Bromure Agentic Coding

Deja que tu agente de IA
se desate — sin riesgos.

Ejecuta Claude Code, Codex y el próximo agente de programación dentro de una VM Linux que solo comparte las carpetas que tú elijas. Lo que descarguen, instalen o rompan se queda dentro de la VM.

Descarga Bromure Agentic Coding ahoraApple Silicon (M1 o posterior) · Gratuito y de Código Abierto

Bromure Agentic Coding running Claude in an isolated VM with the Trace Inspector

Los agentes de programación ya están corriendo en tu portátil.

Claude Code y Codex bajan paquetes, ejecutan scripts, levantan servidores y ejecutan lo que el modelo decida que es útil. De eso se trata. Pero cada npm install, cada pip install, cada curl | bash que ejecutan aterriza en tu sistema operativo host — al lado de tus claves SSH, tu gestor de contraseñas, tu iCloud y el resto de tu trabajo.

Una sola dependencia con typosquatting, un script envenenado o un agente confundido puede exfiltrar un token sin hacer ruido, dejar caer un launch agent o borrar un directorio. El agente no es malicioso; simplemente tiene acceso equivalente a root en tu máquina real. Eso es un radio de impacto que nadie firmó.

Mueve al agente a una VM.

Bromure Agentic Coding le da a cada desarrollador una máquina virtual Linux que solo comparte las carpetas que él elija. Claude o Codex corren dentro de la VM. Ven tu repositorio a través de un montaje compartido; no ven tu carpeta personal, tu Keychain ni el resto de tu disco.

Instala lo que el agente necesite — paquetes del sistema, toolchains de lenguajes, builds experimentales medio rotas. La VM es el espacio de trabajo del agente, no tu portátil. Cuando algo se tuerce, reseteas la VM y empiezas de nuevo. Tu host se queda impecable.

Las carpetas compartidas se montan en vivo en ambos sentidos, así que sigues editando en Cursor, VS Code o Xcode en macOS mientras el agente trabaja en la VM. Guardas en tu editor y el agente ve el cambio al instante; el agente reescribe un archivo y tu editor lo recoge — los mismos archivos, dos vistas, sin sincronización, sin baile de checkouts.

~/projects/my-app

$ bromure code --share ./

→ launching VM (clone of base image)…

→ mounting ~/projects/my-app at /workspace

→ proxy ready · ssh-agent forwarded · tracer on

→ ready in 3.2s

vm:/workspace

$ claude

→ npm install ✓

→ git push ✓ (token swapped at proxy)

→ host ~/.ssh: not visible · keys never left Mac

Intermediación de credenciales

El agente funciona, los secretos se quedan en casa.

Un agente que no puede hacer push a GitHub, instalar desde un registro privado o conectarse por SSH a un servidor de build no es útil. La respuesta ingenua es soltar tus tokens de larga vida y tus claves SSH dentro de la VM. Entonces la próxima dependencia con typosquatting las lee y se larga con tu organización.

Bromure le da la vuelta a esto. La configuración dentro de la VM se entrega con stubs — tokens bearer falsos, claves API falsas — que parecen reales para git, gh, el CLI de tu proveedor de modelos, tu registro privado y cualquier otra cosa que espere una cabecera Authorization. Un proxy en tu Mac se sienta delante de cada conexión que sale de la VM, reconoce el stub, lo intercambia por el secreto real al vuelo y reenvía la petición. El valor real nunca se escribe en un archivo que la VM pueda leer, nunca se mantiene en una variable de entorno que la VM pueda volcar, nunca se carga en memoria que la VM pueda escarbar.

Stubs dentro, tokens reales fuera

Configura GitHub, tu proveedor de modelos, npm, AWS, tu registro interno — lo que el agente necesite — una sola vez, en el host. La VM recibe stubs que satisfacen las expectativas de cada herramienta. El proxy en el host sustituye el bearer real cuando la petición cruza la frontera del hipervisor. Un paquete que pille variables de entorno, lea ~/.netrc o vuelque memoria se va con marcadores de posición.

ssh-agent reenviado, nunca expuesto

ssh-agent corre en tu Mac con las claves en el Keychain de macOS. Bromure reenvía únicamente el socket del agent dentro de la VM, exactamente como OpenSSH siempre quiso. Dentro de la VM, ssh y git funcionan de forma transparente — pero no hay archivo de clave en disco, no hay passphrase en memoria, nada que una dependencia comprometida pueda robar. Cierras la sesión, se cierra el canal.

Un paquete envenenado puede borrar el sistema de archivos de la VM. No puede llevarse tu organización de GitHub. No puede pivotar a tu infraestructura de build. No puede vaciar tu cuenta de AWS. El radio de impacto es la VM, y la VM es desechable.

Aprobación explícita

Un clic entre el agente y tus secretos.

El stub-and-swap es solo la mitad de la historia. Los tokens reales siguen viviendo en algún sitio — solo que están en tu Mac, detrás del proxy, en lugar de dentro de la VM. Es una mejora enorme cuando la amenaza es malware en la VM. Es una mejora más pequeña cuando la amenaza es malware en tu propio portátil: una actualización con backdoor, una extensión de navegador comprometida, un proceso que ya tiene ejecución de código local. Cualquier cosa que pueda hablar con el proxy podría, en principio, pedirle un token real.

Por eso Bromure añade un paso explícito con humano en el bucle delante de las credenciales que marcas como sensibles. Cuando algo — el agente, un CLI que escribiste tú, o un proceso que no — intenta usar uno de esos tokens a través del proxy, Bromure aparece en tu Mac, te dice qué credencial es y a qué destino va, y te pregunta. Apruebas para cinco minutos, una hora, el resto de la sesión, o solo para esta petición. Pasada esa ventana, vuelve a quedar bloqueada.

Aprobación con tiempo limitado

Eliges el TTL al aprobar. Cinco minutos para un único push. Una hora para una sesión de release concentrada. Un solo uso para las que de verdad dan miedo — un deploy a producción, una rotación de secretos, una migración destructiva. La concesión expira automáticamente, así no acabas con `aws sso login` abierto de par en par durante el resto del día.

El malware local pierde su palanca

Si un proceso que corre en tu Mac intenta hacer push a tu registro de contenedores, suplantarte contra GitHub o vaciar una cuenta cloud, no puede. Las credenciales no están en disco para leerlas, y el proxy que las guarda solo libera una cuando la persona que está delante de la pantalla pulsa aprobar. Tener ejecución de código en tu portátil ya no basta para actuar sobre producción.

Los tokens de larga vida se convierten en momentos de acceso. Aunque tu portátil esté comprometido de extremo a extremo, un atacante todavía tiene que pasar por encima de ti para hacer cualquier cosa que importe.

Por qué ejecutar agentes en una VM de Bromure

Radio de impacto contenido

Un paquete que se porte mal, un script post-install envenenado o un agente que decida hacer rm -rf solo pueden tocar lo que hay dentro de la VM. Tu carpeta personal, tus claves y tu iCloud están al otro lado de una frontera de hipervisor.

Sin credenciales reales dentro

La VM se entrega con tokens de stub. Un proxy en el host los intercambia por el bearer real al vuelo cuando una petición sale de la VM, y ssh-agent corre en tu Mac con solo el socket reenviado dentro. Un paquete que rastree variables de entorno o lea el disco encuentra marcadores de posición, no secretos.

Cada acción registrada

Bromure traza la sesión completa — prompts, respuestas del modelo, llamadas a herramientas, comandos de shell, ediciones de archivos — mientras ocurre. Abre la traza después, búscala, pásala a un revisor, adjúntala a la pull request. La trazabilidad sale gratis.

Edita en macOS, en paralelo

Las carpetas compartidas están vivas en ambos sentidos. Sigue usando Cursor, VS Code o Xcode en el host — el agente reescribe un archivo en la VM, tu editor lo recoge; tú guardas en tu editor, el agente lo ve al instante. Los mismos archivos, dos vistas, sin sincronización.

Trazador de sesión

Mira exactamente lo que hizo el agente.

Un agente de programación toma cientos de decisiones por sesión. La mayoría no llegas a verlas — pasan rodando en una llamada a herramienta que no leíste con detenimiento, se resumen en una sola línea, u ocurren entre dos mensajes que estabas ojeando por encima. Eso está bien hasta que algo se rompe. O hasta que tienes que explicar a un revisor, a un compañero o a un auditor lo que el modelo cambió de verdad.

Bromure registra la sesión completa mientras se ejecuta: cada prompt, cada respuesta del modelo, cada invocación de herramienta, cada comando de shell, cada archivo escrito. Abre la traza después, búscala, pásasela a otra persona, adjúntala a una pull request. El agente trabaja rápido; el registro tiene paciencia.

Bromure Trace Inspector showing every API call made by the agent

Captura completa del diálogo

Prompts, completions, llamadas a herramientas, comandos de shell, ediciones de archivos, códigos de salida — capturados en vivo mientras corre la sesión. Nada se reconstruye desde el scrollback; nada se pierde al cerrar la terminal.

Reproducible, revisable, atribuible

Recorre el razonamiento y las acciones del agente, mira exactamente qué se instaló y por qué, y convierte el «simplemente funcionó» o el «simplemente se rompió» en algo que puedes enseñar a otra persona.

Cuando el agente funciona, la traza es tu rastro documental. Cuando no, es tu informe de bug.

Trae tu propio agente.

Bromure Agentic Coding no sustituye tus herramientas — les da un sitio seguro donde correr. La VM se entrega con los runtimes que la mayoría de agentes esperan, y el resto lo instalas tú.

Claude Code

El agente de programación de terminal de Anthropic corre nativamente dentro de la VM. Autentícate una vez y déjalo bajar dependencias, ejecutar tests y refactorizar contra tu repositorio compartido.

Codex

El agente de programación de OpenAI se instala igual que en cualquier máquina Linux — solo que esta máquina Linux no puede ver tu carpeta personal.

Cualquier otro

Aider, OpenHands, agentes internos personalizados — si corre en Linux, corre en Bromure. La VM no es más que una máquina Linux; la seguridad viene de dónde vive.

Cómo funciona

1. Elige tus carpetas

Cuando creas la VM, eliges qué carpetas de tu Mac puede montar — normalmente el proyecto en el que estás trabajando. Eso es toda la visión del sistema de archivos que tiene el agente.

2. Lanza la VM

Bromure arranca una VM Linux en unos segundos usando Apple Virtualization.framework. Abre una terminal contra ella como harías con cualquier máquina remota.

3. Ejecuta el agente

Instala Claude Code o Codex dentro de la VM. Apúntalo a la carpeta compartida. Déjalo trabajar — instalar paquetes, ejecutar scripts, lanzar procesos — sin tocar nunca tu host.

4. Resetea cuando quieras

Cuando el estado de la VM deja de ser útil, tírala. Empieza de cero en segundos. Tu código está en el host; el desorden se queda en la VM.

VM vs container

¿Por qué no usar simplemente un contenedor?

Cuatro razones.

Kernel compartido

Los contenedores comparten kernel con tu host. Un paquete lo bastante malo, un bug de kernel o un montaje mal configurado, y la frontera ha desaparecido. Los contenedores se construyeron para aislar cargas de trabajo, no para defenderse de las cosas que estás ejecutando activamente dentro de ellos.

Inmutables, no interactivos

Las imágenes de contenedor se construyen una vez y se congelan. Un agente de programación interactivo — instalando paquetes, ajustando configs, recompilando herramientas todo el día — pelea con ese modelo todo el tiempo. Cada cambio quiere una recompilación. La carpeta personal mutable que montas para que el flujo sea soportable se convierte en el flanco débil que el resto de la imagen se suponía iba a proteger.

No corren realmente en macOS

Docker en Mac no está ejecutando contenedores de verdad — los está ejecutando dentro de una VM Linux oculta que viene con Docker Desktop. Ya estás pagando el coste de una VM, solo que sin verlo. Bromure se salta la capa intermedia: una VM, visible, configurable y tuya.

No hay forma de dejar los secretos fuera

Para que un contenedor sirva con git, gh, kubectl, aws o npm, acabas montando ~/.ssh, ~/.kube/config, ~/.aws/credentials, ~/.npmrc y tu token de GitHub dentro — tus secretos reales, en un sistema de ficheros que el agente puede leer. Bromure le da la vuelta. La VM recibe stubs que parecen credenciales reales para cada herramienta; un proxy del lado del host los reconoce y los sustituye al vuelo por el token real de GitHub, el bearer del kubeconfig, las credenciales de AWS o la contraseña del registry justo cuando la petición sale. Las claves SSH se quedan en el Keychain de macOS — solo se reenvía hacia adentro el socket de ssh-agent. Un contenedor no tiene equivalente sin reinventar el modelo de confianza desde cero.

Una VM tiene su propio kernel, su propia memoria, su propio sistema de archivos. Instalas lo que quieras, como lo harías en cualquier máquina Linux, y sigues haciéndolo todo el día. Virtualization.framework de Apple hace que el coste sea lo bastante bajo como para que no haya razón para conformarse con menos.

Dale a tu agente un taller de verdad.

Una VM. Aislamiento total. Instala lo que quieras. Bromure Agentic Coding es gratuito y de código abierto.