Bromure Agentic Coding

No seas el próximo
GitHub

Cada una fue comprometida a través del entorno de un desarrollador — un secreto filtrado, una cadena de suministro envenenada, un agente de IA descarriado. Bromure Agentic Coding detiene las tres.

Descarga Bromure Agentic Coding ahoraApple Silicon (M1 o posterior) · Gratuito y de Código Abierto

Bromure Agentic Coding running Claude in an isolated VM with the Trace Inspector

No usaban Bromure Agentic Coding

GitHub Red Hat TanStack Nx Bitwarden Aqua Checkmarx CISA Comisión Europea SAP Grafana Mistral GitHub Red Hat TanStack Nx Bitwarden Aqua Checkmarx CISA Comisión Europea SAP Grafana Mistral

La apuesta

Contén el radio de la explosión, no al desarrollador.

El reflejo es encerrar a los desarrolladores — EDR, sin root, cada credencial detrás de una cola. No funciona: cuando la máquina no es suya, te esquivan, y pierdes el control que buscabas y la visibilidad que ya tenías.

Dales la máquina entera

Root, cualquier paquete, cualquier experimento, a las 2 de la mañana sin ticket. Quítaselo y un buen ingeniero se rebela — o te esquiva en silencio. Tiene que sentirse suyo, o no lo usarán.

Tienen las llaves del reino

La base de datos de producción. La cuenta de AWS. El clúster que un comando puede borrar. Ese acceso es el trabajo — pero un solo comando equivocado, una sola dependencia envenenada, un solo agente descarriado pone a toda la empresa en el radio de la explosión.

Déjales experimentar, quita el daño de la mesa

Esto no se hace seguro reduciendo lo que el desarrollador puede hacer, sino reduciendo lo que un error — o un compromiso — puede alcanzar.

Así que Bromure deja el poder del desarrollador intacto y, en su lugar, le pone la correa a tres cosas: sus secretos, su entorno y lo que la cadena de suministro puede colar.

Todo el poder para el desarrollador, una correa sobre el daño.

Tus secretos

Los tokens reales y las claves SSH nunca entran en el sandbox. El agente recibe stubs; un proxy en tu Mac sustituye el bearer real en el cable. Cualquier cosa sensible requiere un clic.

Tu entorno

Las barreras de protección inspeccionan la operación, no solo la conexión. Un DELETE, un force-push, un DROP contra producción se detiene y te pregunta primero — sea cual sea el token que tenga.

Tu cadena de suministro

Cada paquete que el agente trae se escanea contra OSV y socket.dev, los scripts de instalación se eliminan, y los lanzamientos recién publicados se retienen — antes de que nada de eso llegue a la VM.

Intermediación de credenciales

El agente funciona, los secretos se quedan en casa.

Un agente que no puede llegar a tus repos, registros y servidores no es útil. La respuesta ingenua — soltar tus tokens y claves dentro de la VM — se los entrega a la próxima dependencia con typosquatting que los lea.

Bromure le da la vuelta. La VM se entrega con stubs que parecen reales para cualquier herramienta que espere una cabecera Authorization. Un proxy en tu Mac intercepta cada conexión saliente e intercambia el stub por el secreto real al vuelo. El valor real nunca toca un archivo, una variable de entorno ni memoria que la VM pueda leer.

VM sandbox

aquí corre el agente

$ git push

Authorization: Bearer stub_7f3a…ce21

Broker · tu Mac

los secretos reales nunca salen

stub reconocido → sustituido en el cable

PAT real

github.com

ve un token válido

200 OK

El PAT real nunca toca un archivo, una variable de entorno ni una página de memoria que la VM pueda alcanzar. Una dependencia envenenada se va con el stub.

Stubs dentro, tokens reales fuera

Configura tus credenciales una sola vez, en el host. La VM recibe stubs que cada herramienta acepta; el proxy sustituye el bearer real cuando la petición sale. Un paquete que rastree el sistema de ficheros se va con marcadores de posición.

ssh-agent reenviado, nunca expuesto

Las claves SSH se quedan en el Keychain de macOS — Bromure reenvía únicamente el socket del ssh-agent dentro de la VM. ssh y git funcionan de forma transparente, pero no hay archivo de clave, ni passphrase en memoria, nada que robar.

Aprobación explícita

Un clic entre el agente y tus secretos.

Marca una credencial como sensible y Bromure pone un humano en el bucle. Cuando algo intenta usarla a través del proxy, un aviso en tu Mac nombra la credencial y el destino, y te pregunta. Apruebas para cinco minutos, una hora, la sesión, o solo una vez.

Aprobación con tiempo limitado

Eliges el TTL al aprobar: cinco minutos para un push, una hora para un release, un solo uso para las que dan miedo. La concesión expira por sí sola, así que un token no queda abierto de par en par todo el día.

El malware local pierde su palanca

El malware local que intenta hacer push a tu registro, suplantarte o vaciar una cuenta cloud no puede. Las credenciales no están en disco, y el proxy solo libera una cuando pulsas aprobar. Tener ejecución de código ya no basta para tocar producción.

Los tokens de larga vida se convierten en momentos de acceso. Aunque tu portátil esté comprometido de extremo a extremo, un atacante todavía tiene que pasar por encima de ti para hacer cualquier cosa que importe.

Barreras de protección

Haz que cualquier clave salga en modo solo lectura.

Las historias de terror no van de tokens robados — van de un agente al que se le entregó una credencial legítima y borró lo que no debía en producción. La clave nunca estuvo comprometida; simplemente tenía un acceso de escritura que no debía. Y la solución de manual — un token de solo lectura por herramienta y sesión — es demasiado tediosa para hacerla de verdad.

Las barreras de protección leen la operación, no solo la conexión — una lectura de una escritura. Marca una credencial como solo lectura y Bromure rechaza cualquier cosa que cambie el estado. Ponla en modo preguntar, y en el momento en que el agente intenta mutar algo, Bromure lo detiene en el cable y te pregunta — nombrando el verbo, el objetivo y el perfil, exactamente así.

Bromure Guardrails prompting for approval before a destructive kubectl delete against a production cluster

Solo lectura sin reemitir nada

Deja de acuñar un token acotado por herramienta, por repo, por sesión. Quédate con la credencial que ya tienes y pon delante un límite de solo lectura — se comporta como solo lectura durante el tiempo que tú digas. ¿Necesitas hacer un release? Vuélvelo a habilitar durante quince minutos.

Pregunta antes de mutar

Pon las credenciales sensibles en modo preguntar, y cada llamada que cambie el estado se pausa hasta que la apruebas. Las mismas concesiones con tiempo limitado: quince minutos, solo por esta vez, el resto de la sesión, o nunca. El agente puede leer todo el día; no puede cambiar producción sin un sí.

El agente conserva su autonomía donde los errores salen baratos y la pierde justo donde no. «El agente borró la base de datos de producción» deja de ser un postmortem y se convierte en un cuadro de diálogo en el que pulsaste «No permitir».

Cadena de suministro

Cada paquete que el agente trae, escaneado antes de aterrizar.

Los logos en la parte superior de esta página son un muro de incidentes de cadena de suministro. Un agente que instala dependencias con tu visto bueno es el vehículo de entrega perfecto: ejecuta `npm install`, una dependencia transitiva dispara su postinstall, y te enteras el trimestre que viene.

Supply Chain convierte ese mismo proxy en un punto de control de escaneo: cada paquete que el agente trae se inspecciona contra OSV y socket.dev, los scripts de instalación se eliminan, y los lanzamientos recién publicados se retienen. Corre en el límite de la VM, así que sigue activo haga lo que haga el agente dentro.

Bromure Supply Chain log scanning every npm package against OSV and socket.dev as the agent installs them

Impuesto por debajo del agente, no por él

Cada descarga de paquete sale de la VM a través del proxy de Bromure. Por más que el agente reescriba su configuración para rodearte, el escaneo ocurre en el límite que no puede cruzar — así que aguanta incluso cuando el agente intenta evadirlo.

Dos escáneres, dos tipos de amenaza

OSV detecta CVE conocidos por encima del umbral de severidad que tú fijas. socket.dev detecta lo que las bases de datos aún no han detectado — scripts de instalación maliciosos, malware, typosquats. Un lanzamiento marcado se bloquea antes de llegar a la VM.

Scripts de instalación, eliminados al vuelo

Los hooks de instalación como `postinstall` son donde los payloads realmente se ejecutan. Bromure los quita del tarball y corrige el hash de los metadatos para que la instalación siga verificando. Las pocas compilaciones nativas que de verdad los necesitan van a una lista de permitidos corta; todo lo demás se instala inerte.

Un paquete tiene que madurar antes de poder morder

Las versiones comprometidas suelen retirarse a las pocas horas — justo las horas en que un agente podría traer una. Bromure pone en cuarentena todo lo publicado en los últimos dos días (ajustable), de modo que un lanzamiento malicioso recién subido no es instalable mientras el ecosistema se pone al día.

El agente puede hacer `npm install` de lo que necesite — pero nunca un CVE crítico conocido, un lanzamiento comprometido, un script de instalación no autorizado, ni una versión subida hace una hora. La barrera nunca depende de la cooperación del agente.

Trazador de sesión

Mira exactamente lo que hizo el agente.

Un agente de programación toma cientos de decisiones por sesión, y la mayoría pasan rodando sin leerse. Eso está bien hasta que algo se rompe — o hasta que tienes que explicar a un compañero o a un auditor lo que el modelo cambió de verdad.

Bromure registra la sesión completa mientras se ejecuta: cada prompt, respuesta, invocación de herramienta, comando de shell y archivo escrito. Ábrela después, búscala, adjúntala a una pull request. El agente trabaja rápido; el registro tiene paciencia.

Bromure Trace Inspector showing every API call made by the agent

Captura completa del diálogo

Prompts, completions, llamadas a herramientas, comandos de shell, ediciones de archivos, códigos de salida — capturados en vivo. Nada se reconstruye desde el scrollback; nada se pierde al cerrar la terminal.

Reproducible, revisable, atribuible

Recorre el razonamiento y las acciones del agente, mira exactamente qué se instaló y por qué, y convierte el «simplemente funcionó» o el «simplemente se rompió» en algo que puedes enseñar a otra persona.

Cuando el agente funciona, la traza es tu rastro documental. Cuando no, es tu informe de bug.

Trae tu propio agente.

Bromure Agentic Coding no sustituye tus herramientas — les da un sitio seguro donde correr. La VM se entrega con los runtimes que la mayoría de agentes esperan, y el resto lo instalas tú.

Claude Code

El agente de terminal de Anthropic corre nativamente dentro de la VM. Autentícate una vez y déjalo bajar dependencias, ejecutar tests y refactorizar contra tu repositorio compartido.

Codex

El agente de programación de OpenAI se instala igual que en cualquier máquina Linux — solo que esta máquina Linux no puede ver tu carpeta personal.

Grok Build

El agente de programación de xAI se instala y corre en la VM como cualquier otra herramienta Linux. Apúntalo a tu repositorio compartido; tus tokens y claves SSH reales se quedan en el host, fuera de su alcance.

Cualquier otro

Aider, OpenHands, agentes internos personalizados — si corre en Linux, corre en Bromure. La VM no es más que una máquina Linux; la seguridad viene de dónde vive.

Cómo funciona

1. Elige tus carpetas

Eliges qué carpetas de tu Mac puede montar la VM — normalmente solo el proyecto en el que estás trabajando. Eso es toda la visión del sistema de archivos que tiene el agente.

2. Lanza la VM

Bromure arranca una VM Linux en unos segundos usando Apple Virtualization.framework. Abre una terminal contra ella como harías con cualquier máquina remota.

3. Ejecuta el agente

Instala Claude Code o Codex dentro de la VM. Apúntalo a la carpeta compartida. Déjalo trabajar — instalar paquetes, ejecutar scripts, lanzar procesos — sin tocar nunca tu host.

4. Resetea cuando quieras

Cuando el estado de la VM deja de ser útil, tírala. Empieza de cero en segundos. Tu código está en el host; el desorden se queda en la VM.

¿Por qué no usar simplemente un contenedor o cualquier VM?

¿Y un contenedor, o mi VM de toda la vida?

Todo el mundo tiene un sandbox de algún tipo. Lo importante de Bromure no es el sandbox — es lo que no está dentro.

Sin intermediario de credenciales

Para que un contenedor genérico sirva, montas tus secretos reales dentro, en un sistema de ficheros que el agente puede leer. Bromure le da la vuelta: el sandbox recibe stubs, y un proxy los sustituye por el secreto real al vuelo. Un contenedor normal no tiene equivalente sin reinventar el modelo de confianza.

Sin puerta de aprobación

Un sandbox genérico suelta las credenciales en cuanto algo las pide. Bromure coloca un humano en el bucle delante de cada credencial sensible — nombre, destino, TTL — para que ni siquiera el malware local pueda vaciar un token mientras tú miras hacia otro lado.

Los contenedores comparten tu kernel

Los contenedores comparten kernel con el host — un paquete malo o un bug de kernel, y la frontera desaparece. Aíslan cargas de trabajo, no las cosas que ejecutas dentro. El sandbox de Bromure es una VM de verdad con su propio kernel: una frontera real por si la capa de credenciales alguna vez tiene que apoyarse en ella.

Docker en Mac ya es una VM

Docker en Mac ya ejecuta tus contenedores dentro de una VM Linux oculta — ya estás pagando el coste de la VM, solo que sin verlo. Bromure se salta la capa intermedia y usa directamente Virtualization.framework de Apple: un sandbox, visible y tuyo.

Cualquier contenedor o VM puede hospedar un agente. Solo Bromure intermedia tus credenciales para que el agente nunca las tenga en sus manos. El aislamiento es lo mínimo; el intermediario es lo que marca la diferencia.

Dale a tu agente un taller de verdad.

Una VM. Aislamiento total. Instala lo que quieras. Bromure Agentic Coding es gratuito y de código abierto.