Bromure Agentic Coding

次の犠牲者になるな —
GitHub

いずれも開発者の環境を通じて侵害されました — 漏れた秘密、汚染されたサプライチェーン、暴走した AI エージェント。Bromure Agentic Coding はこの三つすべてを止めます。

Bromure Agentic Coding を今すぐダウンロードApple Silicon（M1 以降）· 無料 & オープンソース

Bromure Agentic Coding running Claude in an isolated VM with the Trace Inspector

彼らは Bromure Agentic Coding を使っていなかった

GitHub Red Hat TanStack Nx Bitwarden Aqua Checkmarx CISA 欧州委員会 SAP Grafana Mistral GitHub Red Hat TanStack Nx Bitwarden Aqua Checkmarx CISA 欧州委員会 SAP Grafana Mistral

賭け

封じ込めるのは被害範囲であって、開発者ではない。

本能的に、人は開発者を締め付けようとします — EDR、root なし、あらゆるクレデンシャルを承認待ちの列の向こうに。それはうまくいきません。マシンが自分のものでなければ、開発者はあなたを迂回し、求めていた管理も、すでに持っていた可視性も失います。

マシンをまるごと渡す

root、どんなパッケージでも、どんな実験でも、チケットなしの深夜 2 時でも。それを取り上げれば、優れたエンジニアは反発するか、黙ってあなたを迂回します。自分のものだと感じられなければ、彼らは使いません。

彼らは王国の鍵を握っている

本番データベース。AWS アカウント。コマンド一つで削除できるクラスタ。そのアクセスこそが仕事です — しかしたった一つの誤ったコマンド、一つの汚染された依存関係、一つの暴走したエージェントが、会社全体を被害範囲に収めます。

実験はさせ、被害は土俵から下ろす

開発者にできることを小さくしても、これは安全になりません。ミス — あるいは侵害 — が到達できる範囲を小さくすることで、安全になるのです。

だから Bromure は開発者の力をそのままに保ち、代わりに三つのものにリードをつけます。彼らの秘密、彼らの環境、そしてサプライチェーンが持ち込みうるものです。

開発者にはフルパワーを、被害にはリードを。

あなたの秘密

本物のトークンや SSH 鍵がサンドボックスに入ることは決してありません。エージェントが受け取るのはスタブで、Mac 上のプロキシが本物の bearer をワイヤー上で差し替え、機微なものはすべてクリックを要します。

あなたの環境

ガードレールは接続だけでなく操作そのものを検査します。本番への DELETE、force-push、DROP はワイヤーで止まり、どんなトークンを握っていようと、まずあなたに尋ねます。

あなたのサプライチェーン

エージェントが引き込むすべてのパッケージは OSV と socket.dev に照合され、インストールスクリプトは取り除かれ、出たばかりのリリースは保留されます — そのどれもが VM に届く前に。

認証情報のブローカリング

エージェントは動く、秘密は家に置いておく。

リポジトリ、レジストリ、サーバーに届かないエージェントは役に立ちません。素朴な解決策 — トークンと鍵を VM に放り込むこと — は、次にそれを読むタイポスクワット依存関係にそれらを手渡すことになります。

Bromure はこれを逆転させます。VM は、Authorization ヘッダーを期待する何にとっても本物に見えるスタブを携えて出荷されます。Mac 上のプロキシが VM から出るすべての接続を捕らえ、ワイヤ上でスタブを本物の秘密に差し替えます。本物の値が、VM の読めるファイル・環境変数・メモリに触れることは決してありません。

サンドボックス VM

ここでエージェントが動く

$ git push

Authorization: Bearer stub_7f3a…ce21

ブローカー · あなたの Mac

本物の秘密はここから出ない

スタブを認識 → ワイヤー上で差し替え

本物の PAT

github.com

有効なトークンに見える

200 OK

本物の PAT が、VM の届くファイル・環境変数・メモリのページに触れることは決してありません。汚染された依存関係は、スタブを持って去るだけです。

スタブを入れて、本物のトークンを出す

クレデンシャルはホスト上で一度だけ設定します。VM はすべてのツールが受け入れるスタブを受け取り、プロキシはリクエストが出る瞬間に本物のベアラーへ差し替えます。ファイルシステムを漁るパッケージは、プレースホルダーしか持ち帰れません。

ssh-agent は転送するが、決して晒さない

SSH 鍵は macOS Keychain に残り、Bromure は ssh-agent のソケットだけを VM に転送します。ssh も git も透過的に動きますが、鍵ファイルもメモリ上のパスフレーズもなく、盗めるものは何もありません。

承認ゲーティング

エージェントとあなたの秘密の間に、ワンクリックを。

クレデンシャルを機密と指定すると、Bromure は人間によるワンステップを差し込みます。何かがプロキシ経由でそれに手を伸ばすと、Mac 上にポップアップが出て、クレデンシャルと宛先を提示し、あなたに尋ねます。承認は 5 分間、1 時間、このセッション中、あるいは 1 回限りで。

時間で区切る承認

承認するときに TTL を選びます。1 回の push なら 5 分、リリースなら 1 時間、本当に怖いものには 1 回限り。許可は自動的に失効するので、トークンを一日中開けっぱなしにしてしまうこともありません。

ローカルマルウェアは、てこを失う

あなたのレジストリへ push しようとしても、あなたになりすまそうとしても、クラウドアカウントを枯渇させようとしても、ローカルマルウェアにはできません。クレデンシャルはディスク上になく、プロキシは承認をクリックしたときにだけ 1 件解放します。コード実行だけでは、もはや本番に手を出すには不十分です。

長期トークンは、瞬間的なアクセスに変わります。たとえラップトップが完全に侵害されていても、攻撃者は何か重要なことをするためには、まずあなたを通り抜けなければなりません。

ガードレール

どんな鍵も、出ていく途中で読み取り専用に。

恐ろしい話の主役は、盗まれたトークンではありません — 正規のクレデンシャルを渡されたエージェントが、本番で間違ったものを削除してしまう、そういう話です。鍵が漏れたわけではなく、持つべきでなかった書き込み権限をたまたま持っていただけ。そして教科書どおりの対策 — ツールごと、セッションごとの読み取り専用トークン — は、あまりに面倒で誰もやりません。

ガードレールは接続だけでなく操作そのものを読み取ります — 読み取りと書き込みを見分けます。クレデンシャルを読み取り専用にマークすれば、Bromure は状態を変える操作を拒みます。「確認する」に設定すれば、エージェントが何かを変えようとした瞬間に、Bromure がワイヤ上でそれを止め、動詞・対象・プロファイルを示して尋ねます。ちょうどこのように。

Bromure Guardrails prompting for approval before a destructive kubectl delete against a production cluster

何も再発行せずに読み取り専用へ

ツールごと、リポジトリごと、セッションごとにスコープを絞ったトークンを発行するのは、もうやめましょう。手元のクレデンシャルをそのまま使い、その前に読み取り専用の境界を置くだけ — あなたが指定したあいだだけ読み取り専用として振る舞います。出荷したい？ 15 分だけ元に戻せばいい。

変更する前に、確認する

機密なクレデンシャルを確認モードに設定すれば、状態を変えるすべての呼び出しが、あなたが承認するまで一時停止します。同じ時間で区切った許可：15 分、1 回限り、このセッション、あるいは決して。エージェントは一日中読めますが、「はい」がない限り本番を変えることはできません。

エージェントは、間違いが安く済むところでは自律性を保ち、そうでないところではきっちりそれを失います。「エージェントが本番データベースを削除した」は、もはや事後検証ではなく、あなたが「許可しない」をクリックしたダイアログボックスになります。

サプライチェーン

エージェントが引き込むすべてのパッケージを、届く前にスキャンする。

このページの上部を流れるロゴは、サプライチェーン侵害の壁です。あなたの一言で依存関係をインストールするエージェントは、完璧な配送手段です。`npm install` を実行すると、推移的依存関係が postinstall を発火させ、あなたがそれに気づくのは来四半期です。

Supply Chain は、その同じプロキシをスキャンのチェックポイントに変えます。エージェントが取得するすべてのパッケージは OSV と socket.dev に照合され、インストールスクリプトは取り除かれ、出たばかりのリリースは保留されます。VM の境界で動くため、エージェントが内部で何をしても有効であり続けます。

Bromure Supply Chain log scanning every npm package against OSV and socket.dev as the agent installs them

エージェントによってではなく、その下で強制する

すべてのパッケージ取得は Bromure のプロキシ経由で VM を出ます。エージェントが設定を書き換えてあなたを回避しようとしても、スキャンは越えられない境界で行われるため、エージェントが回避を試みても防御は保たれます。

2 つのスキャナ、2 種類の脅威

OSV は、あなたが設定した深刻度のしきい値を超える既知の CVE を捕らえます。socket.dev は、データベースがまだ捕らえていないものを捕らえます — 不正なインストールスクリプト、マルウェア、タイポスクワット。フラグの立ったリリースは、VM に届く前にブロックされます。

インストールスクリプトを、その場で取り除く

`postinstall` のようなインストールフックこそ、ペイロードが実際に実行される場所です。Bromure は tarball からそれらを取り除き、メタデータのハッシュを修正してインストールが検証を通り続けるようにします。本当に必要とする数少ないネイティブビルドは短い許可リストに載せ、それ以外はすべて無害な状態でインストールされます。

パッケージは、噛みつけるようになる前に熟成しなければならない

侵害されたバージョンは、普通は数時間以内に取り下げられます — まさにエージェントがそれを引き込みかねない数時間です。Bromure は直近 2 日間（調整可能）に公開されたものすべてを隔離するため、出たばかりの悪意あるリリースは、エコシステムが追いつくまでインストールできません。

エージェントは必要なものを何でも `npm install` できます — それでも、既知の重大な CVE も、侵害されたリリースも、許可されていないインストールスクリプトも、1 時間前にアップロードされたバージョンも引き込むことはできません。この防御がエージェントの協力に依存することは決してありません。

セッショントレーサー

エージェントが何をしたか、正確に見る。

コーディングエージェントは 1 セッションで何百もの判断をしますが、そのほとんどは読まれずに流れていきます。何かが壊れるまでは、それで構いません。あるいは、モデルが実際に何を変えたかをチームメイトや監査担当者に説明する必要が出るまでは。

Bromure はセッション全体を、動いている最中に記録します：すべてのプロンプト、応答、ツール呼び出し、シェルコマンド、書き込まれたファイル。後で開き、検索し、プルリクエストに添付できます。エージェントは速く動き、記録は辛抱強く待ちます。

Bromure Trace Inspector showing every API call made by the agent

完全な対話キャプチャ

プロンプト、補完、ツールコール、シェルコマンド、ファイル編集、終了コード — ライブでキャプチャされます。スクロールバックから再構築するものはなく、ターミナルを閉じても失われるものはありません。

再生可能、レビュー可能、帰属可能

エージェントの推論と行動をスクラブし、何が、なぜインストールされたかを正確に確認し、「ただ動いた」「ただ壊れた」を、もう一人の人間に見せられる何かに変えます。

エージェントが動くとき、トレースはあなたのペーパートレイル。動かないとき、それはあなたのバグレポートです。

あなたのエージェントを、持ち込んでください。

Bromure Agentic Coding はあなたのツールを置き換えません — 動かす安全な場所を提供します。VM はほとんどのエージェントが期待するランタイムを携えて出荷され、残りはあなたがインストールします。

Claude Code

Anthropic のターミナルエージェントが VM 内でネイティブに動きます。一度認証すれば、依存関係を取得し、テストを走らせ、共有リポジトリをリファクタリングさせられます。

Codex

OpenAI のコーディングエージェントは、他のどの Linux マシンでも同じようにインストールできます — ただしこの Linux マシンは、あなたのホームディレクトリを見られません。

Grok Build

xAI のコーディングエージェントは、他の Linux ツールと同じように VM 内でインストールして動かせます。共有リポジトリに向けるだけ — 本物のトークンや SSH 鍵はホスト側に残り、手の届かないところにあります。

その他なんでも

Aider、OpenHands、社内のカスタムエージェント — Linux で動くなら、Bromure で動きます。VM はただの Linux マシンであり、安全性はそれが置かれている場所から来ます。

仕組み

1. フォルダを選ぶ

VM がマウントできる Mac 上のフォルダを選びます — 通常は作業中のプロジェクトだけ。それがエージェントから見えるファイルシステムのすべてです。

2. VM を起動する

Bromure は Apple Virtualization.framework を使い、数秒で Linux VM を起動します。リモートマシンを開くのと同じように、ターミナルを開いてください。

3. エージェントを動かす

VM 内に Claude Code または Codex をインストールし、共有フォルダに向けます。ホストに一切触れることなく、エージェントに作業させましょう — パッケージのインストール、スクリプトの実行、プロセスの起動。

4. 必要なときにリセット

VM の状態が役に立たなくなったら、捨てるだけ。数秒でやり直せます。コードはホストに、混乱は VM の中に。

コンテナや既存の VM ではダメな理由は？

コンテナや手持ちの VM ではどうなのか？

誰もが何らかのサンドボックスを持っています。Bromure の本質はサンドボックスそのものではなく、その中に「入っていないもの」です。

クレデンシャルブローカーがない

汎用のコンテナを使えるようにしようとすると、結局エージェントから読めるファイルシステムに本物の秘密をマウントする羽目になります。Bromure はこれをひっくり返します。サンドボックスにはスタブだけが入り、プロキシがワイヤ上で本物の秘密に差し替えます。素のコンテナで同じことをするには、信頼モデルそのものを作り直すしかありません。

承認ゲートがない

汎用のサンドボックスは、何かが要求した瞬間にクレデンシャルを解放します。Bromure はすべての機密なクレデンシャルの前に人間によるワンステップ — 名前、宛先、TTL — を差し込みます。だからローカルマルウェアでさえ、あなたが見ていない隙にトークンを抜き取ることができません。

コンテナはあなたのカーネルを共有する

コンテナはホストとカーネルを共有します。悪いパッケージやカーネルバグが一つあれば、境界は消えます。コンテナはワークロードを隔離するために作られたのであって、内部で動かすものから守るためではありません。Bromure のサンドボックスは独自のカーネルを持つ本物の VM — クレデンシャル層が万一頼ることになっても、本物の境界として機能します。

Mac の Docker はすでに VM

Mac の Docker は、すでにコンテナを隠れ Linux VM の中で動かしています — VM のコストはすでに払っているのに、見えていないだけ。Bromure はその中間層を取り除き、Apple の Virtualization.framework を直接使います：1 つのサンドボックス、見える、あなたのもの。

どんなコンテナや VM でもエージェントを収容できます。エージェントが手に持たずに済むようクレデンシャルを仲介してくれるのは Bromure だけです。隔離は前提条件、ブローカーこそ差別化要因です。

エージェントに、本物の作業場を。

1 つの VM。完全な隔離。何でもインストール可能。Bromure Agentic Coding は無料でオープンソースです。