Bromure Agentic Coding

Laissez votre agent IA
se déchaîner — en toute sécurité.

Faites tourner Claude Code, Codex et le prochain agent de codage à l'intérieur d'une VM Linux qui ne partage que les dossiers que vous choisissez. Tout ce qu'ils téléchargent, installent ou cassent reste dans la VM.

Téléchargez Bromure Agentic Coding maintenantApple Silicon (M1 ou ultérieur) · Gratuit & Open Source

Bromure Agentic Coding running Claude in an isolated VM with the Trace Inspector

Les agents de codage tournent désormais sur votre portable.

Claude Code et Codex tirent des paquets, lancent des scripts, démarrent des serveurs et exécutent ce que le modèle juge utile. C'est précisément le but. Mais chaque `npm install`, chaque `pip install`, chaque `curl | bash` qu'ils lancent atterrit sur votre OS hôte — à côté de vos clés SSH, votre gestionnaire de mots de passe, votre iCloud et le reste de votre travail.

Une seule dépendance typosquattée, un script empoisonné ou un agent confus peut discrètement exfiltrer un jeton, déposer un launch agent ou effacer un répertoire. L'agent n'est pas malveillant ; il a juste un accès équivalent à root sur votre vraie machine. C'est un rayon d'impact pour lequel personne n'a signé.

Déplacez l'agent dans une VM.

Bromure Agentic Coding offre à chaque développeur une machine virtuelle Linux qui ne partage que les dossiers qu'il choisit. Claude ou Codex tournent à l'intérieur de la VM. Ils voient votre dépôt à travers un montage partagé ; ils ne voient ni votre répertoire personnel, ni votre trousseau, ni le reste de votre disque.

Installez ce dont l'agent a besoin — paquets système, chaînes d'outils de langage, builds expérimentaux à moitié cassés. La VM est l'atelier de l'agent, pas votre portable. Quand quelque chose part de travers, vous réinitialisez la VM et vous recommencez. Votre hôte reste impeccable.

Les dossiers partagés sont montés en direct dans les deux sens : vous continuez à éditer dans Cursor, VS Code ou Xcode sur macOS pendant que l'agent travaille dans la VM. Vous enregistrez dans votre éditeur, l'agent voit le changement à l'instant ; l'agent réécrit un fichier, votre éditeur le récupère — mêmes fichiers, deux vues, aucune synchronisation, aucune danse de checkout.

~/projects/my-app

$ bromure code --share ./

→ launching VM (clone of base image)…

→ mounting ~/projects/my-app at /workspace

→ proxy ready · ssh-agent forwarded · tracer on

→ ready in 3.2s

vm:/workspace

$ claude

→ npm install ✓

→ git push ✓ (token swapped at proxy)

→ host ~/.ssh: not visible · keys never left Mac

Relais d'identifiants

L'agent fonctionne, les secrets restent à la maison.

Un agent qui ne peut pas pousser sur GitHub, tirer depuis un registre privé ou se connecter en SSH à un serveur de build n'est pas utile. La réponse naïve, c'est de déposer vos jetons longue durée et vos clés SSH dans la VM. Et puis la prochaine dépendance typosquattée les lit et repart avec votre organisation.

Bromure renverse cette logique. La configuration à l'intérieur de la VM est livrée avec des leurres — faux jetons bearer, fausses clés d'API — qui paraissent vrais à git, gh, à la CLI de votre fournisseur de modèles, à votre registre privé et à tout ce qui attend un en-tête `Authorization`. Un proxy sur votre Mac se place devant chaque connexion qui quitte la VM, reconnaît le leurre, l'échange contre le vrai secret sur le fil et transmet la requête. La vraie valeur n'est jamais écrite dans un fichier que la VM peut lire, jamais détenue dans une variable d'environnement que la VM peut dumper, jamais paginée en mémoire que la VM peut scruter.

Leurres dedans, vrais jetons dehors

Configurez GitHub, votre fournisseur de modèles, npm, AWS, votre registre interne — tout ce dont l'agent a besoin — une seule fois, sur l'hôte. La VM reçoit des leurres qui satisfont les attentes de chaque outil. Le proxy côté hôte substitue le vrai bearer au moment où la requête franchit la frontière de l'hyperviseur. Un paquet qui attrape les variables d'environnement, lit `~/.netrc` ou dumpe la mémoire repart avec des placeholders.

ssh-agent forwardé, jamais exposé

ssh-agent tourne sur votre Mac avec les clés dans le Keychain macOS. Bromure ne forwarde que la socket de l'agent dans la VM, comme OpenSSH l'a toujours prévu. À l'intérieur de la VM, ssh et git fonctionnent de manière transparente — mais il n'y a aucun fichier de clé sur le disque, aucune passphrase en mémoire, rien qu'une dépendance compromise puisse voler. Fermez la session, le canal se ferme.

Un paquet empoisonné peut effacer le système de fichiers de la VM. Il ne peut pas emporter votre organisation GitHub. Il ne peut pas pivoter dans votre infrastructure de build. Il ne peut pas vider votre compte AWS. Le rayon d'impact, c'est la VM, et la VM est jetable.

Approbation explicite

Un clic entre l'agent et vos secrets.

Le stub-and-swap, ce n'est que la moitié de l'histoire. Les vrais jetons existent toujours quelque part — ils sont simplement sur votre Mac, derrière le proxy, plutôt qu'à l'intérieur de la VM. C'est une énorme avancée quand la menace, c'est un malware dans la VM. C'en est une plus modeste quand la menace, c'est un malware sur votre portable lui-même : une mise à jour piégée, une extension de navigateur compromise, un processus qui a déjà l'exécution de code en local. Tout ce qui peut parler au proxy pourrait, en principe, lui demander un vrai jeton.

Bromure ajoute donc une étape humaine explicite devant les identifiants que vous marquez comme sensibles. Quand quelque chose — l'agent, une CLI que vous avez tapée ou un processus que vous n'avez pas lancé — tente d'utiliser l'un de ces jetons via le proxy, Bromure surgit sur votre Mac, nomme l'identifiant et la destination, et vous demande. Vous approuvez pour cinq minutes, une heure, le reste de la session, ou juste cette requête. Une fois la fenêtre écoulée, c'est verrouillé à nouveau.

Approbation à durée limitée

Choisissez le TTL au moment où vous approuvez. Cinq minutes pour un seul push. Une heure pour une session de release concentrée. Usage unique pour celles qui font vraiment peur — un déploiement en production, une rotation de secret, une migration destructive. L'autorisation expire toute seule, donc vous ne vous retrouvez pas avec `aws sso login` grand ouvert pour le reste de la journée.

Le malware local perd son levier

Si un processus qui tourne sur votre Mac tente de pousser sur votre registry de conteneurs, de se faire passer pour vous auprès de GitHub ou de vider un compte cloud, il ne peut pas. Les identifiants ne sont pas sur le disque à lire, et le proxy qui les détient n'en libère un que quand l'humain devant l'écran clique sur approuver. L'exécution de code sur votre portable ne suffit plus pour agir sur la production.

Les jetons longue durée deviennent des moments d'accès. Même si votre portable est compromis de bout en bout, un attaquant doit encore vous passer dessus pour faire quoi que ce soit qui compte.

Pourquoi faire tourner les agents dans une VM Bromure

Rayon d'impact contenu

Un paquet qui se comporte mal, un script de post-installation empoisonné ou un agent qui décide de faire `rm -rf` ne peut toucher que ce qui est à l'intérieur de la VM. Votre répertoire personnel, vos clés et votre iCloud sont de l'autre côté d'une frontière hyperviseur.

Aucun identifiant réel à l'intérieur

La VM est livrée avec des jetons-leurres. Un proxy côté hôte les échange contre le vrai bearer sur le fil quand une requête quitte la VM, et ssh-agent tourne sur votre Mac avec seulement la socket forwardée à l'intérieur. Un paquet qui scrute les variables d'environnement ou lit le disque trouve des placeholders, pas des secrets.

Chaque action enregistrée

Bromure trace la session complète — prompts, réponses du modèle, appels d'outils, commandes shell, modifications de fichiers — au fil de l'exécution. Ouvrez la trace après coup, cherchez-y, donnez-la à un relecteur, attachez-la à la pull request. La traçabilité vient gratuitement.

Éditer sur macOS, côte à côte

Les dossiers partagés sont vivants dans les deux sens. Restez sur Cursor, VS Code ou Xcode côté hôte — l'agent réécrit un fichier dans la VM, votre éditeur le récupère ; vous enregistrez dans votre éditeur, l'agent le voit à l'instant. Mêmes fichiers, deux vues, aucune synchronisation.

Traceur de session

Voyez exactement ce que l'agent a fait.

Un agent de codage prend des centaines de décisions par session. La plupart, vous ne les voyez jamais — elles défilent dans un appel d'outil que vous n'avez pas lu attentivement, sont résumées en une seule ligne ou se passent entre deux messages que vous parcouriez. C'est très bien tant que rien ne casse. Ou jusqu'à ce que vous deviez expliquer à un relecteur, un coéquipier ou un auditeur ce que le modèle a vraiment changé.

Bromure enregistre la session complète au fil de l'exécution : chaque prompt, chaque réponse du modèle, chaque invocation d'outil, chaque commande shell, chaque fichier écrit. Ouvrez la trace après coup, cherchez-y, donnez-la à quelqu'un d'autre, attachez-la à une pull request. L'agent travaille vite ; le registre est patient.

Bromure Trace Inspector showing every API call made by the agent

Capture complète du dialogue

Prompts, complétions, appels d'outils, commandes shell, modifications de fichiers, codes de sortie — capturés en direct au fil de la session. Rien n'est reconstitué depuis le scrollback ; rien n'est perdu quand vous fermez le terminal.

Rejouable, relisible, attribuable

Parcourez le raisonnement et les actions de l'agent, voyez exactement ce qui a été installé et pourquoi, et transformez « ça a juste marché » ou « ça a juste cassé » en quelque chose que vous pouvez montrer à un autre humain.

Quand l'agent fonctionne, la trace est votre piste documentaire. Quand il ne fonctionne pas, c'est votre rapport de bug.

Apportez votre propre agent.

Bromure Agentic Coding ne remplace pas votre outillage — il lui donne un endroit sûr pour tourner. La VM est livrée avec les runtimes auxquels la plupart des agents s'attendent, et vous installez le reste.

Claude Code

L'agent de codage en terminal d'Anthropic tourne nativement à l'intérieur de la VM. Authentifiez-vous une fois et laissez-le tirer les dépendances, lancer les tests et refactorer contre votre dépôt partagé.

Codex

L'agent de codage d'OpenAI s'installe de la même manière que sur n'importe quelle machine Linux — sauf que cette machine Linux ne peut pas voir votre répertoire personnel.

Tout le reste

Aider, OpenHands, agents internes maison — si ça tourne sur Linux, ça tourne dans Bromure. La VM, c'est juste une machine Linux ; la sécurité vient de l'endroit où elle vit.

Comment ça marche

1. Choisissez vos dossiers

Quand vous créez la VM, vous choisissez quels dossiers de votre Mac elle peut monter — typiquement le projet sur lequel vous travaillez. C'est toute la vue qu'a l'agent de votre système de fichiers.

2. Lancez la VM

Bromure démarre une VM Linux en quelques secondes via le Virtualization.framework d'Apple. Ouvrez-y un terminal comme vous le feriez avec n'importe quelle machine distante.

3. Lancez l'agent

Installez Claude Code ou Codex à l'intérieur de la VM. Pointez-le sur le dossier partagé. Laissez-le travailler — installer des paquets, lancer des scripts, créer des processus — sans jamais toucher à votre hôte.

4. Réinitialisez quand vous voulez

Quand l'état de la VM cesse d'être utile, jetez-le. Repartez de zéro en quelques secondes. Votre code est sur l'hôte ; le bazar reste dans la VM.

VM vs container

Pourquoi pas simplement un conteneur ?

Quatre raisons.

Noyau partagé

Les conteneurs partagent un noyau avec votre hôte. Un paquet suffisamment mauvais, un bug du noyau ou un montage mal configuré, et la frontière disparaît. Les conteneurs ont été conçus pour isoler des charges de travail, pas pour défendre contre ce que vous lancez activement à l'intérieur.

Immuables, pas interactifs

Les images de conteneurs sont construites une fois et figées. Un agent de codage interactif — qui installe des paquets, ajuste des configurations, reconstruit des outils toute la journée — combat ce modèle en permanence. Chaque changement réclame un rebuild. Le répertoire personnel mutable que vous montez pour rendre le workflow tolérable devient le ventre mou que le reste de l'image était censé protéger.

Ne tournent pas vraiment sur macOS

Docker sur Mac ne fait pas vraiment tourner des conteneurs — il les fait tourner à l'intérieur d'une VM Linux cachée livrée avec Docker Desktop. Vous payez déjà le coût de la VM, sans la voir. Bromure supprime la couche intermédiaire : une seule VM, visible, configurable, et qui vous appartient.

Impossible de garder les secrets dehors

Pour qu'un conteneur soit utilisable avec git, gh, kubectl, aws ou npm, vous finissez par monter ~/.ssh, ~/.kube/config, ~/.aws/credentials, ~/.npmrc et votre jeton GitHub à l'intérieur — vos vrais secrets, sur un système de fichiers que l'agent peut lire. Bromure renverse la logique. La VM reçoit des stubs qui ressemblent à de vraies credentials pour chaque outil ; un proxy côté hôte les reconnaît et les remplace au fil par le vrai jeton GitHub, le bearer kubeconfig, le credential AWS ou le mot de passe de registry au moment où la requête sort. Les clés SSH restent dans le trousseau macOS — seul le socket ssh-agent est exposé à l'intérieur. Aucun équivalent dans un conteneur sans réinventer entièrement le modèle de confiance.

Une VM a son propre noyau, sa propre mémoire, son propre système de fichiers. Vous installez ce que vous voulez, comme sur n'importe quelle machine Linux, et vous continuez toute la journée. Le Virtualization.framework d'Apple en réduit suffisamment le coût pour qu'il n'y ait aucune raison de se contenter de moins.

Donnez à votre agent un vrai atelier.

Une VM. Isolation totale. Installez n'importe quoi. Bromure Agentic Coding est gratuit et open source.