Zurück zu allen Neuigkeiten
Veröffentlicht am · von Das Bromure-Team

Bromure Agentic Coding 2.4.0 — Prompt-Injektionen in den Dateien abfangen, die Ihr Agent liest

Bromure Agentic Coding 2.4.0 fügt eine vierte Säule hinzu: Prompt-Injektions-Erkennung direkt auf dem Gerät. Eine vergiftete README, eine Zeile auf einer abgerufenen Seite, ein String in der Ausgabe eines Tools oder eine versteckte Anweisung in einer CLAUDE.md kann Ihrem Agenten heimlich sagen, was er tun soll — eine Datei preisgeben, eine Prüfung abschwächen, ein Skript ausführen. 2.4.0 durchsucht die nicht vertrauenswürdigen Inhalte, die zum Modell fließen, und die Regeldateien, denen es vertraut, und kann protokollieren, nachfragen oder blockieren, bevor die Anfrage das Modell überhaupt erreicht. Alles läuft auf Ihrem Mac; nichts verlässt ihn.

Echte Zugangsdaten aus der Sandbox herauszuhalten, hindert ein vergiftetes Paket daran, sie zu stehlen. Aber es gibt einen Angriff, der gar keinen gestohlenen Token braucht: dem Agenten einfach sagen, was er tun soll. Ein Kommentar in einer Quelldatei, eine Zeile auf einer abgerufenen Webseite, ein String in der Ausgabe eines Tools oder eine in einer CLAUDE.md vergrabene Anweisung kann das Modell zu etwas lenken, worum Sie nie gebeten haben — und es liest das als Anweisung und gehorcht. 2.4.0 fügt die vierte Säule hinzu, die diese Lücke schließt, und sie läuft vollständig auf Ihrem Mac.

Neu

  • Prompt-Injektions-Erkennung — zwei Detektoren, ein Klick. Eine neue Profilkategorie „Prompt Injection“ mit einer Aktion zum Protokollieren / Nachfragen / Blockieren. Nichts verlässt den Mac: Die Erkennung läuft auf dem Gerät.
    • Injektion in nicht vertrauenswürdigen Inhalten. Ein lokaler PromptGuard-Klassifikator (DeBERTa) bewertet die tool_result-Abschnitte, die der Agent aufnimmt — Dateilesungen, Web-Abrufe, Tool-Ausgaben. Eine in eine README, einen Code-Kommentar oder eine API-Antwort eingeschmuggelte Anweisung wird abgefangen, bevor das Modell danach handelt.
    • Bösartige Anweisungen in Regeldateien. Die Dateien CLAUDE.md, AGENTS.md und GROK.md, die ein Agent als Autorität behandelt, werden von einem deterministischen Durchlauf (unsichtbares Unicode, Tricks mit bidirektionalem Text, Meta-Anweisungen im Stil von „ignore previous instructions“) und einem feinabgestimmten ModernBERT-Klassifikator durchsucht, der den ruhig formulierten Missbrauch erkennt, den ein Schlüsselwortfilter übersieht. Deckt Claude Code, Codex und Grok Build ab.
  • Protokollieren, nachfragen oder blockieren — Sie bestimmen den Biss. Protokollieren hält im Security Log fest (dem umbenannten Supply Chain Log — es protokolliert jetzt auch schlechte Eingaben) und das ohne zusätzliche Latenz. Nachfragen pausiert die Anfrage und zeigt Ihnen den markierten Text, den Sie erlauben oder ablehnen. Blockieren lässt die Anfrage scheitern, bevor das Modell den Inhalt je sieht. Die Richtlinie gilt pro Profil und greift live — schalten Sie sie auf einer laufenden VM um, und sie wird beim nächsten Agenten-Aufruf wirksam, ohne Neustart.
  • Flottenweite Sichtbarkeit für verwaltete Installationen. Bei einer verwalteten Installation wird jede Erkennung als prompt_injection-Ereignis an Ihre Bromure-Konsole weitergeleitet — Quelle, Ausschnitt und ob es protokolliert, markiert oder blockiert wurde —, damit das Sicherheitsteam Injektionsversuche über die gesamte Flotte hinweg sehen kann, nicht nur auf dem Laptop, auf dem sie passiert sind.

Verbesserungen

  • Eine volle Host-Festplatte sagt das jetzt auch. Base-Image-Builds, Modell-Downloads und VM-Starts prüfen vorab den freien Speicher und zeigen ein klares, lokalisiertes „Geben Sie Speicher frei und versuchen Sie es erneut“ — statt des verwirrenden 30-minütigen Installer-Timeouts, den eine volle Festplatte früher verursachte.
  • Einstellungs-Zahnrad in der VM-Titelleiste. Öffnen Sie das eigene Profil der laufenden VM direkt aus deren Fenster; Host-seitige Einstellungen greifen live.
  • Der Trace Inspector zeigt ab Werk etwas an. Neue Profile verwenden standardmäßig das KI-Detail-Tracing und erfassen Anfrage- und Antwortkörper für die bekannten Modell-Hosts (Anthropic, OpenAI, Google, Cohere…). Die Körper werden im Ruhezustand versiegelt; Nicht-KI-Verkehr bleibt rein auf Metadaten beschränkt.

Behoben

  • VMs schalten sich nicht mehr von selbst ab. Ein langsamer Kaltstart oder ein veraltetes Tab-Ereignis konnte fälschlich als das Schließen Ihres letzten Terminals gedeutet werden und die VM Momente nach ihrem Hochfahren herunterfahren. Der Host reagiert jetzt nur noch auf Tabs, deren Aktivität er bestätigt hat; ein echtes Schließen des letzten Tabs fährt nach wie vor herunter.
  • Zuverlässiges Netzwerk hinter einem VPN. Die Standard-Netzwerk-MTU der VM sinkt von 1400 auf 1280, sodass große TLS-Handshakes und npm-Tarball-Chunks auf Unternehmenspfaden mit niedrigerer Obergrenze nicht mehr im Nichts versickern — DMVPN, Cisco AnyConnect, 6-in-4-Tunnel. Pro Host überschreibbar mit defaults write io.bromure.agentic-coding vm.mtu -int <value>.

Bromure Agentic Coding ist kostenlos und Open Source. Holen Sie sich 2.4.0 auf der Download-Seite oder erfahren Sie mehr auf der Agentic-Coding-Seite →.