Werden Sie nicht das nächste
GitHub
Jede wurde über die Umgebung eines Entwicklers kompromittiert — ein geleaktes Geheimnis, eine vergiftete Supply Chain, ein entgleister KI-Agent. Bromure Agentic Coding stoppt alle drei.
Bromure Agentic Coding jetzt herunterladenApple Silicon (M1 oder neuer) · Kostenlos & Open Source
Sie haben Bromure Agentic Coding nicht eingesetzt
Begrenzen Sie den Schadensradius, nicht den Entwickler.
Der Reflex ist, Entwickler einzusperren — EDR, kein Root, jedes Credential hinter einer Warteschlange. Das funktioniert nicht: Wenn die Maschine nicht ihre eigene ist, umgehen sie Sie, und Sie verlieren die Kontrolle, nach der Sie gegriffen haben, und die Sichtbarkeit, die Sie schon hatten.
Geben Sie ihnen die ganze Maschine
Root, jedes Paket, jedes Experiment, um 2 Uhr nachts ohne Ticket. Nehmen Sie das weg, und ein guter Entwickler rebelliert — oder arbeitet still an Ihnen vorbei. Die Umgebung muss sich wie ihre eigene anfühlen, sonst nutzen sie sie nicht.
Sie halten die Schlüssel zum Königreich
Die Produktionsdatenbank. Der AWS-Account. Das Cluster, das ein Befehl löschen kann. Dieser Zugriff ist der Job — aber ein falscher Befehl, eine vergiftete Abhängigkeit, ein entgleister Agent rückt das ganze Unternehmen in den Schadensradius.
Lassen Sie sie experimentieren, nehmen Sie den Schaden vom Tisch
Sie machen das nicht sicher, indem Sie verkleinern, was der Entwickler tun kann, sondern indem Sie verkleinern, was ein Fehler — oder eine Kompromittierung — erreichen kann.
Also lässt Bromure die Macht des Entwicklers unangetastet und legt stattdessen drei Dingen die Leine an: ihren Geheimnissen, ihrer Umgebung und dem, was die Supply Chain einschleust.
Volle Macht für den Entwickler, eine Leine für den Schaden.
Ihre Geheimnisse
Echte Tokens und SSH-Keys gelangen nie in die Sandbox. Der Agent bekommt Stubs; ein Proxy auf Ihrem Mac tauscht den echten Bearer an der Leitung ein. Alles Sensible muss per Klick freigegeben werden.
Ihre Umgebung
Guardrails prüfen die Operation, nicht nur die Verbindung. Ein DELETE, ein Force-Push, ein DROP gegen Production stoppt und fragt zuerst Sie — egal, welches Token es hält.
Ihre Supply Chain
Jedes Paket, das der Agent zieht, wird gegen OSV und socket.dev geprüft, Install-Skripte werden entfernt, und brandneue Releases werden zurückgehalten — bevor irgendetwas davon die VM erreicht.
Der Agent arbeitet, die Geheimnisse bleiben zu Hause.
Ein Agent, der nicht zu Ihren Repos, Registries und Servern gelangt, ist nicht nützlich. Die naive Antwort — Ihre Tokens und Keys einfach in die VM legen — reicht sie der nächsten typosquatteten Dependency, die sie ausliest.
Bromure dreht das um. Die VM kommt mit Stubs, die für jedes Tool, das einen Authorization-Header erwartet, echt aussehen. Ein Proxy auf Ihrem Mac fängt jede ausgehende Verbindung ab und tauscht den Stub am Draht gegen das echte Geheimnis aus. Der echte Wert berührt nie eine Datei, Env-Variable oder einen Speicher, den die VM lesen kann.
hier läuft der Agent
echte Geheimnisse bleiben hier
sieht ein gültiges Token
Das echte PAT berührt nie eine Datei, Env-Variable oder Speicherseite, die die VM erreichen kann. Eine vergiftete Dependency geht mit dem Stub davon.
Stubs rein, echte Tokens raus
Konfigurieren Sie Ihre Credentials einmal auf dem Host. Die VM bekommt Stubs, die jedes Tool akzeptiert; der Proxy ersetzt das echte Bearer-Token, sobald die Anfrage hinausgeht. Ein Paket, das das Dateisystem abgreift, läuft mit Platzhaltern davon.
ssh-agent weitergereicht, nie offengelegt
SSH-Keys bleiben im macOS Keychain — Bromure leitet nur den ssh-agent-Socket in die VM weiter. ssh und git funktionieren transparent, aber es gibt keine Schlüsseldatei, keine Passphrase im Speicher, nichts zu stehlen.
Ein Klick zwischen dem Agent und Ihren Geheimnissen.
Markieren Sie ein Credential als sensibel, und Bromure fügt einen Human-in-the-Loop-Schritt ein. Wenn etwas über den Proxy danach greift, taucht auf Ihrem Mac ein Dialog auf, nennt Credential und Ziel und fragt Sie. Bewilligen Sie für fünf Minuten, eine Stunde, die Sitzung oder nur einmal.
Zeitlich begrenzte Freigabe
Wählen Sie die TTL beim Bewilligen: fünf Minuten für einen Push, eine Stunde für ein Release, Single-Use für die heiklen Fälle. Die Freigabe verfällt von selbst, sodass kein Token den ganzen Tag weit offen steht.
Lokale Malware verliert ihren Hebel
Lokale Malware, die in Ihre Registry pushen, sich als Sie ausgeben oder einen Cloud-Account leerräumen will, kann es nicht. Die Credentials liegen nicht auf Disk, und der Proxy gibt nur dann eines heraus, wenn Sie auf Bewilligen klicken. Code-Ausführung allein reicht nicht mehr, um in Production zu handeln.
Aus langlebigen Tokens werden Momente des Zugriffs. Selbst wenn Ihr Laptop vollständig kompromittiert ist, muss ein Angreifer immer noch an Ihnen vorbei, um irgendetwas zu tun, das zählt.
Machen Sie jeden Key auf dem Weg nach draußen read-only.
Die Horrorgeschichten handeln nicht von gestohlenen Tokens — sondern von einem Agent, dem man ein legitimes Credential in die Hand gedrückt hat und der damit das Falsche in Production löscht. Der Key war nie kompromittiert; er hatte nur Schreibzugriff, den er nicht hätte haben dürfen. Und die Lehrbuchlösung — pro Tool, pro Sitzung ein read-only-Token — ist zu mühsam, als dass es jemand tatsächlich täte.
Guardrails liest die Operation, nicht nur die Verbindung — ein Lesen von einem Schreiben. Markieren Sie ein Credential als read-only, und Bromure verweigert alles, was den Zustand verändert. Stellen Sie es auf Nachfragen, und sobald der Agent etwas mutieren will, stoppt Bromure es am Draht und fragt — nennt Verb, Ziel und Profil, genau so.
Read-only, ohne irgendetwas neu auszustellen
Schluss damit, pro Tool, pro Repo, pro Sitzung ein begrenztes Token zu prägen. Behalten Sie das Credential, das Sie haben, und setzen Sie eine read-only-Grenze davor — es verhält sich read-only, so lange Sie es bestimmen. Müssen Sie ausliefern? Schalten Sie es für fünfzehn Minuten zurück.
Nachfragen, bevor mutiert wird
Stellen Sie sensible Credentials auf Nachfragen, und jeder zustandsverändernde Aufruf pausiert, bis Sie zustimmen. Dieselben zeitlich begrenzten Freigaben: fünfzehn Minuten, einmal, die Sitzung oder nie. Der Agent darf den ganzen Tag lesen; ohne ein Ja kann er Production nicht verändern.
Der Agent behält seine Autonomie dort, wo Fehler billig sind, und verliert sie genau dort, wo sie es nicht sind. „Der Agent hat die Production-Datenbank gelöscht“ ist kein Postmortem mehr, sondern ein Dialogfeld, bei dem Sie auf „Nicht erlauben“ geklickt haben.
Jedes Paket, das der Agent zieht, geprüft, bevor es landet.
Die Logos oben auf dieser Seite sind eine Wand aus Supply-Chain-Vorfällen. Ein Agent, der auf Ihr Wort hin Abhängigkeiten installiert, ist das perfekte Transportmittel: Er führt `npm install` aus, eine transitive Abhängigkeit feuert ihr postinstall-Skript, und Sie erfahren nächstes Quartal davon.
Supply Chain macht aus demselben Proxy einen Prüf-Checkpoint: Jedes Paket, das der Agent holt, wird gegen OSV und socket.dev geprüft, Install-Skripte werden entfernt, und brandneue Releases werden zurückgehalten. Es läuft an der VM-Grenze, bleibt also aktiv, egal was der Agent darin tut.
Erzwungen unterhalb des Agents, nicht durch ihn
Jeder Paket-Abruf verlässt die VM über Bromures Proxy. Wie auch immer der Agent seine Config umschreibt, um Sie zu umgehen — die Prüfung passiert an der Grenze, die er nicht überschreiten kann. So hält der Schutz selbst dann, wenn der Agent ihn aktiv zu umgehen versucht.
Zwei Scanner, zwei Arten von Bedrohung
OSV fängt bekannte CVEs ab dem Schweregrad-Schwellenwert ab, den Sie setzen. socket.dev fängt das ab, was die Datenbanken noch nicht erfasst haben — bösartige Install-Skripte, Malware, Typosquats. Ein markiertes Release wird blockiert, bevor es die VM erreicht.
Install-Skripte, im Vorbeigehen entfernt
Install-Hooks wie `postinstall` sind die Stellen, an denen Payloads tatsächlich ausgeführt werden. Bromure entfernt sie aus dem Tarball und korrigiert den Metadaten-Hash, sodass die Installation weiterhin verifiziert. Die wenigen Native Builds, die sie wirklich brauchen, kommen auf eine kurze Allowlist; alles andere installiert sich inert.
Ein Paket muss reifen, bevor es zubeißen kann
Kompromittierte Versionen werden meist innerhalb von Stunden zurückgezogen — genau die Stunden, in denen ein Agent eine davon ziehen könnte. Bromure stellt alles unter Quarantäne, was in den letzten zwei Tagen veröffentlicht wurde (einstellbar), sodass ein frisches bösartiges Release nicht installierbar ist, während das Ökosystem aufholt.
Der Agent kann `npm install`-en, was immer er braucht — aber nie eine bekannte kritische CVE, ein kompromittiertes Release, ein nicht erlaubtes Install-Skript oder eine Version, die vor einer Stunde hochgeladen wurde. Der Schutz hängt nie von der Kooperation des Agents ab.
Sehen Sie genau, was der Agent getan hat.
Ein Coding-Agent trifft Hunderte Entscheidungen pro Sitzung, und die meisten scrollen ungelesen vorbei. Das ist in Ordnung — bis etwas kaputtgeht. Oder bis Sie einem Teamkollegen oder einem Auditor erklären müssen, was das Modell tatsächlich geändert hat.
Bromure zeichnet die gesamte Sitzung auf, während sie läuft: jeden Prompt, jede Antwort, jeden Tool-Aufruf, jedes Shell-Kommando, jede geschriebene Datei. Nachher öffnen, durchsuchen, an einen Pull Request anhängen. Der Agent arbeitet schnell; das Protokoll ist geduldig.
Vollständige Dialogerfassung
Prompts, Completions, Tool-Aufrufe, Shell-Kommandos, Dateibearbeitungen, Exit-Codes — live erfasst. Nichts wird aus Scrollback rekonstruiert; nichts geht verloren, wenn Sie das Terminal schließen.
Abspielbar, reviewbar, zuordenbar
Scrollen Sie durch die Argumentation und die Aktionen des Agents, sehen Sie genau, was installiert wurde und warum, und verwandeln Sie „es hat einfach funktioniert“ oder „es ist einfach kaputt“ in etwas, das Sie einem anderen Menschen zeigen können.
Wenn der Agent funktioniert, ist der Trace Ihr Papierpfad. Wenn er es nicht tut, ist er Ihr Bug-Report.
Bringen Sie Ihren eigenen Agent mit.
Bromure Agentic Coding ersetzt Ihr Tooling nicht — es gibt ihm einen sicheren Ort zum Laufen. Die VM kommt mit den Runtimes, die die meisten Agents erwarten; den Rest installieren Sie.
Claude Code
Anthropics terminalbasierter Agent läuft nativ in der VM. Einmal authentifizieren — und ihn Dependencies ziehen, Tests laufen lassen und gegen Ihr geteiltes Repo refaktorieren lassen.
Codex
OpenAIs Coding-Agent installiert sich genauso wie auf jedem anderen Linux-Rechner — nur dass dieser Linux-Rechner Ihr Home-Verzeichnis nicht sehen kann.
Grok Build
xAIs Coding-Agent installiert und läuft in der VM wie jedes andere Linux-Tool. Richten Sie ihn auf das geteilte Repo; Ihre echten Tokens und SSH-Keys bleiben auf dem Host, außer Reichweite.
Alles andere
Aider, OpenHands, eigene interne Agents — wenn es auf Linux läuft, läuft es in Bromure. Die VM ist nur eine Linux-Maschine; die Sicherheit kommt von dem Ort, an dem sie lebt.
So funktioniert es
1. Ordner wählen
Wählen Sie, welche Ordner auf Ihrem Mac die VM mounten darf — typischerweise nur das Projekt, an dem Sie arbeiten. Mehr sieht der Agent von Ihrem Dateisystem nicht.
2. VM starten
Bromure bootet eine Linux-VM in wenigen Sekunden über Apple Virtualization.framework. Öffnen Sie ein Terminal hinein, wie Sie es bei jeder anderen Remote-Maschine tun würden.
3. Agent ausführen
Installieren Sie Claude Code oder Codex in der VM. Zeigen Sie ihn auf den geteilten Ordner. Lassen Sie ihn arbeiten — Pakete installieren, Skripte laufen lassen, Prozesse starten — ohne dass er je Ihren Host berührt.
4. Zurücksetzen, wann immer Sie wollen
Wenn der Zustand der VM nicht mehr nützlich ist, werfen Sie sie weg. In Sekunden frisch starten. Ihr Code liegt auf dem Host; das Chaos bleibt in der VM.
Was ist mit einem Container oder meiner bestehenden VM?
Jeder hat irgendeine Sandbox. Der Witz von Bromure ist nicht die Sandbox — es ist, was nicht darin steckt.
Kein Credential-Broker
Damit ein generischer Container brauchbar ist, mounten Sie Ihre echten Geheimnisse hinein — auf ein Dateisystem, das der Agent lesen kann. Bromure dreht das um: Die Sandbox bekommt Stubs, und ein Proxy tauscht sie auf der Leitung gegen das echte Geheimnis aus. Ein einfacher Container hat dafür kein Pendant, ohne das Vertrauensmodell neu zu erfinden.
Kein Approval-Gate
Eine generische Sandbox gibt Credentials in dem Moment frei, in dem etwas danach fragt. Bromure schiebt einen Human-in-the-Loop-Schritt vor jedes sensible Credential — Name, Ziel, TTL —, sodass selbst lokale Malware kein Token abgreifen kann, während Sie wegschauen.
Container teilen Ihren Kernel
Container teilen sich den Kernel mit dem Host — ein bösartiges Paket oder ein Kernel-Bug, und die Grenze ist weg. Sie isolieren Workloads, nicht das, was Sie aktiv darin laufen lassen. Die Bromure-Sandbox ist eine echte VM mit eigenem Kernel: eine echte Grenze, falls die Credential-Ebene jemals auf sie zurückfallen muss.
Docker auf dem Mac ist schon eine VM
Docker auf dem Mac führt Ihre Container bereits in einer versteckten Linux-VM aus — Sie zahlen den VM-Preis bereits, sehen ihn nur nicht. Bromure schneidet die Mittelschicht heraus und nutzt direkt Apples Virtualization.framework: eine Sandbox, sichtbar, Ihre.
Jeder Container und jede VM kann einen Agent beherbergen. Nur Bromure brokert Ihre Credentials, sodass der Agent sie gar nicht erst in den Fingern hat. Die Isolation ist Pflicht; der Broker ist die Kür.
Geben Sie Ihrem Agent eine echte Werkstatt.
Eine VM. Vollständige Isolation. Installieren Sie alles. Bromure Agentic Coding ist kostenlos und Open Source.
Bromure Agentic Coding jetzt herunterladenApple Silicon (M1 oder neuer) · Kostenlos & Open Source