Ausführliche Analysen zu Browser-Sicherheit, Isolation und den Ideen hinter Bromure.
Bromure lässt zwei On-Device-Klassifikatoren über alles laufen, was sein Coding-Agent liest. Prompt Injection in Tool-Output und Web-Abrufen übernimmt Metas Llama Prompt Guard 2. Eine manipulierte CLAUDE.md braucht ein völlig anderes Modell — Injection-Erkennung schlägt auf jeder Zeile einer Datei an, die komplett aus Anweisungen bestehen soll —, also haben wir stattdessen ModernBERT zur Harm-Klassifikation feinabgestimmt. Das ist die vollständige Pipeline: ein gutartiges Korpus ernten, bösartige Beispiele synthetisieren, Fensterung auf Klausel-Ebene, der Trainings-Loop und der ONNX-Export, detailliert genug zum Reproduzieren.
Eine Sandbox verlangt vom Entwickler, genau die Geschwindigkeit aufzugeben, die einen Coding-Agenten überhaupt erst lohnenswert macht — jede Abhängigkeit vorab freigeben, eine Allowlist von Domains pflegen, niemals ein Paket anfassen, das die Organisation nicht geprüft hat. Also schalten Entwickler sie ab. Bromure Agentic Coding lehnt diesen Handel ab. Es schränkt nicht ein, was der Agent tut; es zieht eine einzige harte Linie am Hypervisor und lässt dich auf der Innenseite alles tun. Dies ist die grundlegende Begründung, warum eine Grenze eine Sandbox schlägt, und die drei Garantien, die die Grenze wahr macht: keine Credentials zum Stehlen, breite Tokens am Draht verengt und Supply-Chain-Angriffe gestoppt, bevor das Tarball landet — plus die vierte, die die Linie jetzt wahr macht: Prompt-Injektionen, abgefangen in den Inhalten, die der Agent liest, bevor das Modell ihnen gehorcht.
Am 5.–6. Juni 2026 schob der Miasma-Wurm credential-stehlenden Code in 73 Repositories über vier von Microsofts eigenen GitHub-Organisationen — Azure, Azure-Samples, microsoft, MicrosoftDocs — darunter Azure/functions-action, die offizielle Deploy-Action, und durabletask, ein Repo, das im Mai bereits einmal bereinigt worden war. Diesmal wartete die Nutzlast nicht auf npm install. Sie feuerte in dem Moment, in dem ein Entwickler das Repository in Claude Code, Cursor, Gemini CLI oder VS Code öffnete. Hier ist, warum das Vertrauenssignal — „es ist ein Microsoft-Repo“ — erneut die Angriffsfläche war, und was sich ändert, wenn der Agent, der es öffnet, in einer Bromure-VM pro Profil lebt, hinter einem Credential-Broker, einem Read-Write-Guardrail und einem Paket-Cooldown.
Ende April wurde ein Cursor-Agent mit Claude Opus 4.6 losgeschickt, um ein Staging-Problem bei einem kleinen SaaS namens PocketOS zu beheben. Er nahm an, das Löschen eines Railway-Volumes wäre auf Staging beschränkt, verifizierte das nicht und löschte in neun Sekunden die Produktionsdatenbank samt ihrer Backups. Später sagte er, er hätte zuerst fragen sollen. Bromure Agentic Coding 2.2 liefert einen Guardrail, der das „Hätte fragen sollen“ aus der Hand des Agenten nimmt.
Ein Zero-Day in github.dev ließ ein bösartiges Vorschau-Panel aus seiner Sandbox ausbrechen, still eine Erweiterung installieren und einen GitHub-OAuth-Token mit Zugriff auf jedes private Repo lesen, das das Opfer erreichen konnte. Der Fix ist ehrlich über seine Grenzen — der schärfere Zug ist, den Token gar nicht erst in das Repo eines Fremden mitzubringen.
Zwischen Ende Mai und dem 1. Juni 2026 schob ein Wurm namens Miasma credential-stehlenden Code in 32 Pakete unter dem npm-Scope @redhat-cloud-services — Red Hats eigener Namespace, ~117.000 wöchentliche Downloads, signiert von Red Hats echter Publishing-Pipeline. Es gab keinen Typosquat zu erwischen und keinen unbekannten Maintainer zu markieren. Das Vertrauenssignal war der Name des Anbieters auf dem Scope, und der Name des Anbieters ist genau das, worauf der Angreifer hereinritt. Hier ist, warum „bevorzuge seriöse Publisher“ aufhörte, eine Verteidigung zu sein, und was sich ändert, wenn der Agent, der die Installation ausführt, in einer Bromure-VM pro Profil lebt.
Eine neue Kampagne mietet das Vertrauen einer Domain, an die Sie längst glauben. Eine Google-Anzeige schickt Sie zu einem echten chatgpt.com-Share-Link, der Share-Link zeigt eine gefälschte Ausfallmeldung, und die Meldung reicht Ihnen Malware. So wird das Vertrauen geliehen — und warum das Leihen bedeutungslos wird, wenn das Ganze in einer VM passiert, die man wegwirft.
Google hat letzte Woche versehentlich einen vier Jahre alten Chromium-Bug erneut veröffentlicht — einen Service Worker, der nach dem Schließen des Browsers weiterhin JavaScript ausführt, in jedem großen Chromium-Browser, immer noch ungepatcht. Der Proof-of-Concept kursiert nun frei im Netz. Die interessante Frage ist nicht, wie er funktioniert. Sondern: Was bedeutet „Persistenz“ auf einem Browser, dessen gesamte zugrunde liegende Maschine aufhört zu existieren, sobald Sie den Tab schließen?
Am 18. Mai 2026 hat Lasso Security zwei Angriffe gegen Nvidias NemoClaw veröffentlicht — die Sandbox, in der der autonome Coding-Agent OpenClaw läuft. Die Sandbox arbeitete genau so, wie Nvidia sie beschrieben hatte. Der Agent in der Sandbox schob trotzdem das GitHub-Token des Nutzers an einen vom Angreifer kontrollierten Pull Request, als Emoji codiert, um an GitHubs statischem Secret-Scanner vorbeizurutschen. Die interessante Frage ist nicht, ob die Sandbox kaputt ist. Sie lautet: war eine Sandbox mit einer Klartext-Credential-Datei darin überhaupt jemals eine Sandbox in einem architektonisch nützlichen Sinn — und was bedeutet die Antwort für alle, die 2026 einen Coding-Agent ausliefern.
Irgendwann in der Woche des 11. Mai 2026 haben die Leute hinter Shai-Hulud — dem selbstreplizierenden npm-Supply-Chain-Wurm, der seit September 2025 Maintainer-Konten frisst — ihren eigenen Quellcode geleakt. Bis zum Wochenende hatte OX Security vier typosquattete npm-Pakete unter einem Konto gefunden, von denen eines eine fast wortwörtliche Kopie des geleakten Wurms ist, ein weiteres ein Golang-DDoS-Bot, und die anderen beiden schlichte Infostealer, die SSH-Schlüssel und Krypto-Wallets an Schnäppchen-C2s schicken. Die Einstiegshürde für Supply-Chain-Angriffe ist gerade massiv gesunken, und die Personen, die am ehesten eines dieser Pakete installieren, sind keine Menschen mehr.
Uber hat sein Jahresbudget 2026 für KI-Coding bereits im April aufgebraucht. Der CTO ging zurück ans Reißbrett – nicht weil die Tools schlecht waren, sondern weil niemand auch nur einen einzigen Dollar Token-Ausgaben einer einzigen ausgelieferten Änderung zuordnen konnte. Die Agenten sind in Ordnung. Das Problem ist die Sichtbarkeitsebene. Hier sehen Sie, wie das aussieht – und was sich ändert, wenn jede Agentensitzung ein strukturierter Datensatz ist statt einer Wand voller Scrollback.
Am 11. Mai 2026 fügte ein npm-Wurm namens Mini Shai-Hulud eine optionalDependencies-Zeile zu 42 Paketen im @tanstack-Namespace hinzu. Die Installation eines davon führte ein Bun-Skript aus, das ein OIDC-Token aus der GitHub Actions-Umgebung abgriff, es nutzte, um weitere kompromittierte Versionen mit gültiger SLSA-Provenienz zu veröffentlichen, sich selbst für das nächste Mal in .claude/ kopierte, wenn der Coding-Agent startete, und alles von ~/.aws bis zu Ihrer Krypto-Brieftasche exfiltrierte. Die Pakete waren signiert. Die Attestierung war gültig. Hier sehen Sie, wie die Kette aussieht und was sich ändert, wenn der Agent, der die Installation durchführte, in einer per-Task Bromure VM läuft.
Apple hat am 11. Mai 2026 macOS Tahoe 26.5 veröffentlicht – mit rund siebzig Sicherheitskorrekturen, darunter zehn WebKit-Schwachstellen. Wir gehen die WebKit-Liste Schwachstellenklasse für Schwachstellenklasse durch und stellen die einzige Frage, die im Jahr 2026 zählt: Wohin reicht dieser Fehler eigentlich, auf einem Rechner, auf dem Bromure läuft?
Am 22. April hat jemand ein bösartiges npm-Paket namens @bitwarden/[email protected] hochgeladen — einen Typosquat, der SSH-Keys, AWS/Azure/GCP-Credentials, GitHub-Tokens, npm-Publish-Tokens und Kubeconfigs aus jeder Maschine fegte, die es ausführte. Worauf das Paket abgesehen hat, ist genau das, was moderne Coding-Agents ohne nachzudenken tun: alles installieren, was npm zurückliefert. Hier ist, wie diese Kette aussieht — und was sich ändert, wenn der Agent stattdessen in einer Bromure-VM läuft.
Eine neue Erpressergruppe namens BlackFile ruft Mitarbeitende im Einzelhandel und in der Hotellerie an, gibt sich als IT aus, lotst sie dazu, Zugangsdaten und OTPs in eine gefälschte Login-Seite des Unternehmens einzutippen, und registriert anschließend ein eigenes MFA-Gerät auf dem echten Konto. Der Anruf lässt sich von keinem Browser beeindrucken. Die Seite, in die der Nutzer tippt, schon.
Der diese Woche bekannt gewordene Vercel-Einbruch begann damit, dass ein Context.ai-Mitarbeiter auf einem privaten PC Roblox-Exploits herunterlud, und endete damit, dass ein Angreifer die Kundendatenbank mit Umgebungsvariablen von Vercel auslas. Bromure Enterprise, diese Woche veröffentlicht, ist genau für diese Kette gebaut.
Der Q1-2026-IR-Bericht von Cisco Talos rückt Phishing wieder an die Spitze der Erstzugangs-Vektoren — und darin dokumentiert er den ersten Fall, den Talos einem KI-gestützten „Vibe-Coding“-Baukasten zuschreibt — einen Outlook-Web-Access-Klon, der auf einer `*.softr.app`-Subdomain steht und Zugangsdaten in ein wegwerfbares Google Sheet abfließen lässt. URL-Reputation kann das nicht kommen sehen. Die richtige Antwort liegt weiter unten im Stack.
Eine frühe Version von Claude Mythos hat Mozilla geholfen, in einem einzigen Firefox-Release 271 Sicherheitslücken zu finden. Die richtige Reaktion ist weder Panik noch Jubel — sondern eine leise Neujustierung dessen, wovon wir bei jedem Browser weiterhin ausgehen müssen, den wir ausliefern, nutzen oder auf dem wir aufbauen.
Ein gefälschtes CAPTCHA schreibt einen PowerShell-Einzeiler in die Zwischenablage. Der Nutzer drückt Win+R und fügt ein. Kein Sandbox-Ausbruch, kein Zero-Day, kein signiertes Binary nötig – der Mensch ist der Exploit. Hier ist, was wir heute dagegen ausliefern, wo die Lücken noch sind und was Apple in macOS 26.4 richtig und falsch gemacht hat.
Microsoft hat eine neunstufige Ransomware-Kette dokumentiert, die mit einer externen Teams-Nachricht beginnt, die sich als Helpdesk ausgibt, und damit endet, dass Rclone still und leise den Netzwerk-Share exfiltriert. Acht dieser neun Schritte brauchen das Host-Betriebssystem. Keiner von ihnen kann gegen einen Tab laufen.
Ein einzelner Betreiber hat 108 bösartige Erweiterungen unter fünf gefälschten Publisher-Identitäten in den Chrome Web Store gepumpt, rund 20.000 Installationen eingesammelt und das Ganze über einen einzigen Command-and-Control-Server geleitet. Das Review-Modell hat es nicht bemerkt. Hier ist, warum ein sicherheitsorientierter Browser eine härtere Haltung einnehmen muss.
Ein Schritt-für-Schritt-Blick auf den Phishing-Schutz von Bromure — der lokale Scan, das Modell, die Einstufung und warum Ihre Eltern, Ihre Großeltern und der Nachbar von gegenüber genau diejenigen sind, für die wir ihn gebaut haben.
LinkedIn tastet im Stillen über 6.000 Browser-Erweiterungen ab, sammelt 48 Geräteattribute und greift bei jedem Besuch per WebRTC Ihre LAN-IP ab. Die Lösung ist keine Datenschutzeinstellung – sie ist ein Browser anderer Bauart.
Das Web ist feindselig, Sicherheitsratschläge greifen nicht mehr, und KI hat die Spielregeln verändert. Darum haben wir einen Browser gebaut, der die Last von Ihren Schultern nimmt.
Apple und Google geben inzwischen jedes Jahr zweistellige Millionenbeträge aus, um Browser-Fehler zu finden und zu beheben. Trotzdem werden jedes Jahr acht bis zehn Browser-Zero-Days aktiv ausgenutzt. Dieser Beitrag zeigt, warum sich an dieser Rechnung nichts ändert, wie Claude Mythos und die „Vulnpocalypse” alles noch schlimmer machen – und warum ein Browser, der von einer Kompromittierung ausgeht, eine andere Art von Produkt ist.
Die meisten Werbeblocker sind Browser-Erweiterungen, und die meisten Browser-Erweiterungen laufen im selben Prozess wie die Seite, vor der sie Sie schützen sollen. Bromure macht es anders. Hier erfahren Sie, wie – und warum das einen Unterschied macht.
Die meiste Ransomware beginnt nicht mit einem Zero-Day. Sie beginnt mit einem Browser-Tab. So funktioniert die Angriffskette 2026 wirklich – und so sieht sie aus, wenn sie auf einen Browser trifft, der gebaut wurde, um den Schlag einzustecken.
Was ein VPN tatsächlich leistet, was nicht, warum ein VPN pro Profil in Bromure die Anonymitätsrechnung verändert, und ein Rundgang durch die Funktionsweise von Cloudflare WARP.