Retour à toutes les actualités
Publié le · par L'équipe Bromure

Bromure Agentic Coding 2.4.0 — détecter les injections de prompt dans les fichiers que lit votre agent

Bromure Agentic Coding 2.4.0 ajoute un quatrième pilier : la détection d'injection de prompt sur l'appareil. Un README empoisonné, une ligne dans une page récupérée, une chaîne dans la sortie d'un outil ou une directive cachée dans un CLAUDE.md peuvent discrètement dicter à votre agent ce qu'il doit faire — divulguer un fichier, affaiblir une vérification, exécuter un script. La 2.4.0 analyse le contenu non fiable qui parvient au modèle et les fichiers de règles auxquels il fait confiance, et peut journaliser, demander ou bloquer avant même que la requête n'atteigne le modèle. Tout s'exécute sur votre Mac ; rien n'en sort.

Garder de vrais identifiants hors de la sandbox empêche un paquet empoisonné de les voler. Mais il existe une attaque qui n'a besoin d'aucun jeton dérobé : dire simplement à l'agent quoi faire. Un commentaire dans un fichier source, une ligne dans une page web récupérée, une chaîne dans la sortie d'un outil ou une directive enfouie dans un CLAUDE.md peuvent orienter le modèle vers quelque chose que vous n'avez jamais demandé — et il le lit comme des instructions et s'exécute. La 2.4.0 ajoute le quatrième pilier qui comble cette faille, et il s'exécute entièrement sur votre Mac.

Nouveautés

  • Détection d'injection de prompt — deux détecteurs, un clic. Une nouvelle catégorie de profil « Prompt Injection » avec une action journaliser / demander / bloquer. Rien ne quitte le Mac : la détection s'exécute sur l'appareil.
    • Injection dans le contenu non fiable. Un classifieur PromptGuard (DeBERTa) local note les segments tool_result que l'agent ingère — lectures de fichiers, récupérations web, sortie d'outils. Une instruction glissée dans un README, un commentaire de code ou une réponse d'API est attrapée avant que le modèle n'agisse dessus.
    • Instructions malveillantes dans les fichiers de règles. Les fichiers CLAUDE.md, AGENTS.md et GROK.md qu'un agent traite comme faisant autorité sont analysés par une passe déterministe (Unicode invisible, ruses de texte bidirectionnel, méta-directives de type « ignore les instructions précédentes ») et par un classifieur ModernBERT affiné qui attrape les abus formulés calmement qu'un filtre par mots-clés laisse passer. Couvre Claude Code, Codex et Grok Build.
  • Journaliser, demander ou bloquer — c'est vous qui choisissez la fermeté. Journaliser enregistre dans le Security Log (le Supply Chain Log renommé — il journalise désormais aussi les mauvaises entrées) sans latence ajoutée. Demander met la requête en pause et vous montre le texte signalé pour l'autoriser ou le refuser. Bloquer fait échouer la requête avant que le modèle ne voie le contenu. La politique est par profil et s'applique en direct — activez-la sur une VM en cours d'exécution et elle prend effet au prochain appel de l'agent, sans redémarrage.
  • Visibilité à l'échelle de la flotte pour les installations gérées. Sur une installation gérée, chaque détection est transmise à votre console Bromure sous forme d'événement prompt_injection — source, extrait, et s'il a été journalisé, signalé ou bloqué — pour que la sécurité puisse voir les tentatives d'injection à travers toute la flotte, et pas seulement sur le portable où elles se sont produites.

Améliorations

  • Un disque hôte plein le dit désormais. Les builds d'image de base, les téléchargements de modèles et les lancements de VM vérifient l'espace libre au préalable et font remonter un message clair et localisé « libérez de l'espace et réessayez » — au lieu du déroutant délai d'expiration de 30 minutes de l'installateur qu'un disque plein provoquait auparavant.
  • Roue crantée des réglages dans la barre de titre de la VM. Ouvrez le profil de la VM en cours d'exécution directement depuis sa fenêtre ; les réglages côté hôte s'appliquent en direct.
  • Le Trace Inspector montre quelque chose dès le départ. Les nouveaux profils activent par défaut le traçage des détails IA, capturant les corps de requête et de réponse pour les hôtes de modèles bien connus (Anthropic, OpenAI, Google, Cohere…). Les corps sont scellés au repos ; le trafic non-IA reste limité aux métadonnées.

Corrections

  • Les VM ne s'éteignent plus toutes seules. Un démarrage à froid lent ou un événement d'onglet périmé pouvait être pris à tort pour la fermeture de votre dernier terminal, éteignant la VM quelques instants après son démarrage. L'hôte n'agit désormais que sur les onglets dont il a confirmé l'activité ; une vraie fermeture du dernier onglet provoque toujours l'extinction comme avant.
  • Un réseau fiable derrière un VPN. Le MTU réseau par défaut de la VM passe de 1400 à 1280, pour que les grandes poignées de main TLS et les morceaux d'archives npm cessent de disparaître dans un trou noir sur les chemins d'entreprise à plafond plus bas — DMVPN, Cisco AnyConnect, tunnels 6-in-4. Surchargez par hôte avec defaults write io.bromure.agentic-coding vm.mtu -int <value>.

Bromure Agentic Coding est libre et open source. Récupérez la 2.4.0 sur la page de téléchargement, ou apprenez-en plus sur la page Agentic Coding →.