Bromure Agentic Coding — Einstellungsreferenz für Profile
Jedes Profil in Bromure Agentic Coding hat seine eigene unabhängige Konfiguration, verteilt auf elf Panels, die durch Klicken auf das Zahnradsymbol neben einem Profil im Picker erreicht werden.
Allgemein
Grundlegende Identität und Verhalten des Profils.
| Einstellung | Beschreibung |
|---|---|
| Name | Der in der Profilliste angezeigte Anzeigename. |
| Farbe | Ein farbiger Punkt, der neben dem Profil im Picker gezeichnet wird, um Profile visuell zu unterscheiden. Optionen: Blau, Rot, Grün, Orange, Lila, Pink, Türkis, Grau. |
| Tastaturlayout | Das innerhalb der VM verwendete Tastaturlayout. "Auto (match macOS)" spiegelt dynamisch die aktive Eingabequelle des Hosts wider, mit Live-Aktualisierungen beim Wechsel. Wählen Sie ein beliebiges anderes Layout, um die VM unabhängig vom macOS-Zustand auf ein bestimmtes XKB-Layout festzulegen. |
| Tastenwiederholungsverzögerung | Zeit in Millisekunden, bevor eine gedrückt gehaltene Taste innerhalb der VM mit der Wiederholung beginnt. Standardmäßig wird der macOS-Wert übernommen; ändern Sie ihn, um die X11-Tastenwiederholungsfrequenz unabhängig vom Host zu überschreiben. |
| Tastenwiederholungsrate | Wiederholungsfrequenz in Hz nach Ablauf der Verzögerung. Standardmäßig wird der macOS-Wert übernommen. Nützlich, wenn die X-Server-Pipeline das Tippen träger erscheinen lässt als in einer Cocoa-App — eine Verdopplung des macOS-Werts (2×) ist eine gängige Lösung. |
| Beim Schließen des Fensters | Was mit der VM passiert, wenn Sie ein Sitzungsfenster schließen: Suspendieren (speichert RAM auf Festplatte für sofortige Wiederaufnahme — Standard), Herunterfahren (sauberes ACPI-Poweroff) oder Fragen (jedes Mal nachfragen). |
| Notizen (optional) | Eine kurze Notiz zum Profil. Wird als Tooltip angezeigt, wenn Sie in der Liste mit der Maus über das Profil fahren. |
Agent
Wählen Sie aus, welche Coding-Agenten in diesem Profil verfügbar sind und wie sie sich authentifizieren. Der als Primary markierte Agent wird beim Öffnen einer Sitzung automatisch im ersten kitty-Tab gestartet; andere aktivierte Agenten werden installiert und authentifiziert, aber nur bei Bedarf aus einem neuen Tab gestartet.
| Einstellung | Beschreibung |
|---|---|
| Claude Code | Aktivieren oder deaktivieren Sie den Claude Code-Agenten für dieses Profil. Schalten Sie ihn ein, um ihn zu konfigurieren. |
| Claude Code — Primary | Markieren Sie Claude Code als primären Agenten (wird beim Sitzungsstart automatisch gestartet). Klicken Sie auf "Primary" bei einem beliebigen aktivierten Agenten, um ihn zum primären zu machen. |
| Claude Code — Auth | Authentifizierungsmethode für Claude Code: API-Token (fügen Sie einen ANTHROPIC_API_KEY ein — als Umgebungsvariable injiziert, niemals direkt in die VM geschrieben), Subscription (interaktives Login) (führen Sie claude login einmal in der VM aus) oder Bedrock (AWS) (verwenden Sie Ihre AWS-Anmeldedaten über die Bedrock-Runtime — erfordert im Tab Anmeldedaten konfigurierte AWS-Credentials). |
| Claude Code — Require approval to use | (Nur im Token-Modus.) Wenn aktiviert, zeigt jeder Falsch→Echt-Tausch des Anthropic-API-Schlüssels einen hostseitigen Zustimmungsdialog an, bevor der Schlüssel weitergeleitet wird. Standardmäßig deaktiviert. |
| Claude Code — Default Model ID | (Nur im Bedrock-Modus.) Überschreibt die Bedrock-Modell-ID, die Claude Code verwendet, z. B. us.anthropic.claude-sonnet-4-6-v1:0. Leer lassen, um den integrierten Standardwert von Claude Code zu verwenden. |
| Codex | Aktivieren oder deaktivieren Sie den OpenAI Codex-Agenten für dieses Profil. Schalten Sie ihn ein, um die Authentifizierung zu konfigurieren. |
| Codex — Auth | Authentifizierungsmethode für Codex: API-Token (fügen Sie einen OPENAI_API_KEY ein) oder Subscription (interaktives Login) (führen Sie codex login einmal in der VM aus). |
| Codex — Require approval to use | (Nur im Token-Modus.) Wenn aktiviert, zeigt jeder Falsch→Echt-Tausch des OpenAI-API-Schlüssels einen hostseitigen Zustimmungsdialog an, bevor der Schlüssel weitergeleitet wird. Standardmäßig deaktiviert. |
| Grok Build | Aktivieren oder deaktivieren Sie den Grok Build (xAI)-Agenten für dieses Profil. Schalten Sie ihn ein, um ihn zu konfigurieren. |
| Grok Build — Auth | Authentifizierungsmethode für Grok Build: API-Token (fügen Sie einen XAI_API_KEY ein — als Umgebungsvariable injiziert; der Proxy tauscht den gefälschten xai-brm-…-Schlüssel bei Anfragen an api.x.ai gegen den echten Wert aus, sodass der echte Schlüssel niemals in die VM gelangt) oder Subscription (interaktives Login) (führen Sie grok login einmal in der VM aus). Bedrock ist für Grok Build nicht verfügbar. |
| Grok Build — Require approval to use | (Nur im Token-Modus.) Wenn aktiviert, zeigt jeder Falsch→Echt-Tausch des xAI-API-Schlüssels einen hostseitigen Zustimmungsdialog an, bevor der Schlüssel weitergeleitet wird. Standardmäßig deaktiviert. |
Fusion
Fusion (BETA) beantwortet jede Eingabe mit mehreren Modellen gleichzeitig: Ein Richter-Modell kartiert, wo die Entwürfe übereinstimmen, abweichen und jeweils glänzen, und synthetisiert anschließend eine einzige beste Antwort, die Claude Code übermittelt wird, als hätte ein einziges Modell sie verfasst. Fusion läuft auf der Claude Code-Sitzung (durch Abfangen der Claude-API), weshalb mindestens zwei konfigurierte Agenten in diesem Profil erforderlich sind. Es wird sitzungsweise über die ⚡-Schaltfläche in der Titelleiste des Sitzungsfensters aktiviert; die folgende Konfiguration legt fest, welche Agenten teilnehmen und welches Modell als Richter fungiert.
| Einstellung | Beschreibung |
|---|---|
| Zu fusionierende Agenten | Die Agenten, deren Entwürfe fusioniert werden. Jeder Agent mit einer verwendbaren Anmeldeinformation (konfiguriert im Agenten-Panel) erhält ein Kontrollkästchen; Agenten ohne Anmeldeinformation werden deaktiviert mit dem Hinweis „— keine Anmeldeinformation“ angezeigt. Mindestens zwei Agenten müssen mit einer Anmeldeinformation aktiviert sein, damit Fusion nutzbar ist. |
| Richter — Anbieter | Das Modell welches konfigurierten Agenten als Richter fungiert, der die Entwürfe abwägt und die endgültige Antwort verfasst. Standardmäßig der erste verwendbare Agent. |
| Richter — Modell | Das für das Urteil verwendete spezifische Modell, das live für den gewählten Anbieter abgerufen wird. Lassen Sie es auf dem Standardwert, damit der Anbieter wählt, oder wählen Sie ein bestimmtes Modell; ein zuvor gespeichertes benutzerdefiniertes Modell bleibt auswählbar, auch wenn es nicht in der abgerufenen Liste enthalten ist. |
Hinweis: Fusion ist eine BETA-Funktion.
Ordner
Mac-Ordner, die in die VM eingebunden werden. Jeder Ordner wird unter /home/ubuntu/<basename> gemountet (z. B. ~/Documents → ~ubuntu/Documents). Begrenzt auf 8 Ordner pro Profil.
| Einstellung | Beschreibung |
|---|---|
| Ordnerliste | Die Host-Pfade, die derzeit in die VM eingebunden sind. Jede Zeile zeigt den Ordnernamen und den vollständigen Pfad auf Ihrem Mac. Klicken Sie auf die Minus-Schaltfläche, um eine Freigabe zu entfernen. |
| Ordner hinzufügen… | Öffnet einen Dateiauswahldialog, um ein oder mehrere zu teilende Verzeichnisse auszuwählen. Ausgegraut, wenn bereits 8 Ordner konfiguriert sind. |
Anmeldedaten
Geheimnisse und Identitäten, die beim Sitzungsstart in die VM injiziert werden. Alle echten Werte bleiben auf dem Host; der MITM-Proxy ersetzt sie auf der Leitung durch gefälschte Platzhalter, sodass Geheimnisse niemals in den Adressraum der VM gelangen.
| Einstellung | Beschreibung |
|---|---|
| Git-Identität — Name | Wird in der VM in user.name in ~/.gitconfig geschrieben. Leer lassen, um die git-Standardwerte beizubehalten. |
| Git-Identität — E-Mail | Wird in der VM in user.email in ~/.gitconfig geschrieben. Leer lassen, um die git-Standardwerte beizubehalten. |
| SSH-Schlüssel | Verwaltet das automatisch generierte ed25519-Schlüsselpaar (eines pro Profil) sowie alle importierten privaten Schlüssel. Der generierte öffentliche Schlüssel wird hier angezeigt und kann nach github.com/settings/keys eingefügt werden. Importierte Schlüssel (RSA, ed25519, ecdsa, einschließlich passphrase-geschützter) werden bei jedem Sitzungsstart in den profilspezifischen bromure ssh-agent geladen; Passphrasen werden im macOS-Schlüsselbund gespeichert. |
| SSH-Schlüssel — Bestätigung zur Nutzung erforderlich | Wenn aktiviert, zeigt jede SSH-Signaturanfrage mit diesem Schlüssel einen hostseitigen Zustimmungsdialog an. Der Benutzer wählt eine zeitlich begrenzte Freigabe (5 Min. / 1 Std. / Rest der Sitzung) oder lehnt ab. Standardmäßig deaktiviert. |
| GitHub-Tokens | Personal Access Tokens für git über HTTPS zu github.com. Werden in ~/.git-credentials geschrieben und automatisch von der gh CLI übernommen. Das echte Token bleibt auf dem Host; der Proxy tauscht es bei ausgehenden Anfragen gegen ein gefälschtes. |
| GitHub-Tokens — Bestätigung zur Nutzung erforderlich | (Pro Token.) Wenn aktiviert, zeigt jeder gefälscht→echter Tausch dieses Tokens einen hostseitigen Zustimmungsdialog an. Standardmäßig deaktiviert. |
| GitLab-Tokens | Personal Access Tokens für git über HTTPS zu gitlab.com und selbstgehosteten GitLab-Instanzen. Werden automatisch von der glab CLI übernommen. |
| GitLab-Tokens — Bestätigung zur Nutzung erforderlich | (Pro Token.) Wenn aktiviert, zeigt jeder gefälscht→echter Tausch dieses Tokens einen hostseitigen Zustimmungsdialog an. Standardmäßig deaktiviert. |
| Bitbucket-Tokens | App-Passwörter für git über HTTPS zu bitbucket.org. |
| Bitbucket-Tokens — Bestätigung zur Nutzung erforderlich | (Pro Token.) Wenn aktiviert, zeigt jeder gefälscht→echter Tausch dieses Tokens einen hostseitigen Zustimmungsdialog an. Standardmäßig deaktiviert. |
| Kubernetes | Ein Eintrag pro Cluster-Kontext. Bromure erzeugt in der VM eine synthetische ~/.kube/config mit Wegwerf-Client-Zertifikaten; echte Anmeldedaten bleiben auf dem Host und werden vom Proxy bei API-Server-Anfragen ersetzt. Exec-Plugin-Kontexte werden auf dem Host abgefragt, sodass kubectl stets ein frisches Token sieht. Kontexte können manuell hinzugefügt oder aus einer bestehenden kubeconfig-Datei importiert werden. |
| Kubernetes — Bestätigung zur Nutzung erforderlich | (Pro Kontext.) Wenn aktiviert, zeigt jeder gefälscht→echter Tausch des Bearer-Tokens oder der Exec-Plugin-Ausgabe eines bestimmten kubeconfig-Kontexts einen hostseitigen Zustimmungsdialog an. Standardmäßig deaktiviert. |
| DigitalOcean | Personal Access Token von cloud.digitalocean.com. Wird als Umgebungsvariable DIGITALOCEAN_ACCESS_TOKEN und in ~/.config/doctl/config.yaml injiziert — doctl auth init ist nicht erforderlich. |
| DigitalOcean — Bestätigung zur Nutzung erforderlich | Wenn aktiviert, zeigt jeder gefälscht→echter Tausch des persönlichen DigitalOcean-Zugriffstokens einen hostseitigen Zustimmungsdialog an. Standardmäßig deaktiviert. |
| AWS | AWS-Anmeldedaten für die aws CLI und SDKs. Unterstützt statische Schlüssel (Access Key ID + Secret Access Key + optionales Session Token + Default-Region) und SSO / Identity Center (Auswahl eines benannten Profils aus ~/.aws/config). Das echte Geheimnis erreicht die VM niemals — der MITM-Proxy des Hosts fängt SigV4-Anfragen ab und signiert sie mit dem echten Material neu; wird der Proxy umgangen, lehnt AWS mit InvalidSignatureException ab. |
| AWS — Bestätigung zur Nutzung erforderlich | Wenn aktiviert, zeigt jeder hostseitige SigV4-Signiervorgang (einer pro AWS-API-Anfrage) eine Zustimmungsabfrage an, bis eine zeitlich begrenzte Freigabe sie abdeckt. |
| Container-Registries | Pro-Registry HTTP-Basic-Auth für docker pull / docker push. Unterstützt Docker Hub, GHCR, GitLab Container Registry, Quay und beliebige private Registries. Ein gefälschtes base64("<user>:<derived>") wird in der VM in ~/.docker/config.json geschrieben; der Proxy ersetzt es auf der Leitung durch den echten Wert. Kann durch Import einer bestehenden ~/.docker/config.json befüllt werden. |
| Container-Registries — Bestätigung zur Nutzung erforderlich | (Pro Registry.) Wenn aktiviert, zeigt jeder gefälscht→echter Tausch der Basic-Auth-Anmeldedaten einer bestimmten Registry einen hostseitigen Zustimmungsdialog an. Standardmäßig deaktiviert. |
| Weitere API-Schlüssel | Manuelle Token-Tauschregeln für beliebige APIs jenseits der automatisch behandelten (Anthropic, OpenAI, GitHub, GitLab, DigitalOcean, Kubernetes). Jeder Eintrag erzeugt eine frische Fälschung (brm_…), die als benannte Umgebungsvariable in der VM exportiert wird; der Proxy tauscht sie bei ausgehenden Anfragen an den optional angegebenen Host wieder gegen den echten Wert. |
| Weitere API-Schlüssel — Bestätigung zur Nutzung erforderlich | (Pro Token.) Wenn aktiviert, zeigt jede gefälscht→echte Substitution eines bestimmten manuellen Token-Eintrags einen hostseitigen Zustimmungsdialog an. Standardmäßig deaktiviert. |
| MongoDB | MongoDB Atlas Data API-Endpunkte. Jeder Eintrag gibt einen Anzeigenamen, den reinen Hostnamen des Endpunkts, die Authentifizierungsart (API-Schlüssel, Bearer-Token oder Benutzername + Passwort) und einen oder mehrere Umgebungsvariablennamen an, unter denen die gefälschte Anmeldeinformation in der VM exportiert wird. Das echte Geheimnis bleibt auf dem Host; der Proxy tauscht es bei ausgehenden Anfragen an den angegebenen Host aus. Ein endpunktspezifischer Guardrails-Modus (Off / Vor dem Schreiben nachfragen / Block destructive / Read-only) kann hier ebenfalls gesetzt werden und wird im Proxy durchgesetzt — deleteOne/deleteMany = destruktiv, find/aggregate = Lesen. |
| MongoDB — Bestätigung zur Nutzung erforderlich | (Pro Endpunkt.) Wenn aktiviert, zeigt jeder gefälscht→echter Tausch der Anmeldedaten eines bestimmten Endpunkts einen hostseitigen Zustimmungsdialog an. Standardmäßig deaktiviert. |
| ClickHouse | ClickHouse HTTP-Schnittstellenendpunkte. Jeder Eintrag gibt einen Host, eine Authentifizierungsart, Umgebungsvariablennamen und einen optionalen Guardrails-Modus an. Der Proxy fängt Anfragen an den Host ab und ersetzt die echten Anmeldedaten auf der Leitung. Guardrails klassifiziert SQL nach führendem Schlüsselwort: DROP/TRUNCATE/DELETE = destruktiv; INSERT/CREATE = schreibend; SELECT/SHOW = lesend. |
| ClickHouse — Bestätigung zur Nutzung erforderlich | (Pro Endpunkt.) Wenn aktiviert, zeigt jeder gefälscht→echter Tausch der Anmeldedaten eines bestimmten Endpunkts einen hostseitigen Zustimmungsdialog an. Standardmäßig deaktiviert. |
| Elasticsearch | Elasticsearch-Endpunkte. Jeder Eintrag gibt einen Host, eine Authentifizierungsart, Umgebungsvariablennamen und einen optionalen Guardrails-Modus an. Guardrails klassifiziert nach HTTP-Methode und Pfad: DELETE und _delete_by_query = destruktiv; _search/_count/_msearch = lesend; _bulk/index/_update = schreibend. |
| Elasticsearch — Bestätigung zur Nutzung erforderlich | (Pro Endpunkt.) Wenn aktiviert, zeigt jeder gefälscht→echter Tausch der Anmeldedaten eines bestimmten Endpunkts einen hostseitigen Zustimmungsdialog an. Standardmäßig deaktiviert. |
Umgebung
Einfache KEY=VALUE-Paare, die über proxy.env (geladen aus .bashrc) in jede Shell in der VM exportiert werden. Werte werden wörtlich geschrieben — keine Proxy-Ersetzung — daher legen Sie hier keine Geheimnisse ab. Gedacht für nicht-geheime Schalter wie Log-Levels, Feature-Flags und Build-Optionen.
| Einstellung | Beschreibung |
|---|---|
| Variablenliste | Die derzeit konfigurierten Umgebungsvariablen. Jede Zeile hat ein Namensfeld und ein Wertfeld. Klicken Sie auf die Minus-Schaltfläche, um eine Variable zu entfernen. |
| Variable hinzufügen | Fügt eine neue leere KEY=VALUE-Zeile an. |
MCP
Model Context Protocol-Server, die dem Agenten Zugriff auf externe Werkzeuge und Kontext geben. Konfigurationen werden in das passende Format für den aktiven Agenten übersetzt (Claude Code JSON oder Codex TOML) und beim Booten in die VM injiziert.
| Einstellung | Beschreibung |
|---|---|
| Serverliste | MCP-Server, die derzeit für dieses Profil konfiguriert sind. Jeder Server kann unabhängig ein- oder ausgeschaltet werden. Unterstützt HTTP-Transport (ein URL-basierter Remote-Server, mit optionalem Bearer-Token) und stdio-Transport (ein lokal in der VM gestarteter Befehl). |
| Server hinzufügen | Fügt einen neuen MCP-Server-Eintrag an. |
Tracing
Steuert, wie der MITM-Proxy Datenverkehr für dieses Profil aufzeichnet. Höhere Stufen schreiben verschlüsselte Body-Dateien auf die Festplatte; alle sind Opt-in. Aufgezeichnete Daten können in App → Trace Inspector (⇧⌘I) eingesehen werden.
| Einstellung | Beschreibung |
|---|---|
| Sitzungs-Trace | Wie intensiv der Proxy Datenverkehr aufzeichnet. Aus — nichts aufgezeichnet (Standard). Aktivität — nur Metadaten: Host, Status, Latenz, Tausch-Bericht, Leak-Warnungen; keine Request- oder Response-Bodies. KI-Request-Details — wie Aktivität, plus vollständige Bodies für bekannte LLM-Hosts (Anthropic, OpenAI, Google, Cohere, Mistral, Perplexity, x.ai, Groq, Replicate, HuggingFace). Alles — Bodies für jeden Host; verbraucht am schnellsten Festplattenspeicher (begrenzt auf 100 MB pro Sitzung / 5 GB insgesamt). Bodies werden AES-GCM-verschlüsselt mit demselben Schlüsselbund-Key wie Profilgeheimnisse. |
| Privatmodus | (Nur sichtbar auf Macs, die in einem bromure.io-Workspace eingebunden sind.) Wenn aktiviert, streamen Sitzungen für dieses Profil keine Metadaten (Tools, Dateien, Befehle, Token-Verbrauch) an den Workspace. Der lokale Trace Inspector ist nicht betroffen. Nützlich bei Arbeit mit einem persönlichen API-Schlüssel, den Ihr Admin nicht sehen soll. |
| Claude-Subscription-Token-Tausch | (Wird nur angezeigt, nachdem der Proxy für dieses Profil nachgefragt hat.) Zeigt an, ob die echten Claude-OAuth-Tokens derzeit vom Proxy getauscht werden (Aktiv) oder ob der Benutzer den Tausch abgelehnt hat (Abgelehnt). Eine Zurücksetzen-Schaltfläche erlaubt es, in der nächsten Sitzung erneut gefragt zu werden. |
| Codex-Subscription-Token-Tausch | Gleiche Drei-Zustände-Tauschzustimmung wie oben, bezogen auf die Codex-/ChatGPT-OAuth-Tokens (~/.codex/auth.json). Unabhängig angezeigt, sodass ein Profil, das beide Agenten nutzt, jeden Anbieter separat verwalten kann. |
Guardrails
Hostseitige Richtlinien-Engine, die destruktive Operationen aus den Protokollen entfernt, die der Agent verwendet. Die Durchsetzung erfolgt im MITM-Proxy auf dem Host, sodass ein fehlerhafter oder kompromittierter Agent in der VM ihn nicht umgehen kann — blockierte Aufrufe geben einen harten 403-Fehler zurück, den der Agent als normalen API-Fehler sieht. Jede Ressource unterstützt drei Modi: Off (keine Filterung — Standard), Block destructive (Löschvorgänge/Drops/Terminierungen blockieren; Erstellen und Aktualisieren erlauben) oder Read-only (jede Mutation blockieren; nur Lesevorgänge).
| Einstellung | Beschreibung |
|---|---|
| Kubernetes | Guardrail-Modus für die in den Kubeconfigs dieses Profils konfigurierten Kubernetes-API-Server. HTTP-Methoden-basiert: DELETE = destruktiv (umfasst deletecollection); alle Schreibvorgänge werden im Read-only-Modus blockiert. Eine Warnung wird angezeigt, wenn keine Kubeconfigs konfiguriert sind. |
| AWS | Guardrail-Modus für alle *.amazonaws.com-APIs. Klassifiziert nach dem aus dem X-Amz-Target-Header extrahierten Aktionsnamen (JSON-Protokolldienste wie DynamoDB/Lambda) oder dem Action=-Formularparameter (Query-Protokolldienste wie EC2/IAM/SQS); fällt für S3 und REST-Anfragen auf die HTTP-Methode zurück. Delete*/Terminate*/Remove*/Purge*/Destroy* = destruktiv; Get*/List*/Describe* = lesend. |
| DigitalOcean | Guardrail-Modus für api.digitalocean.com und *.digitalocean.com. HTTP-Methoden-basiert: DELETE = destruktiv; GET/HEAD = lesend. |
| Docker registries | Guardrail-Modus für die in den Anmeldedaten dieses Profils konfigurierten Container-Registries. HTTP-Methoden-basiert gegenüber dem Hostnamen der Registry: DELETE = destruktiv (Tag-/Manifest-Löschung); GET/HEAD = lesend (Pull); PUT/POST = schreibend (Push). Eine Warnung wird angezeigt, wenn keine Registries konfiguriert sind. |
| GitHub | Guardrail-Modus für die github.com REST API und git über HTTPS. Methoden-basiert für REST; git push (git-receive-pack) wird als Schreibvorgang behandelt und im Read-only-Modus blockiert; git fetch (git-upload-pack) ist immer erlaubt. |
| GitLab | Guardrail-Modus für die gitlab.com REST API und git über HTTPS. Gleiche Klassifizierungslogik wie GitHub. |
| Bitbucket | Guardrail-Modus für die bitbucket.org REST API und git über HTTPS. Gleiche Klassifizierungslogik wie GitHub. |
| Databases | Endpunktspezifischer Guardrails-Modus für jeden HTTPS-Datenbankendpunkt, der unter Anmeldedaten konfiguriert ist (MongoDB, ClickHouse, Elasticsearch). Hier als einzelne Zeilen angezeigt, eine pro Endpunkt. Modi und Klassifizierungsregeln entsprechen denen, die im Abschnitt Anmeldedaten für jede Datenbank-Engine beschrieben sind. Eine Eingabeaufforderung wird angezeigt, wenn der Host des Endpunkts noch nicht gesetzt wurde. |
Supply Chain
Bromure scannt jeden Paketabruf (npm, PyPI, Cargo, RubyGems, Maven, NuGet, Go-Module, Packagist) über den MITM-Proxy des Hosts und wendet diese Richtlinien an, bevor der Agent die Antwort sieht. Das .npmrc / pip.conf in der VM kann diese Einstellungen nur weiter einschränken — sie können nicht gelockert werden. Verwenden Sie die Allowlists pro Paket für chirurgische Ausnahmen. Alle Schweregrad-Picker bieten: Niedrig und höher, Mittel und höher, Hoch und höher oder nur Kritisch.
| Einstellung | Beschreibung |
|---|---|
| Age gate — Pakete ablehnen, die jünger als der Grenzwert sind | Wenn aktiviert, werden Pakete blockiert, die neuer als das Mindestalter sind, um Schutz vor frisch veröffentlichten schädlichen Releases zu bieten. Standardmäßig aktiviert (Mindestalter 2 Tage). |
| Age gate — Mindestalter | Der Grenzwert in Tagen (0–90). Floating-Refs (latest, Semver-Bereiche) werden stillschweigend auf die neueste Version aufgelöst, die älter als der Grenzwert ist; fixierte Verweise auf zu frische Versionen erhalten einen 451 mit einer klaren Bromure-Fehlermeldung. |
| Age gate — Ausgenommene Pakete | Paketspezifische Allowlist, die vom Age gate ausgenommen ist. Format: npm:axios (ökosystem-qualifiziert) oder einfach axios (beliebiges Ökosystem). |
| OSV-Schwachstellenprüfung | Wenn aktiviert, werden Pakete auf api.osv.dev nachgeschlagen (kostenlos, kein Schlüssel erforderlich) und Pakete ab dem gewählten Schweregrad blockiert. Aggregiert die GitHub Advisory Database, PyPI-Advisories, Go's Datenbank, RubySec usw. Standardmäßig deaktiviert — ein CVE mit niedrigem Schweregrad in einem transitiven Unterpaket sollte einen Workflow nicht unterbrechen. |
| OSV — Ab Schweregrad blockieren | Der Schweregrad-Schwellenwert, ab dem ein Paket mit einer bekannten Schwachstelle blockiert wird. |
| socket.dev — API-Schlüssel | Ein socket.dev-API-Token (von socket.dev/dashboard/settings/api-tokens), der die beiden socket.dev-Prüfungen unten freischaltet. Nur hostseitig gespeichert — niemals in die VM exportiert; Aufrufe gehen direkt vom MITM-Proxy des Hosts an api.socket.dev. Die Schalter unten sind deaktiviert, bis ein Schlüssel eingegeben wird. |
| socket.dev — Kompromittierte Pakete blockieren | Wenn aktiviert, werden Pakete blockiert, die socket.dev als kompromittiert kennzeichnet: bösartige Installationsskripte, Malware, Typosquats oder verdächtige Telemetrie. |
| socket.dev — Pakete mit bekannten CVEs blockieren | Wenn aktiviert, werden Pakete mit bekannten CVEs ab dem CVE-Blockschwellenwert blockiert. |
| socket.dev — CVE-Blockschwellenwert | Der Schweregrad-Schwellenwert für den socket.dev-CVE-Block. Deaktiviert, sofern nicht „Pakete mit bekannten CVEs blockieren“ eingeschaltet ist. |
| Installationsskripte — Installationsskripte entfernen | Wenn aktiviert, werden preinstall / install / postinstall / prepare aus npm-Tarballs on the fly entfernt. Bromure schreibt den Tarball um, entfernt die Skript-Schlüssel aus der package.json und aktualisiert den Registry-Metadaten-Hash, sodass die npm-Verifizierung bei nicht fixierten Installationen weiterhin besteht. |
| Installationsskripte — Allowlist | Pakete, die ihre Installationsskripte behalten dürfen (Binding-Compiler wie better-sqlite3 oder node-canvas benötigen sie legitim). Format: npm:better-sqlite3. |
| Lockfile-fixierte Installationen — Vor dem Durchleiten nachfragen | Wenn aktiviert, wird vor dem unmodifizierten Durchleiten von lockfile-fixierten Tarballs (npm ci, pip --require-hashes) nachgefragt. Diese verwenden kryptografische Integritäts-Hashes, die in einer Lockfile eingebettet sind und die Bromure nicht umschreiben kann, ohne die Verifizierung zu beschädigen. Daher erscheint beim ersten lockfile-fixierten Abruf eines Batches ein Host-Dialog (Einmal erlauben / 15 Min. / für die Sitzung / Nicht erlauben) und der gesamte Batch folgt dieser Entscheidung. |
Prompt-Injektion
Bromure analysiert den KI-Datenverkehr des Agenten auf dem Gerät auf injizierte oder unerwünschte Anweisungen — nichts verlässt den Mac. Jeder Detektor nutzt ein lokales Modell, das beim ersten Aktivieren von bromure.io heruntergeladen wird. Erkennungen erscheinen im Sicherheitsprotokoll-Fenster (Fenster → Sicherheitsprotokoll…).
| Einstellung | Beschreibung |
|---|---|
| Prompt-Injektion im Quellcode erkennen | Wenn aktiviert, bewertet es den Dateiinhalt, die Webseiten und die Tool-Ausgabe, die der Agent liest (seine tool_result-Blöcke) mit dem lokalen PromptGuard-Modell. Erkennt „ignoriere frühere Anweisungen / exfiltriere Geheimnisse“ in einem bösartigen Repository. Beim ersten Aktivieren werden ~272 MB heruntergeladen. |
| Unerwünschte Anweisungen in CLAUDE.md-Dateien und ähnlichen erkennen | Wenn aktiviert, bewertet die Anweisungs-/Konfigurationsdateien, die Claude Code, Codex und Grok als Autorität laden (CLAUDE.md, AGENTS.md, GROK.md sowie verschachtelte/globale Varianten), mit einem feinabgestimmten ModernBERT-Klassifikator sowie einem deterministischen Scanner, der unsichtbare Unicode-Verschleierung erkennt (Zero-Width-, bidirektionale und Unicode-Tag-Payloads), die das Modell nicht lesen kann. Beim ersten Aktivieren werden ~571 MB heruntergeladen. |
| Bei erkannter Injektion — Protokollieren und fortfahren | Zeichnet jede Erkennung im Sicherheitsprotokoll-Fenster auf und lässt die Anfrage passieren. Die Standardeinstellung. |
| Bei erkannter Injektion — Mich fragen, was zu tun ist | Hält die ausgehende Anfrage an und zeigt den markierten Text in einem Dialog an; wählen Sie, ob er durchgelassen oder blockiert werden soll. |
| Bei erkannter Injektion — Einseitig blockieren | Blockiert die Anfrage, bevor das Modell den Inhalt sieht — der Agent erhält einen harten HTTP 451-Fehler. |
Erscheinungsbild
Visuelles Erscheinungsbild des kitty-Terminalfensters. Die Standardwerte werden aus dem Standardprofil Ihrer macOS Terminal.app übernommen.
| Einstellung | Beschreibung |
|---|---|
| Schriftart | Die im Terminal verwendete Schriftfamilie. Wählen Sie aus jeder auf Ihrem Mac installierten Schrift. Die Größe wird in Punkt über einen Stepper eingestellt. Es werden nur Schriftfamilien ohne führenden . angeboten — macOS-interne Namen, die Linux-fontconfig nicht auflösen kann, sind ausgeschlossen. |
| Cursor | Cursorform im Terminal: Block, Beam (I-Cursor) oder Underline. |
| Farben — Hintergrund | Terminal-Hintergrundfarbe als Farbwahl-Swatch. |
| Farben — Text | Terminal-Vordergrund- (Text-)Farbe als Farbwahl-Swatch. |
| Deckkraft | Kombinierte Fenster- und Terminal-Deckkraft, von 30 % bis 100 %. Wird sowohl als kitty's background_opacity (erfordert einen Compositor in der VM) als auch als alphaValue des macOS-Fensters angewendet (immer wirksam — erzeugt einen Durchscheineffekt zum Desktop). Standard ist 97 %. |
| Ligaturen | Wenn aktiviert, rendert das Terminal Programm-Ligaturen — Mehrzeichensequenzen wie <=, == und => werden als einzelne zusammengefasste Glyphen gezeichnet. Standardmäßig deaktiviert (kitty's disable_ligatures always ist aktiv, sofern dies nicht eingeschaltet wird). Nur sichtbar mit Schriften, die Ligatur-Tabellen enthalten, z. B. JetBrains Mono oder Fira Code. |
| Auf Terminal.app zurücksetzen | Stellt alle Erscheinungsbild-Felder auf die Werte zurück, die beim App-Start aus dem Standardprofil Ihrer macOS Terminal.app gelesen wurden. |
Ressourcen
Speicherschichten, Arbeitsspeicher und Netzwerkkonfiguration für die VM des Profils.
Speicher
Drei Schichten ergeben gestapelt die Umgebung des Profils. Die unterste Schicht ist gemeinsam genutzt und unveränderlich; die oberen beiden sind profilspezifisch und können unabhängig voneinander gelöscht werden.
| Einstellung | Beschreibung |
|---|---|
| Ihr Home-Verzeichnis | Das profilspezifische /home/ubuntu-Verzeichnis — Dotfiles, .ssh-Schlüssel, npm-global, .cargo, Shell-Historie und alles andere, was der Agent ins Home schreibt. Zeigt die letzte Aktivitätszeit und die aktuelle Größe an. Home löschen… leert diese Schicht und setzt das Home-Verzeichnis auf den Zustand direkt nach dem Klonen zurück. |
| Profil-Systemfestplatte | Eine schreibgeschützt-veränderliche Kopie des Basis-OS, eigens für dieses Profil geklont. Hält alles, was per sudo apt install installiert wurde, Änderungen an /etc, /var und systemweite Konfiguration. Auf Basis zurücksetzen… verwirft alle systemweiten Änderungen und klont erneut vom aktuellen Basis-Image. |
| Basis-OS-Image | Das gemeinsame, unveränderliche Basis-Image: Ubuntu Noble + Claude Code + Codex + kitty + gh + glab + Schriftarten. Wird von jedem Profil geteilt; zur Laufzeit nur lesbar. Zeigt den aktuellen Versionsstempel und das Build-Datum an. Wird über das App-Menü neu gebaut (dauert ca. 5–10 Minuten). |
Arbeitsspeicher
| Einstellung | Beschreibung |
|---|---|
| VM-RAM | Der VM dieses Profils zugewiesener Arbeitsspeicher in GB (2–32 GB, Schrittweite 2). Standardmäßig ein hostskalierter Wert (4 GB auf Hosts mit weniger als 18 GB RAM, 6 GB bis 36 GB, 8 GB auf größeren Maschinen). Erhöhen Sie diesen Wert, wenn sich Claude / Codex träge anfühlt oder Rust-Builds an Speichermangel scheitern. |
Netzwerk
| Einstellung | Beschreibung |
|---|---|
| Netzwerkmodus | NAT (Standard) — die VM teilt sich die Netzwerkverbindung Ihres Macs über VZs eingebautes NAT; ausgehender Verkehr funktioniert, nichts in Ihrem LAN kann die VM erreichen. Bridged — die VM erhält per DHCP über die gewählte physische Schnittstelle ihre eigene LAN-routbare IP-Adresse. |
| Schnittstelle | (Nur im Bridged-Modus.) Die physische Netzwerkschnittstelle, mit der die VM gebridget wird. Standardmäßig die erste verfügbare bridge-fähige Schnittstelle, wenn nicht gesetzt. |