Mantener credenciales reales fuera del sandbox evita que un paquete envenenado las robe. Pero hay un ataque que no necesita ningún token robado: simplemente decirle al agente qué hacer. Un comentario en un archivo fuente, una línea en una página web descargada, una cadena en la salida de una herramienta o una directiva enterrada en un CLAUDE.md pueden empujar al modelo hacia algo que nunca pediste — y él lo lee como instrucciones y obedece. La 2.4.0 añade el cuarto pilar que cierra esa brecha, y corre por completo en tu Mac.

Novedades

Detección de inyecciones de prompt — dos detectores, un clic. Una nueva categoría de perfil Prompt Injection con una acción de registrar / preguntar / bloquear. Nada sale del Mac: la detección corre en el dispositivo.
- Inyección en contenido no confiable. Un clasificador local PromptGuard (DeBERTa) puntúa los tramos de tool_result que el agente ingiere — lecturas de archivos, descargas web, salida de herramientas. Una instrucción colada en un README, un comentario de código o una respuesta de API se atrapa antes de que el modelo actúe sobre ella.
- Instrucciones maliciosas en archivos de reglas. Los archivos CLAUDE.md, AGENTS.md y GROK.md que un agente trata como autoridad se escanean con una pasada determinista (Unicode invisible, trucos de texto bidireccional, metadirectivas del tipo «ignora las instrucciones anteriores») y un clasificador ModernBERT afinado que atrapa el abuso de redacción serena que un filtro de palabras clave pasa por alto. Cubre Claude Code, Codex y Grok Build.
Registrar, preguntar o bloquear — tú eliges los dientes. Registrar anota en el Security Log (el renombrado Supply Chain Log — ahora también registra entradas maliciosas) sin latencia añadida. Preguntar pausa la solicitud y te muestra el texto marcado para permitirlo o denegarlo. Bloquear hace fallar la solicitud antes de que el modelo vea el contenido. La política es por perfil y se aplica en vivo — actívala en una VM en ejecución y entra en la siguiente llamada del agente, sin reiniciar.
Visibilidad para toda la flota en instalaciones gestionadas. En una instalación gestionada, cada detección se reenvía a tu consola de Bromure como un evento prompt_injection — origen, fragmento y si se registró, se marcó o se bloqueó — para que seguridad pueda ver los intentos de inyección en toda la flota, no solo en el portátil donde ocurrieron.

Mejoras

Un disco del host lleno ahora lo dice. Las compilaciones de imagen base, las descargas de modelos y los arranques de VM comprueban de antemano el espacio libre y muestran un claro «libera espacio e inténtalo de nuevo» localizado — en lugar del confuso timeout de 30 minutos del instalador que un disco lleno solía provocar.
Engranaje de ajustes en la barra de título de la VM. Abre el propio perfil de la VM en ejecución directamente desde su ventana; los ajustes del lado del host se aplican en vivo.
El Trace Inspector muestra algo de fábrica. Los perfiles nuevos usan por defecto el trazado de detalles de IA, capturando los cuerpos de solicitud y respuesta de los hosts de modelos conocidos (Anthropic, OpenAI, Google, Cohere…). Los cuerpos se sellan en reposo; el tráfico que no es de IA se queda solo en metadatos.

Correcciones

Las VM ya no se apagan solas. Un arranque en frío lento o un evento de pestaña obsoleto podía malinterpretarse como que cerrabas tu última terminal, apagando la VM momentos después de arrancar. El host ahora actúa solo sobre pestañas que ha confirmado vivas; un cierre genuino de la última pestaña sigue apagando como antes.
Red fiable detrás de una VPN. El MTU de red por defecto de la VM baja de 1400 a 1280, para que los handshakes TLS grandes y los fragmentos de tarball de npm dejen de caer en un agujero negro en rutas corporativas de techo más bajo — DMVPN, Cisco AnyConnect, túneles 6-in-4. Anúlalo por host con defaults write io.bromure.agentic-coding vm.mtu -int <value>.

Bromure Agentic Coding es libre y de código abierto. Consigue la 2.4.0 en la página de descargas, o aprende más en la página de Agentic Coding →.