Analyses approfondies sur la sécurité du navigateur, l'isolation et les idées derrière Bromure.
Bromure fait tourner deux classifieurs sur l'appareil sur tout ce que son agent de codage lit. L'injection de prompt dans la sortie d'outils et les récupérations web est confiée au Llama Prompt Guard 2 de Meta. Un CLAUDE.md piégé exige un modèle entièrement différent — la détection d'injection se déclenche sur chaque ligne d'un fichier censé n'être que des instructions — alors nous avons affiné ModernBERT pour classifier la nocivité à la place. Voici le pipeline complet : récolte d'un corpus bénin, synthèse d'exemples malveillants, fenêtrage au niveau de la clause, boucle d'entraînement et export ONNX, avec assez de détails pour le reproduire.
Un bac à sable demande au développeur de troquer la vitesse qui rend un agent de codage digne d'être lancé — pré-approuver chaque dépendance, maintenir une liste blanche de domaines, ne jamais toucher un paquet que l'organisation n'a pas validé. Alors les développeurs le désactivent. Bromure Agentic Coding refuse ce troc. Il ne contraint pas ce que l'agent fait ; il trace une seule ligne dure au niveau de l'hyperviseur et vous laisse tout faire à l'intérieur. Voici l'argument fondateur expliquant pourquoi une frontière vaut mieux qu'un bac à sable, et les trois garanties que la frontière rend vraies : aucun identifiant à voler, des tokens larges rétrécis au passage du fil, et des attaques de la chaîne d'approvisionnement arrêtées avant que le tarball n'atterrisse — plus la quatrième que la ligne rend désormais vraie : les injections de prompt attrapées dans le contenu que l'agent lit, avant que le modèle ne leur obéisse.
Les 5 et 6 juin 2026, le ver Miasma a poussé du code voleur de credentials dans 73 dépôts répartis sur quatre des organisations GitHub propres à Microsoft — Azure, Azure-Samples, microsoft, MicrosoftDocs — dont Azure/functions-action, l'Action de déploiement officielle, et durabletask, un dépôt qui avait déjà été nettoyé une fois en mai. Cette fois, la charge utile n'a pas attendu npm install. Elle s'est déclenchée à l'instant où un développeur ouvrait le dépôt dans Claude Code, Cursor, Gemini CLI ou VS Code. Voici pourquoi le signal de confiance — « c'est un dépôt Microsoft » — était de nouveau la surface d'attaque, et ce qui change quand l'agent qui l'ouvre vit dans une VM Bromure par profil, derrière un courtier de credentials, un guardrail lecture/écriture et un cooldown de packages.
Fin avril, un agent Cursor propulsé par Claude Opus 4.6 a été envoyé corriger un problème de staging dans un petit SaaS nommé PocketOS. Il a supposé que supprimer un volume Railway resterait cantonné au staging, n'a pas vérifié, et a effacé la base de production et ses sauvegardes en neuf secondes. Il a ensuite déclaré qu'il aurait dû demander d'abord. Bromure Agentic Coding 2.2 livre un garde-fou qui retire « aurait dû demander » des mains de l'agent.
Un zero-day dans github.dev a permis à un volet d'aperçu malveillant de sortir de son bac à sable, d'installer silencieusement une extension et de lire un token OAuth GitHub donnant accès à chaque dépôt privé que la victime pouvait toucher. Le correctif est honnête sur ses limites — la parade plus fine consiste à ne jamais apporter votre token dans le dépôt d'un inconnu.
Entre fin mai et le 1er juin 2026, un ver appelé Miasma a poussé du code voleur de credentials dans 32 packages sous le scope npm @redhat-cloud-services — l'espace de noms même de Red Hat, ~117 000 téléchargements hebdomadaires, signés par le vrai pipeline de publication de Red Hat. Il n'y avait aucun typosquat à attraper et aucun mainteneur inconnu à signaler. Le signal de confiance était le nom du fournisseur sur le scope, et le nom du fournisseur est exactement ce sur quoi l'attaquant est entré. Voici pourquoi « préférez les éditeurs réputés » a cessé d'être une défense, et ce qui change quand l'agent qui exécute l'installation vit dans une VM Bromure par profil.
Une nouvelle campagne loue la confiance d'un domaine auquel vous croyez déjà. Une publicité Google vous envoie vers un vrai lien de partage chatgpt.com, le lien de partage affiche une fausse alerte de panne, et l'alerte vous tend un malware. Voici comment la confiance se fait emprunter — et pourquoi cet emprunt cesse d'avoir de l'importance quand tout se passe à l'intérieur d'une VM que vous jetez.
Google a republié par accident la semaine dernière un bug Chromium vieux de quatre ans — un service worker qui continue d'exécuter du JavaScript après la fermeture du navigateur, sur tous les principaux navigateurs Chromium, toujours non corrigé. Le proof-of-concept est désormais dans la nature. La question intéressante n'est pas comment il fonctionne. C'est ce que « persistance » veut dire sur un navigateur dont la machine sous-jacente cesse d'exister dès que vous fermez l'onglet.
Le 18 mai 2026, Lasso Security a divulgué deux attaques contre NemoClaw de Nvidia — le sandbox qui fait tourner l'agent de codage autonome OpenClaw. Le sandbox fonctionnait exactement comme Nvidia l'avait annoncé. L'agent à l'intérieur du sandbox a quand même poussé le token GitHub de l'utilisateur vers une pull request contrôlée par l'attaquant, encodé en emojis pour échapper au scanner statique de secrets de GitHub. La question intéressante n'est pas de savoir si le sandbox est cassé. C'est de savoir si un sandbox contenant un fichier de credentials en clair en son sein a jamais été un sandbox au sens architecturalement utile, et ce que la réponse implique pour quiconque livre un agent de codage en 2026.
Au cours de la semaine du 11 mai 2026, les auteurs de Shai-Hulud — le ver auto-réplicatif de la chaîne d'approvisionnement npm qui dévore les comptes de mainteneurs depuis septembre 2025 — ont eux-mêmes divulgué leur code source. Dès le week-end, OX Security avait identifié quatre paquets npm typosquattés publiés depuis un même compte ; l'un est une copie quasi mot pour mot du ver divulgué, un autre un bot DDoS écrit en Golang, et les deux derniers de simples infostealers qui expédient des clés SSH et des portefeuilles crypto vers des C2 bas de gamme. Le seuil d'entrée pour forker une attaque de la chaîne d'approvisionnement vient de chuter sévèrement, et les premiers à installer ces paquets ne sont plus des humains.
Uber a cramé son budget annuel 2026 de coding IA dès le mois d'avril. Le CTO est retourné à la planche à dessin — non pas parce que les outils étaient mauvais, mais parce que personne ne pouvait rattacher un seul dollar de dépense en tokens à un seul changement livré. Les agents vont bien. C'est la couche de visibilité qui est le problème. Voici à quoi ça ressemble, et ce qui change quand chaque session d'agent devient un enregistrement structuré plutôt qu'un mur de scrollback.
Le 11 mai 2026, un ver npm appelé Mini Shai-Hulud a ajouté une ligne optionalDependencies à 42 packages dans l'espace de noms @tanstack. L'installation de l'un d'entre eux a exécuté un script Bun qui a récupéré un token OIDC depuis l'environnement GitHub Actions, l'a utilisé pour publier d'autres versions compromises avec une provenance SLSA valide, s'est copié dans .claude/ pour la prochaine fois que l'agent de codage démarrerait, et a exfiltré tout de ~/.aws à votre portefeuille crypto. Les packages étaient signés. L'attestation était valide. Voici à quoi ressemble la chaîne, et ce qui change quand l'agent qui a exécuté l'installation vit dans une VM Bromure per-task.
Apple a publié macOS Tahoe 26.5 le 11 mai 2026, avec environ soixante-dix correctifs de sécurité, dont dix vulnérabilités WebKit. Nous parcourons la liste WebKit, une classe de CVE à la fois, en posant la seule question qui compte vraiment en 2026 — qu'est-ce que cette faille atteint réellement, sur une machine qui fait tourner Bromure ?
Le 22 avril, quelqu'un a publié sur npm un paquet malveillant nommé @bitwarden/[email protected] — un typosquat qui aspirait clés SSH, credentials AWS/Azure/GCP, jetons GitHub, jetons de publication npm et kubeconfigs sur toute machine qui l'exécutait. Ce dont il se nourrit est exactement ce que les agents de codage modernes font sans réfléchir : installer ce que npm leur renvoie. Voici à quoi ressemble cette chaîne, et ce qui change quand l'agent tourne dans une VM Bromure plutôt que sur votre portable.
Une nouvelle bande d'extorsion appelée BlackFile démarche au téléphone des employés du retail et de l'hôtellerie en se faisant passer pour l'IT, les amène à taper identifiants et OTPs sur une fausse page de connexion d'entreprise, puis enregistre son propre appareil MFA sur le compte réel. L'appel téléphonique n'est pas affecté par ce que peut faire un navigateur. La page sur laquelle l'utilisateur tape, si.
La brèche Vercel divulguée cette semaine a commencé par un employé de Context.ai téléchargeant des exploits Roblox sur son PC personnel, et s'est terminée par un attaquant lisant les variables d'environnement des clients de Vercel. Bromure Enterprise, livré cette semaine, est conçu précisément pour cette chaîne.
Le rapport trimestriel Q1 2026 de Cisco Talos remet l'hameçonnage en tête des vecteurs d'accès initial et, en son sein, documente le premier cas que Talos attribue à un constructeur d'applications IA en « vibe-coding » — un clone d'Outlook Web Access déployé sur un sous-domaine `*.softr.app`, qui exfiltre les identifiants vers une feuille Google Sheets jetable. La réputation d'URL ne peut pas voir venir celui-là. La bonne réponse se situe plus bas dans la pile.
Une version précoce de Claude Mythos a aidé Mozilla à trouver 271 bugs de sécurité dans une seule version de Firefox. La bonne réaction n'est ni la panique, ni la célébration — c'est un recalibrage discret de ce que nous devons encore supposer à propos de chaque navigateur que nous livrons, utilisons, ou sur lequel nous construisons.
Un faux CAPTCHA écrit une ligne PowerShell dans le presse-papiers. L'utilisateur appuie sur Win+R et colle. Pas d'évasion de sandbox, pas de 0-day, pas de binaire signé requis — l'humain est l'exploit. Voici ce que nous livrons contre cela aujourd'hui, où se trouvent encore les angles morts, et ce qu'Apple a eu raison et tort de faire dans macOS 26.4.
Microsoft a documenté une chaîne de rançongiciel en neuf étapes qui commence par un message Teams externe se faisant passer pour le helpdesk et se termine par Rclone exfiltrant discrètement le partage réseau. Huit de ces neuf étapes ont besoin du système d'exploitation hôte. Aucune ne peut s'exécuter contre un onglet.
Un seul opérateur a publié 108 extensions malveillantes sur le Chrome Web Store sous cinq éditeurs fictifs, cumulé environ 20 000 installations et les a toutes acheminées vers un unique serveur de commande et de contrôle. Le modèle de modération n'a rien vu. Voici pourquoi un navigateur axé sur la sécurité doit prendre une position plus dure.
Un examen étape par étape de l'anti-hameçonnage de Bromure — l'inspection locale, le modèle, le verdict, et pourquoi vos parents, vos grands-parents et le voisin de palier sont exactement les personnes pour qui nous l'avons conçu.
LinkedIn sonde discrètement plus de 6 000 extensions de navigateur, collecte 48 attributs d'appareil, et récupère votre IP LAN via WebRTC à chaque visite. La solution n'est pas un réglage de confidentialité — c'est un navigateur d'une tout autre forme.
Le web est hostile, les conseils de sécurité ne suffisent plus, et l'IA a changé les règles. Voici pourquoi nous avons conçu un navigateur qui vous décharge de ce fardeau.
Apple et Google dépensent désormais des dizaines de millions de dollars par an pour traquer et corriger des bugs de navigateur. Il reste malgré tout entre huit et dix zero-days de navigateur activement exploités chaque année. Ce billet explique pourquoi ce calcul ne changera pas, comment Claude Mythos et la « Vulnpocalypse » s'apprêtent à aggraver la situation, et pourquoi un navigateur conçu en partant du principe qu'il sera compromis est un produit d'une toute autre nature.
La plupart des bloqueurs de publicités sont des extensions de navigateur, et la plupart des extensions de navigateur s'exécutent dans le même processus que la page dont elles cherchent à vous protéger. Bromure procède autrement. Voici comment, et pourquoi cela compte.
La plupart des rançongiciels ne démarrent pas par une faille zero-day. Ils démarrent par un onglet de navigateur. Voici comment la chaîne d'attaque fonctionne vraiment en 2026 — et à quoi elle ressemble quand elle tombe sur un navigateur conçu pour encaisser le coup.
Ce qu'un VPN fait réellement, ce qu'il ne fait pas, pourquoi en exécuter un par profil dans Bromure change la donne en matière d'anonymat, et une visite guidée du fonctionnement interne de Cloudflare WARP.