No seas el próximo
GitHub
Cada una fue comprometida a través del entorno de un desarrollador — un secreto filtrado, una cadena de suministro envenenada, un agente de IA descarriado. Bromure Agentic Coding detiene las tres.
Descarga Bromure Agentic Coding ahoraApple Silicon (M1 o posterior) · Gratuito y de Código Abierto
No usaban Bromure Agentic Coding
Contén el radio de la explosión, no al desarrollador.
El reflejo es encerrar a los desarrolladores — EDR, sin root, cada credencial detrás de una cola. No funciona: cuando la máquina no es suya, te esquivan, y pierdes el control que buscabas y la visibilidad que ya tenías.
Dales la máquina entera
Root, cualquier paquete, cualquier experimento, a las 2 de la mañana sin ticket. Quítaselo y un buen ingeniero se rebela — o te esquiva en silencio. Tiene que sentirse suyo, o no lo usarán.
Tienen las llaves del reino
La base de datos de producción. La cuenta de AWS. El clúster que un comando puede borrar. Ese acceso es el trabajo — pero un solo comando equivocado, una sola dependencia envenenada, un solo agente descarriado pone a toda la empresa en el radio de la explosión.
Déjales experimentar, quita el daño de la mesa
Esto no se hace seguro reduciendo lo que el desarrollador puede hacer, sino reduciendo lo que un error — o un compromiso — puede alcanzar.
Así que Bromure deja intacto el poder del desarrollador y, en su lugar, sujeta cuatro cosas: sus secretos, su entorno, lo que la cadena de suministro introduce de contrabando y aquello que un archivo envenenado intenta convencer al agente de hacer.
Todo el poder para el desarrollador, una correa sobre el daño.
Tus secretos
Los tokens reales y las claves SSH nunca entran en el sandbox. El agente recibe stubs; un proxy en tu Mac sustituye el bearer real en el cable. Cualquier cosa sensible requiere un clic.
Tu entorno
Las barreras de protección inspeccionan la operación, no solo la conexión. Un DELETE, un force-push, un DROP contra producción se detiene y te pregunta primero — sea cual sea el token que tenga.
Tu cadena de suministro
Cada paquete que el agente trae se escanea contra OSV y socket.dev, los scripts de instalación se eliminan, y los lanzamientos recién publicados se retienen — antes de que nada de eso llegue a la VM.
Las instrucciones del agente
Un atacante no siempre necesita un token — a veces un archivo envenenado basta para decirle al agente qué hacer. Bromure analiza lo que el agente lee en busca de inyección de prompt, y el CLAUDE.md en el que confía en busca de órdenes ocultas — y puede bloquear la solicitud antes de que el modelo actúe.
El agente funciona, los secretos se quedan en casa.
Un agente que no puede llegar a tus repos, registros y servidores no es útil. La respuesta ingenua — soltar tus tokens y claves dentro de la VM — se los entrega a la próxima dependencia con typosquatting que los lea.
Bromure le da la vuelta. La VM se entrega con stubs que parecen reales para cualquier herramienta que espere una cabecera Authorization. Un proxy en tu Mac intercepta cada conexión saliente e intercambia el stub por el secreto real al vuelo. El valor real nunca toca un archivo, una variable de entorno ni memoria que la VM pueda leer.
aquí corre el agente
los secretos reales nunca salen
ve un token válido
El PAT real nunca toca un archivo, una variable de entorno ni una página de memoria que la VM pueda alcanzar. Una dependencia envenenada se va con el stub.
Stubs dentro, tokens reales fuera
Configura tus credenciales una sola vez, en el host. La VM recibe stubs que cada herramienta acepta; el proxy sustituye el bearer real cuando la petición sale. Un paquete que rastree el sistema de ficheros se va con marcadores de posición.
ssh-agent reenviado, nunca expuesto
Las claves SSH se quedan en el Keychain de macOS — Bromure reenvía únicamente el socket del ssh-agent dentro de la VM. ssh y git funcionan de forma transparente, pero no hay archivo de clave, ni passphrase en memoria, nada que robar.
Un clic entre el agente y tus secretos.
Marca una credencial como sensible y Bromure pone un humano en el bucle. Cuando algo intenta usarla a través del proxy, un aviso en tu Mac nombra la credencial y el destino, y te pregunta. Apruebas para cinco minutos, una hora, la sesión, o solo una vez.
Aprobación con tiempo limitado
Eliges el TTL al aprobar: cinco minutos para un push, una hora para un release, un solo uso para las que dan miedo. La concesión expira por sí sola, así que un token no queda abierto de par en par todo el día.
El malware local pierde su palanca
El malware local que intenta hacer push a tu registro, suplantarte o vaciar una cuenta cloud no puede. Las credenciales no están en disco, y el proxy solo libera una cuando pulsas aprobar. Tener ejecución de código ya no basta para tocar producción.
Los tokens de larga vida se convierten en momentos de acceso. Aunque tu portátil esté comprometido de extremo a extremo, un atacante todavía tiene que pasar por encima de ti para hacer cualquier cosa que importe.
Haz que cualquier clave salga en modo solo lectura.
Las historias de terror no van de tokens robados — van de un agente al que se le entregó una credencial legítima y borró lo que no debía en producción. La clave nunca estuvo comprometida; simplemente tenía un acceso de escritura que no debía. Y la solución de manual — un token de solo lectura por herramienta y sesión — es demasiado tediosa para hacerla de verdad.
Las barreras de protección leen la operación, no solo la conexión — una lectura de una escritura. Marca una credencial como solo lectura y Bromure rechaza cualquier cosa que cambie el estado. Ponla en modo preguntar, y en el momento en que el agente intenta mutar algo, Bromure lo detiene en el cable y te pregunta — nombrando el verbo, el objetivo y el perfil, exactamente así.
Solo lectura sin reemitir nada
Deja de acuñar un token acotado por herramienta, por repo, por sesión. Quédate con la credencial que ya tienes y pon delante un límite de solo lectura — se comporta como solo lectura durante el tiempo que tú digas. ¿Necesitas hacer un release? Vuélvelo a habilitar durante quince minutos.
Pregunta antes de mutar
Pon las credenciales sensibles en modo preguntar, y cada llamada que cambie el estado se pausa hasta que la apruebas. Las mismas concesiones con tiempo limitado: quince minutos, solo por esta vez, el resto de la sesión, o nunca. El agente puede leer todo el día; no puede cambiar producción sin un sí.
El agente conserva su autonomía donde los errores salen baratos y la pierde justo donde no. «El agente borró la base de datos de producción» deja de ser un postmortem y se convierte en un cuadro de diálogo en el que pulsaste «No permitir».
Cada paquete que el agente trae, escaneado antes de aterrizar.
Los logos en la parte superior de esta página son un muro de incidentes de cadena de suministro. Un agente que instala dependencias con tu visto bueno es el vehículo de entrega perfecto: ejecuta `npm install`, una dependencia transitiva dispara su postinstall, y te enteras el trimestre que viene.
Supply Chain convierte ese mismo proxy en un punto de control de escaneo: cada paquete que el agente trae se inspecciona contra OSV y socket.dev, los scripts de instalación se eliminan, y los lanzamientos recién publicados se retienen. Corre en el límite de la VM, así que sigue activo haga lo que haga el agente dentro.
Impuesto por debajo del agente, no por él
Cada descarga de paquete sale de la VM a través del proxy de Bromure. Por más que el agente reescriba su configuración para rodearte, el escaneo ocurre en el límite que no puede cruzar — así que aguanta incluso cuando el agente intenta evadirlo.
Dos escáneres, dos tipos de amenaza
OSV detecta CVE conocidos por encima del umbral de severidad que tú fijas. socket.dev detecta lo que las bases de datos aún no han detectado — scripts de instalación maliciosos, malware, typosquats. Un lanzamiento marcado se bloquea antes de llegar a la VM.
Scripts de instalación, eliminados al vuelo
Los hooks de instalación como `postinstall` son donde los payloads realmente se ejecutan. Bromure los quita del tarball y corrige el hash de los metadatos para que la instalación siga verificando. Las pocas compilaciones nativas que de verdad los necesitan van a una lista de permitidos corta; todo lo demás se instala inerte.
Un paquete tiene que madurar antes de poder morder
Las versiones comprometidas suelen retirarse a las pocas horas — justo las horas en que un agente podría traer una. Bromure pone en cuarentena todo lo publicado en los últimos dos días (ajustable), de modo que un lanzamiento malicioso recién subido no es instalable mientras el ecosistema se pone al día.
El agente puede hacer `npm install` de lo que necesite — pero nunca un CVE crítico conocido, un lanzamiento comprometido, un script de instalación no autorizado, ni una versión subida hace una hora. La barrera nunca depende de la cooperación del agente.
Detecta las instrucciones ocultas en lo que el agente lee.
No todo ataque necesita una credencial robada. Un comentario en un archivo de código, una línea en una página web descargada, una cadena en la salida de una herramienta o una directiva enterrada en un CLAUDE.md pueden decirle discretamente al agente que haga algo que nunca pediste — filtrar un archivo, debilitar una comprobación, ejecutar un script. El modelo lo lee como instrucciones y obedece.
Bromure inspecciona el contenido no confiable que fluye hacia el modelo — lecturas de archivos, descargas web, resultados de herramientas — en busca de inyección de prompt, y los archivos de instrucciones que el agente trata como autoridad (CLAUDE.md, AGENTS.md, GROK.md) en busca de órdenes ocultas u hostiles. La detección se ejecuta en el dispositivo; nada sale de tu Mac. Regístralo, márcalo para revisión o bloquea la solicitud antes de que llegue al modelo.
Inyección en contenido no confiable
Cada archivo que el agente lee, cada página que descarga y cada resultado de herramienta que ingiere se analiza con un clasificador en el dispositivo. Una instrucción colada en un README, en un comentario de código o en una respuesta de API se detecta antes de que el modelo actúe sobre ella.
Instrucciones maliciosas en archivos de reglas
CLAUDE.md, AGENTS.md y GROK.md ejercen autoridad real sobre el agente. Bromure los lee en busca de directivas ocultas — “ignora las instrucciones anteriores”, “no se lo digas al usuario”, caracteres de ancho cero, trucos de texto bidireccional — y el abuso redactado con calma que un filtro de palabras clave pasaría por alto.
El agente puede leer cualquier cosa que le indiques — el repositorio de un desconocido, una página extraída, el CLAUDE.md de un compañero — sin acatar discretamente sus órdenes. Un archivo envenenado se convierte en una detección marcada, no en una brecha.
Mira exactamente lo que hizo el agente.
Un agente de programación toma cientos de decisiones por sesión, y la mayoría pasan rodando sin leerse. Eso está bien hasta que algo se rompe — o hasta que tienes que explicar a un compañero o a un auditor lo que el modelo cambió de verdad.
Bromure registra la sesión completa mientras se ejecuta: cada prompt, respuesta, invocación de herramienta, comando de shell y archivo escrito. Ábrela después, búscala, adjúntala a una pull request. El agente trabaja rápido; el registro tiene paciencia.
Captura completa del diálogo
Prompts, completions, llamadas a herramientas, comandos de shell, ediciones de archivos, códigos de salida — capturados en vivo. Nada se reconstruye desde el scrollback; nada se pierde al cerrar la terminal.
Reproducible, revisable, atribuible
Recorre el razonamiento y las acciones del agente, mira exactamente qué se instaló y por qué, y convierte el «simplemente funcionó» o el «simplemente se rompió» en algo que puedes enseñar a otra persona.
Cuando el agente funciona, la traza es tu rastro documental. Cuando no, es tu informe de bug.
Trae tu propio agente.
Bromure Agentic Coding no sustituye tus herramientas — les da un sitio seguro donde correr. La VM se entrega con los runtimes que la mayoría de agentes esperan, y el resto lo instalas tú.
Claude Code
El agente de terminal de Anthropic corre nativamente dentro de la VM. Autentícate una vez y déjalo bajar dependencias, ejecutar tests y refactorizar contra tu repositorio compartido.
Codex
El agente de programación de OpenAI se instala igual que en cualquier máquina Linux — solo que esta máquina Linux no puede ver tu carpeta personal.
Grok Build
El agente de programación de xAI se instala y corre en la VM como cualquier otra herramienta Linux. Apúntalo a tu repositorio compartido; tus tokens y claves SSH reales se quedan en el host, fuera de su alcance.
Cualquier otro
Aider, OpenHands, agentes internos personalizados — si corre en Linux, corre en Bromure. La VM no es más que una máquina Linux; la seguridad viene de dónde vive.
La mayoría de las herramientas cubren una capa. Bromure las cubre todas.
Aislamiento, mantener los secretos fuera del agente, acotar cómo se usan, escanear la cadena de suministro, atrapar la inyección de prompts: el campo suele elegir solo una. Aquí está el mismo modelo de amenazas del agente aplicado a las herramientas a las que recurre la gente, y dónde termina cada una.
| Protección | Dev ContainerVS Code | nonokernel sandbox | agent-vaultoctokraft | Agent VaultInfisical | Docker SandboxesmicroVM | BromureAgentic Coding |
|---|---|---|---|---|---|---|
Frontera de aislamiento Dónde se detiene el radio de daño | Mismo contenedor, kernel compartido | Allowlists de kernel, sin kernel propio | El agente corre en el sitio | Solo proxy; agente sin aislar | microVM, su propio kernel | VM por hardware, su propio kernel |
Mantener los secretos fuera del agente ¿Puede llegar a leer la credencial real? | Reenvía el agente SSH + creds de git | Bloquea archivos de claves; intermedia algunos | Entran por pipe; sin ruta de lectura | El proxy las adjunta en el cable | El proxy del host inyecta cabeceras | Stub intercambiado en el cable |
Alcance y aprobación de credenciales Límites por uso, solo lectura, caducidad, consentimiento | Sin acotar por uso | Flujo de aprobación + filtro de egress | TTL por secreto; bloquea shells | Filtro de egress por endpoint | Allowlist de dominios; el código en la VM aún puede usarla | Consentimiento por destino + TTL |
Escaneo de la cadena de suministro Atrapar paquetes maliciosos / vulnerables | Sin escaneo del registro | Solo firmas, sin escaneo de paquetes | Fuera de alcance | Fuera de alcance | Sin escaneo de paquetes | Age-gate, OSV, socket.dev |
Detección de inyección de prompts Escanea contenido no confiable y archivos de reglas | — | — | — | — | — | PromptGuard + ModernBERT |
Registro de auditoría Registrar lo que hizo el agente | Solo logs del contenedor | Auditoría local inmutable | — | Registro de solicitudes | Registro de solicitudes | Traza de sesión completa, cifrada |
Inventario de cadena de suministro(Enterprise) Un registro de cada paquete descargado | — | — | — | — | — | Cada dependencia + veredicto, con búsqueda |
Uso de tokens(Enterprise) Qué archivos consumen más tokens | — | — | — | — | — | Por archivo, repo y modelo |
Ocultar un token no es lo mismo que gobernar su uso. Docker Sandboxes mantiene el valor real fuera de la VM, pero su proxy igualmente adjunta esa credencial a cualquier solicitud saliente que haga la sandbox, así que un paquete comprometido instalado por un lado puede gastarla contra un servicio de la allowlist sin verla nunca. Solo Bromure escanea el paquete antes de que se ejecute y condiciona cada uso — consentimiento, solo lectura, un TTL — aplicando los cinco controles en una sola frontera que el agente no puede rodear.
Recopilado de la documentación pública de cada proyecto, junio de 2026. Aquí, agent-vault se refiere a octokraft/agent-vault (inyección de secretos por pipe), distinto del Agent Vault de Infisical (proxy de credenciales HTTP). Docker Sandboxes es una vista previa experimental cuyas credenciales intermediadas siguen siendo utilizables por cualquier cosa dentro de la VM. El inventario de paquetes de toda la flota y los desgloses de uso de tokens se ofrecen en Bromure Enterprise Manager. Estas herramientas cambian rápido: ¿ves algo desactualizado? Avísanos.
Dale a tu agente un taller de verdad.
Una VM. Aislamiento total. Instala lo que quieras. Bromure Agentic Coding es gratuito y de código abierto.
Descarga Bromure Agentic Coding ahoraApple Silicon (M1 o posterior) · Gratuito y de Código Abierto