die Sie überflogen haben. Das ist in Ordnung — bis etwas kaputtgeht. Oder bis Sie einem Reviewer, einem Teamkollegen oder einem Auditor erklären müssen, was das Modell tatsächlich geändert hat.

Bromure zeichnet die gesamte Sitzung auf, während sie läuft: jeden Prompt, jede Modellantwort, jede Tool-Invocation, jedes Shell-Kommando, jede geschriebene Datei. Trace nachher öffnen, durchsuchen, weitergeben, an einen Pull Request anhängen. Der Agent arbeitet schnell; das Protokoll ist geduldig.

Bromure Trace Inspector showing every API call made by the agent

Vollständige Dialogerfassung

Prompts, Completions, Tool-Aufrufe, Shell-Kommandos, Dateibearbeitungen, Exit-Codes — live erfasst, während die Sitzung läuft. Nichts wird aus Scrollback rekonstruiert; nichts geht verloren, wenn Sie das Terminal schließen.

Abspielbar, reviewbar, zuordenbar

Scrollen Sie durch die Argumentation und die Aktionen des Agents, sehen Sie genau, was installiert wurde und warum, und verwandeln Sie „es hat einfach funktioniert“ oder „es ist einfach kaputt“ in etwas, das Sie einem anderen Menschen zeigen können.

Wenn der Agent funktioniert, ist der Trace Ihr Papierpfad. Wenn er es nicht tut, ist er Ihr Bug-Report.

Bringen Sie Ihren eigenen Agent mit.

Bromure Agentic Coding ersetzt Ihr Tooling nicht — es gibt ihm einen sicheren Ort zum Laufen. Die VM kommt mit den Runtimes, die die meisten Agents erwarten; den Rest installieren Sie.

Claude Code

Anthropics terminalbasierter Coding-Agent läuft nativ in der VM. Einmal authentifizieren — und ihn Dependencies ziehen, Tests laufen lassen und Ihr geteiltes Repo refaktorieren lassen.

Codex

OpenAIs Coding-Agent installiert sich genauso wie auf jedem anderen Linux-Rechner — nur dass dieser Linux-Rechner Ihr Home-Verzeichnis nicht sehen kann.

Alles andere

Aider, OpenHands, eigene interne Agents — wenn es auf Linux läuft, läuft es in Bromure. Die VM ist nur eine Linux-Maschine; die Sicherheit kommt von dem Ort, an dem sie lebt.

So funktioniert es

1. Ordner wählen

Beim Anlegen der VM wählen Sie, welche Ordner auf Ihrem Mac sie mounten darf — typischerweise das Projekt, an dem Sie arbeiten. Mehr sieht der Agent von Ihrem Dateisystem nicht.

2. VM starten

Bromure bootet eine Linux-VM in wenigen Sekunden über Apple Virtualization.framework. Öffnen Sie ein Terminal hinein, wie Sie es bei jeder anderen Remote-Maschine tun würden.

3. Agent ausführen

Installieren Sie Claude Code oder Codex in der VM. Zeigen Sie ihn auf den geteilten Ordner. Lassen Sie ihn arbeiten — Pakete installieren, Skripte laufen lassen, Prozesse starten — ohne dass er je Ihren Host berührt.

4. Zurücksetzen, wann immer Sie wollen

Wenn der Zustand der VM nicht mehr nützlich ist, werfen Sie sie weg. In Sekunden frisch starten. Ihr Code liegt auf dem Host; das Chaos bleibt in der VM.

VM vs container

Warum nicht einfach einen Container nutzen?

Vier Gründe.

Geteilter Kernel

Container teilen sich einen Kernel mit Ihrem Host. Ein bösartiges Paket, ein Kernel-Bug oder ein falsch konfigurierter Mount — und die Grenze ist weg. Container wurden gebaut, um Workloads zu isolieren, nicht um sich gegen das zu verteidigen, was Sie aktiv darin laufen lassen.

Unveränderlich, nicht interaktiv

Container-Images werden einmal gebaut und eingefroren. Ein interaktiver Coding-Agent — der den ganzen Tag Pakete installiert, Configs anpasst, Tools neu baut — kämpft die ganze Zeit gegen dieses Modell. Jede Änderung will einen Rebuild. Das veränderliche Home-Verzeichnis, das Sie hineinmounten, um den Workflow erträglich zu machen, wird zur weichen Unterseite, die der Rest des Images eigentlich schützen sollte.

Laufen auf macOS gar nicht wirklich

Docker auf dem Mac führt eigentlich keine Container aus — es führt sie in einer versteckten Linux-VM aus, die Docker Desktop mitbringt. Sie zahlen den VM-Preis bereits, sehen ihn nur nicht. Bromure schneidet die Mittelschicht heraus: eine VM, sichtbar, konfigurierbar, Ihre.

Geheimnisse lassen sich nicht draußen halten

Damit ein Container für git, gh, kubectl, aws oder npm überhaupt brauchbar ist, mounten Sie am Ende ~/.ssh, ~/.kube/config, ~/.aws/credentials, ~/.npmrc und Ihren GitHub-Token hinein — Ihre echten Geheimnisse, auf einem Dateisystem, das der Agent lesen kann. Bromure dreht das um. Die VM bekommt Stubs, die für jedes Tool wie echte Credentials aussehen; ein hostseitiger Proxy erkennt sie und tauscht sie auf der Leitung gegen den echten GitHub-Token, Kubeconfig-Bearer, AWS-Credential oder Registry-Passwort aus, sobald die Anfrage die VM verlässt. SSH-Keys bleiben in der macOS-Keychain — nur der ssh-agent-Socket wird hineingereicht. In einem Container gibt es dafür kein Pendant, ohne das Vertrauensmodell komplett neu zu erfinden.

Eine VM hat ihren eigenen Kernel, ihren eigenen Speicher, ihr eigenes Dateisystem. Sie installieren, was Sie wollen — so wie auf jeder anderen Linux-Maschine — und tun das den ganzen Tag. Apples Virtualization.framework macht den Aufwand niedrig genug, dass es keinen Grund gibt, sich mit weniger zufriedenzugeben.

Geben Sie Ihrem Agent eine echte Werkstatt.

Eine VM. Vollständige Isolation. Installieren Sie alles. Bromure Agentic Coding ist kostenlos und Open Source.