Werden Sie nicht das nächste
GitHub
Jede wurde über die Umgebung eines Entwicklers kompromittiert — ein geleaktes Geheimnis, eine vergiftete Supply Chain, ein entgleister KI-Agent. Bromure Agentic Coding stoppt alle drei.
Bromure Agentic Coding jetzt herunterladenApple Silicon (M1 oder neuer) · Kostenlos & Open Source
Sie haben Bromure Agentic Coding nicht eingesetzt
Begrenzen Sie den Schadensradius, nicht den Entwickler.
Der Reflex ist, Entwickler einzusperren — EDR, kein Root, jedes Credential hinter einer Warteschlange. Das funktioniert nicht: Wenn die Maschine nicht ihre eigene ist, umgehen sie Sie, und Sie verlieren die Kontrolle, nach der Sie gegriffen haben, und die Sichtbarkeit, die Sie schon hatten.
Geben Sie ihnen die ganze Maschine
Root, jedes Paket, jedes Experiment, um 2 Uhr nachts ohne Ticket. Nehmen Sie das weg, und ein guter Entwickler rebelliert — oder arbeitet still an Ihnen vorbei. Die Umgebung muss sich wie ihre eigene anfühlen, sonst nutzen sie sie nicht.
Sie halten die Schlüssel zum Königreich
Die Produktionsdatenbank. Der AWS-Account. Das Cluster, das ein Befehl löschen kann. Dieser Zugriff ist der Job — aber ein falscher Befehl, eine vergiftete Abhängigkeit, ein entgleister Agent rückt das ganze Unternehmen in den Schadensradius.
Lassen Sie sie experimentieren, nehmen Sie den Schaden vom Tisch
Sie machen das nicht sicher, indem Sie verkleinern, was der Entwickler tun kann, sondern indem Sie verkleinern, was ein Fehler — oder eine Kompromittierung — erreichen kann.
Also lässt Bromure die Macht des Entwicklers unangetastet und legt stattdessen vier Dingen die Leine an: ihren Geheimnissen, ihrer Umgebung, dem, was die Supply Chain einschleust, und dem, wozu eine vergiftete Datei den Agent zu überreden versucht.
Volle Macht für den Entwickler, eine Leine für den Schaden.
Ihre Geheimnisse
Echte Tokens und SSH-Keys gelangen nie in die Sandbox. Der Agent bekommt Stubs; ein Proxy auf Ihrem Mac tauscht den echten Bearer an der Leitung ein. Alles Sensible muss per Klick freigegeben werden.
Ihre Umgebung
Guardrails prüfen die Operation, nicht nur die Verbindung. Ein DELETE, ein Force-Push, ein DROP gegen Production stoppt und fragt zuerst Sie — egal, welches Token es hält.
Ihre Supply Chain
Jedes Paket, das der Agent zieht, wird gegen OSV und socket.dev geprüft, Install-Skripte werden entfernt, und brandneue Releases werden zurückgehalten — bevor irgendetwas davon die VM erreicht.
Die Anweisungen des Agents
Ein Angreifer braucht nicht immer ein Token — manchmal sagt eine vergiftete Datei dem Agent einfach, was er tun soll. Bromure prüft, was der Agent liest, auf Prompt Injection und die CLAUDE.md, der er vertraut, auf versteckte Befehle — und kann die Anfrage blockieren, bevor das Modell handelt.
Der Agent arbeitet, die Geheimnisse bleiben zu Hause.
Ein Agent, der nicht zu Ihren Repos, Registries und Servern gelangt, ist nicht nützlich. Die naive Antwort — Ihre Tokens und Keys einfach in die VM legen — reicht sie der nächsten typosquatteten Dependency, die sie ausliest.
Bromure dreht das um. Die VM kommt mit Stubs, die für jedes Tool, das einen Authorization-Header erwartet, echt aussehen. Ein Proxy auf Ihrem Mac fängt jede ausgehende Verbindung ab und tauscht den Stub am Draht gegen das echte Geheimnis aus. Der echte Wert berührt nie eine Datei, Env-Variable oder einen Speicher, den die VM lesen kann.
hier läuft der Agent
echte Geheimnisse bleiben hier
sieht ein gültiges Token
Das echte PAT berührt nie eine Datei, Env-Variable oder Speicherseite, die die VM erreichen kann. Eine vergiftete Dependency geht mit dem Stub davon.
Stubs rein, echte Tokens raus
Konfigurieren Sie Ihre Credentials einmal auf dem Host. Die VM bekommt Stubs, die jedes Tool akzeptiert; der Proxy ersetzt das echte Bearer-Token, sobald die Anfrage hinausgeht. Ein Paket, das das Dateisystem abgreift, läuft mit Platzhaltern davon.
ssh-agent weitergereicht, nie offengelegt
SSH-Keys bleiben im macOS Keychain — Bromure leitet nur den ssh-agent-Socket in die VM weiter. ssh und git funktionieren transparent, aber es gibt keine Schlüsseldatei, keine Passphrase im Speicher, nichts zu stehlen.
Ein Klick zwischen dem Agent und Ihren Geheimnissen.
Markieren Sie ein Credential als sensibel, und Bromure fügt einen Human-in-the-Loop-Schritt ein. Wenn etwas über den Proxy danach greift, taucht auf Ihrem Mac ein Dialog auf, nennt Credential und Ziel und fragt Sie. Bewilligen Sie für fünf Minuten, eine Stunde, die Sitzung oder nur einmal.
Zeitlich begrenzte Freigabe
Wählen Sie die TTL beim Bewilligen: fünf Minuten für einen Push, eine Stunde für ein Release, Single-Use für die heiklen Fälle. Die Freigabe verfällt von selbst, sodass kein Token den ganzen Tag weit offen steht.
Lokale Malware verliert ihren Hebel
Lokale Malware, die in Ihre Registry pushen, sich als Sie ausgeben oder einen Cloud-Account leerräumen will, kann es nicht. Die Credentials liegen nicht auf Disk, und der Proxy gibt nur dann eines heraus, wenn Sie auf Bewilligen klicken. Code-Ausführung allein reicht nicht mehr, um in Production zu handeln.
Aus langlebigen Tokens werden Momente des Zugriffs. Selbst wenn Ihr Laptop vollständig kompromittiert ist, muss ein Angreifer immer noch an Ihnen vorbei, um irgendetwas zu tun, das zählt.
Machen Sie jeden Key auf dem Weg nach draußen read-only.
Die Horrorgeschichten handeln nicht von gestohlenen Tokens — sondern von einem Agent, dem man ein legitimes Credential in die Hand gedrückt hat und der damit das Falsche in Production löscht. Der Key war nie kompromittiert; er hatte nur Schreibzugriff, den er nicht hätte haben dürfen. Und die Lehrbuchlösung — pro Tool, pro Sitzung ein read-only-Token — ist zu mühsam, als dass es jemand tatsächlich täte.
Guardrails liest die Operation, nicht nur die Verbindung — ein Lesen von einem Schreiben. Markieren Sie ein Credential als read-only, und Bromure verweigert alles, was den Zustand verändert. Stellen Sie es auf Nachfragen, und sobald der Agent etwas mutieren will, stoppt Bromure es am Draht und fragt — nennt Verb, Ziel und Profil, genau so.
Read-only, ohne irgendetwas neu auszustellen
Schluss damit, pro Tool, pro Repo, pro Sitzung ein begrenztes Token zu prägen. Behalten Sie das Credential, das Sie haben, und setzen Sie eine read-only-Grenze davor — es verhält sich read-only, so lange Sie es bestimmen. Müssen Sie ausliefern? Schalten Sie es für fünfzehn Minuten zurück.
Nachfragen, bevor mutiert wird
Stellen Sie sensible Credentials auf Nachfragen, und jeder zustandsverändernde Aufruf pausiert, bis Sie zustimmen. Dieselben zeitlich begrenzten Freigaben: fünfzehn Minuten, einmal, die Sitzung oder nie. Der Agent darf den ganzen Tag lesen; ohne ein Ja kann er Production nicht verändern.
Der Agent behält seine Autonomie dort, wo Fehler billig sind, und verliert sie genau dort, wo sie es nicht sind. „Der Agent hat die Production-Datenbank gelöscht“ ist kein Postmortem mehr, sondern ein Dialogfeld, bei dem Sie auf „Nicht erlauben“ geklickt haben.
Jedes Paket, das der Agent zieht, geprüft, bevor es landet.
Die Logos oben auf dieser Seite sind eine Wand aus Supply-Chain-Vorfällen. Ein Agent, der auf Ihr Wort hin Abhängigkeiten installiert, ist das perfekte Transportmittel: Er führt `npm install` aus, eine transitive Abhängigkeit feuert ihr postinstall-Skript, und Sie erfahren nächstes Quartal davon.
Supply Chain macht aus demselben Proxy einen Prüf-Checkpoint: Jedes Paket, das der Agent holt, wird gegen OSV und socket.dev geprüft, Install-Skripte werden entfernt, und brandneue Releases werden zurückgehalten. Es läuft an der VM-Grenze, bleibt also aktiv, egal was der Agent darin tut.
Erzwungen unterhalb des Agents, nicht durch ihn
Jeder Paket-Abruf verlässt die VM über Bromures Proxy. Wie auch immer der Agent seine Config umschreibt, um Sie zu umgehen — die Prüfung passiert an der Grenze, die er nicht überschreiten kann. So hält der Schutz selbst dann, wenn der Agent ihn aktiv zu umgehen versucht.
Zwei Scanner, zwei Arten von Bedrohung
OSV fängt bekannte CVEs ab dem Schweregrad-Schwellenwert ab, den Sie setzen. socket.dev fängt das ab, was die Datenbanken noch nicht erfasst haben — bösartige Install-Skripte, Malware, Typosquats. Ein markiertes Release wird blockiert, bevor es die VM erreicht.
Install-Skripte, im Vorbeigehen entfernt
Install-Hooks wie `postinstall` sind die Stellen, an denen Payloads tatsächlich ausgeführt werden. Bromure entfernt sie aus dem Tarball und korrigiert den Metadaten-Hash, sodass die Installation weiterhin verifiziert. Die wenigen Native Builds, die sie wirklich brauchen, kommen auf eine kurze Allowlist; alles andere installiert sich inert.
Ein Paket muss reifen, bevor es zubeißen kann
Kompromittierte Versionen werden meist innerhalb von Stunden zurückgezogen — genau die Stunden, in denen ein Agent eine davon ziehen könnte. Bromure stellt alles unter Quarantäne, was in den letzten zwei Tagen veröffentlicht wurde (einstellbar), sodass ein frisches bösartiges Release nicht installierbar ist, während das Ökosystem aufholt.
Der Agent kann `npm install`-en, was immer er braucht — aber nie eine bekannte kritische CVE, ein kompromittiertes Release, ein nicht erlaubtes Install-Skript oder eine Version, die vor einer Stunde hochgeladen wurde. Der Schutz hängt nie von der Kooperation des Agents ab.
Fangen Sie die Anweisungen ab, die in dem versteckt sind, was der Agent liest.
Nicht jeder Angriff braucht ein gestohlenes Credential. Ein Kommentar in einer Quelldatei, eine Zeile in einer abgerufenen Webseite, ein String in der Ausgabe eines Tools oder eine Direktive, vergraben in einer CLAUDE.md, kann dem Agent unbemerkt sagen, etwas zu tun, worum Sie nie gebeten haben — eine Datei leaken, eine Prüfung aufweichen, ein Skript ausführen. Das Modell liest es als Anweisung und gehorcht.
Bromure inspiziert die nicht vertrauenswürdigen Inhalte, die zum Modell fließen — Dateilesevorgänge, Web-Abrufe, Tool-Ergebnisse —, auf Prompt Injection sowie die Anweisungsdateien, denen der Agent Autorität zuschreibt (CLAUDE.md, AGENTS.md, GROK.md), auf versteckte oder feindselige Befehle. Die Erkennung läuft auf dem Gerät; nichts verlässt Ihren Mac. Protokollieren Sie es, markieren Sie es zur Prüfung oder blockieren Sie die Anfrage, bevor sie das Modell überhaupt erreicht.
Injection in nicht vertrauenswürdigen Inhalten
Jede Datei, die der Agent liest, jede Seite, die er abruft, und jedes Tool-Ergebnis, das er aufnimmt, wird mit einem Klassifizierer auf dem Gerät geprüft. Eine in eine README, einen Code-Kommentar oder eine API-Antwort eingeschmuggelte Anweisung wird abgefangen, bevor das Modell danach handelt.
Bösartige Anweisungen in Rules-Dateien
CLAUDE.md, AGENTS.md und GROK.md besitzen echte Autorität über den Agent. Bromure liest sie auf versteckte Direktiven — „ignoriere vorherige Anweisungen“, „sag es dem Nutzer nicht“, Zero-Width-Zeichen, Tricks mit bidirektionalem Text — und auf den ruhig formulierten Missbrauch, den ein Keyword-Filter übersehen würde.
Der Agent kann alles lesen, worauf Sie ihn ansetzen — das Repo eines Fremden, eine gescrapte Seite, die CLAUDE.md eines Teamkollegen —, ohne unbemerkt Befehle daraus entgegenzunehmen. Aus einer vergifteten Datei wird eine markierte Erkennung, kein Einbruch.
Sehen Sie genau, was der Agent getan hat.
Ein Coding-Agent trifft Hunderte Entscheidungen pro Sitzung, und die meisten scrollen ungelesen vorbei. Das ist in Ordnung — bis etwas kaputtgeht. Oder bis Sie einem Teamkollegen oder einem Auditor erklären müssen, was das Modell tatsächlich geändert hat.
Bromure zeichnet die gesamte Sitzung auf, während sie läuft: jeden Prompt, jede Antwort, jeden Tool-Aufruf, jedes Shell-Kommando, jede geschriebene Datei. Nachher öffnen, durchsuchen, an einen Pull Request anhängen. Der Agent arbeitet schnell; das Protokoll ist geduldig.
Vollständige Dialogerfassung
Prompts, Completions, Tool-Aufrufe, Shell-Kommandos, Dateibearbeitungen, Exit-Codes — live erfasst. Nichts wird aus Scrollback rekonstruiert; nichts geht verloren, wenn Sie das Terminal schließen.
Abspielbar, reviewbar, zuordenbar
Scrollen Sie durch die Argumentation und die Aktionen des Agents, sehen Sie genau, was installiert wurde und warum, und verwandeln Sie „es hat einfach funktioniert“ oder „es ist einfach kaputt“ in etwas, das Sie einem anderen Menschen zeigen können.
Wenn der Agent funktioniert, ist der Trace Ihr Papierpfad. Wenn er es nicht tut, ist er Ihr Bug-Report.
Bringen Sie Ihren eigenen Agent mit.
Bromure Agentic Coding ersetzt Ihr Tooling nicht — es gibt ihm einen sicheren Ort zum Laufen. Die VM kommt mit den Runtimes, die die meisten Agents erwarten; den Rest installieren Sie.
Claude Code
Anthropics terminalbasierter Agent läuft nativ in der VM. Einmal authentifizieren — und ihn Dependencies ziehen, Tests laufen lassen und gegen Ihr geteiltes Repo refaktorieren lassen.
Codex
OpenAIs Coding-Agent installiert sich genauso wie auf jedem anderen Linux-Rechner — nur dass dieser Linux-Rechner Ihr Home-Verzeichnis nicht sehen kann.
Grok Build
xAIs Coding-Agent installiert und läuft in der VM wie jedes andere Linux-Tool. Richten Sie ihn auf das geteilte Repo; Ihre echten Tokens und SSH-Keys bleiben auf dem Host, außer Reichweite.
Alles andere
Aider, OpenHands, eigene interne Agents — wenn es auf Linux läuft, läuft es in Bromure. Die VM ist nur eine Linux-Maschine; die Sicherheit kommt von dem Ort, an dem sie lebt.
Die meisten Tools decken eine Ebene ab. Bromure deckt alle ab.
Isolation, Secrets aus dem Agent heraushalten, ihre Nutzung eingrenzen, die Lieferkette scannen, Prompt-Injection abfangen — meist greift man sich nur eine Sache heraus. Hier ist dasselbe Agent-Bedrohungsmodell über die Tools hinweg, zu denen Leute greifen, und wo jedes davon endet.
| Schutz | Dev ContainerVS Code | nonokernel sandbox | agent-vaultoctokraft | Agent VaultInfisical | Docker SandboxesmicroVM | BromureAgentic Coding |
|---|---|---|---|---|---|---|
Isolationsgrenze Wo der Schadensradius endet | Gleicher Container, geteilter Kernel | Kernel-Allowlists, kein eigener Kernel | Agent läuft direkt mit | Nur Proxy; Agent ungeschützt | microVM, eigener Kernel | Hardware-VM, eigener Kernel |
Secrets vom Agent fernhalten Kann er das echte Credential je lesen? | Reicht SSH-Agent + Git-Creds durch | Blockt Key-Dateien; brokert teils | Per Pipe rein; kein Lesepfad | Proxy hängt sie auf der Leitung an | Host-Proxy fügt Header ein | Stub auf der Leitung getauscht |
Credential-Umfang & Freigabe Pro Nutzung begrenzen, Read-only, Ablauf, Freigabe | Keine Begrenzung pro Nutzung | Freigabe-Flow + Egress-Filter | TTL je Secret; blockt Shells | Egress-Filter je Endpunkt | Domain-Allowlist; VM-interner Code nutzt es trotzdem | Freigabe je Ziel + TTL |
Lieferketten-Scan Bösartige / verwundbare Pakete abfangen | Kein Registry-Scan | Nur Signierung, kein Paket-Scan | Außerhalb des Umfangs | Außerhalb des Umfangs | Kein Paket-Scan | Age-Gate, OSV, socket.dev |
Prompt-Injection-Erkennung Scannt unsichere Inhalte & Regeldateien | — | — | — | — | — | PromptGuard + ModernBERT |
Audit-Trail Aufzeichnen, was der Agent tat | Nur Container-Logs | Unveränderliches lokales Audit | — | Request-Logging | Request-Logging | Vollständiger Session-Trace, verschlüsselt |
Lieferketten-Inventar(Enterprise) Aufzeichnung jedes geholten Pakets | — | — | — | — | — | Jede Abhängigkeit + Verdikt, durchsuchbar |
Token-Verbrauch(Enterprise) Welche Dateien die meisten Token verbrauchen | — | — | — | — | — | Je Datei, Repo und Modell |
Ein Token zu verbergen ist nicht dasselbe wie seine Nutzung zu kontrollieren. Docker Sandboxes hält den echten Wert aus der VM heraus — doch sein Proxy hängt dieses Credential an jede ausgehende Anfrage der Sandbox an, sodass ein kompromittiertes, nebenbei installiertes Paket es gegen einen freigegebenen Dienst einsetzen kann, ohne es je zu sehen. Nur Bromure scannt das Paket vor der Ausführung und sichert jede Nutzung ab — Freigabe, Read-only, TTL — und erzwingt alle fünf Kontrollen an einer Grenze, an der der Agent nicht vorbeikommt.
Zusammengestellt aus der öffentlichen Dokumentation jedes Projekts, Juni 2026. agent-vault bezeichnet hier octokraft/agent-vault (Pipe-basierte Secret-Injektion), zu unterscheiden von Infisicals Agent Vault (HTTP-Credential-Proxy). Docker Sandboxes ist eine experimentelle Vorschau, deren gebrokerte Credentials für alles in der VM nutzbar bleiben. Das flottenweite Paket-Inventar und die Token-Verbrauchs-Auswertungen liefert der Bromure Enterprise Manager. Diese Tools entwickeln sich schnell — etwas veraltet? Sag uns Bescheid.
Geben Sie Ihrem Agent eine echte Werkstatt.
Eine VM. Vollständige Isolation. Installieren Sie alles. Bromure Agentic Coding ist kostenlos und Open Source.
Bromure Agentic Coding jetzt herunterladenApple Silicon (M1 oder neuer) · Kostenlos & Open Source