ブラウザーのセキュリティ、分離、そしてBromureの背景にある考え方を詳しく解説します。
Bromure は、コーディングエージェントが読むすべてのものに対して、2 つのオンデバイス分類器を走らせます。ツール出力や Web 取得に含まれるプロンプトインジェクションは Meta の Llama Prompt Guard 2 が扱います。不正な CLAUDE.md にはまったく別のモデルが必要です ―― すべてが指示であることを意図したファイルでは、インジェクション検知はあらゆる行に発火してしまうからです ―― そこで私たちは、代わりに有害性を分類するよう ModernBERT をファインチューニングしました。本記事はそのパイプラインの全容です:良性コーパスの収穫、悪意ある例の合成、条項レベルのウィンドウ分割、訓練ループ、そして ONNX エクスポートまで、再現できるだけの詳しさで。
サンドボックスは、コーディングエージェントを動かす価値そのものである速さを、開発者に手放すよう求めます — すべての依存関係を事前に承認し、ドメインの許可リストを保守し、組織が精査していないパッケージには決して触れない。だから開発者はそれをオフにします。Bromure Agentic Coding はその取引を拒みます。エージェントが何をするかを制約するのではなく、ハイパーバイザーに一本の硬い線を引き、その内側では何でもできるようにします。これは、なぜ境界がサンドボックスに勝るのかという基礎となる主張であり、その境界が真実にする3つの保証 — 盗む認証情報がない、広いトークンをワイヤで絞る、サプライチェーン攻撃をtarballが着地する前に止める — についての話です。そして、線がいまや真実にする4つ目についても — エージェントが読むコンテンツの中のプロンプトインジェクションを、モデルがそれに従う前に捕らえるのです。
2026年6月5日から6日にかけて、Miasmaワームが、Microsoft自身の4つのGitHub組織 — Azure、Azure-Samples、microsoft、MicrosoftDocs — にまたがる73のリポジトリに認証情報窃取コードをプッシュしました。その中には公式デプロイActionである`Azure/functions-action`や、5月に一度浄化済みだった`durabletask`も含まれていました。今回、ペイロードは`npm install`を待ちませんでした。開発者がClaude Code、Cursor、Gemini CLI、またはVS Codeでリポジトリを開いた瞬間に発火したのです。なぜ信頼シグナル — 「Microsoftのリポジトリだから」 — が再び攻撃面だったのか、そしてそれを開くエージェントが、プロファイルごとのBromure VM内で、認証情報ブローカー、読み書きguardrail、パッケージクールダウンの背後に住むとき何が変わるのかを示します。
4月下旬、Claude Opus 4.6で動くCursorのエージェントが、PocketOSという小さなSaaSのステージングの問題を直すために送り込まれました。Railwayのボリュームを削除すればステージングだけに収まるはずだと推測し、検証せず、本番データベースとそのバックアップを9秒で消し去りました。後にエージェントは、まず確認すべきだったと述べました。Bromure Agentic Coding 2.2は、その「確認すべきだった」をエージェントの手から取り上げるガードレールを出荷します。
github.devのゼロデイにより、悪意のあるプレビューペインがサンドボックスの外に手を伸ばし、こっそり拡張機能をインストールし、被害者がアクセスできるすべてのプライベートリポジトリに到達できるGitHub OAuthトークンを読み取れました。その修正は限界について正直です — より鋭い一手は、そもそも見知らぬ者のリポジトリに自分のトークンを持ち込まないことです。
2026年5月下旬から6月1日にかけて、Miasmaと呼ばれるワームが、`@redhat-cloud-services` npmスコープ — Red Hat自身のネームスペース、週間ダウンロード数約117,000、Red Hatの本物の公開パイプラインによる署名付き — の32のパッケージに認証情報窃取コードを注入しました。捕まえるべきタイポスクワットも、フラグを立てるべき未知のメンテナーもありませんでした。信頼シグナルはスコープに記されたベンダー名であり、そしてそのベンダー名こそが攻撃者が乗り込んできたまさにそのものでした。なぜ「評判の良い公開者を選ぶ」が防御でなくなったのか、そしてインストールを実行するエージェントがプロファイルごとのBromure VM内に住むとき何が変わるのかを示します。
新たなキャンペーンが、あなたがすでに信じているドメインの信頼を借り受けます。Googleの広告が本物のchatgpt.com共有リンクへ誘導し、その共有リンクが偽の障害通知を表示し、その通知がマルウェアを手渡す。信頼がどのように借り受けられるのか——そして、すべてが使い捨てのVMの中で起きるとき、その借り受けがなぜ意味を失うのかを示します。
Googleは先週、四年前のChromiumのバグを誤って再公開しました——ブラウザを閉じてもJavaScriptを走らせ続けるサービス・ワーカー、主要なChromium系ブラウザのすべてに存在し、いまだ未修正です。概念実証はすでに野に放たれています。興味深いのは、それがどう動くか、ではありません。タブを閉じれば下に横たわる機械そのものが消えてしまうブラウザにとって、「永続化」とは何を意味するのか、です。
2026年5月18日、Lasso SecurityはNvidiaのNemoClaw — 自律型コーディングエージェントOpenClawを実行するサンドボックス — に対する2つの攻撃を開示しました。サンドボックスはNvidiaが言った通りに動作していました。サンドボックス内のエージェントは依然として、GitHubの静的シークレットスキャナーをすり抜けるために絵文字としてエンコードされた、ユーザーのGitHubトークンを攻撃者制御のプルリクエストにプッシュしました。興味深い質問は、サンドボックスが壊れているかどうかではありません。プレーンテキストの認証情報ファイルが内部にあるサンドボックスが、アーキテクチャ的に有用な意味でそもそもサンドボックスだったのかどうか、そしてその答えが2026年にコーディングエージェントを出荷する全ての人にとって何を意味するかです。
2026年5月11日週のどこかで、2025年9月以来メンテナアカウントを食い荒らし続けてきた自己複製型npmサプライチェーンワーム Shai-Hulud の背後にいる人物たちが、自らのソースコードをリークさせた。週末までに、OX Security は単一アカウント下にある4つのタイポスクワット npm パッケージを発見した。1つはリークされたワームのほぼそのままのコピー、もう1つは Golang 製の DDoS ボット、残り2つは SSH 鍵や暗号通貨ウォレットを格安の C2 へ送りつけるだけの単純なインフォスティーラーだった。サプライチェーン攻撃のフォークの敷居が一気に下がり、いまやこれらのパッケージをインストールする可能性が最も高いのは、もはや人間ではない。
Uber は 2026 年通年の AI コーディング予算を 4 月で燃やし尽くしました。CTO は振り出しに戻りました — ツールが悪かったからではなく、トークン支出の 1 ドルすら、実際に出荷された変更と結びつけることができなかったからです。エージェントは問題ありません。問題は可視性のレイヤーです。本稿では、それがどんな姿をしていて、エージェントの各セッションがスクロールバックの壁ではなく構造化された記録になると何が変わるのかを示します。
2026年5月11日、Mini Shai-Huludと呼ばれるnpmワームが@tanstackネームスペース内の42のパッケージにoptionalDependencies行を追加しました。それらのうちどれかをインストールすると、GitHub Actions環境からOIDCトークンを取得し、有効なSLSAプロベナンス付きでより多くの侵害されたバージョンを公開し、次回コーディングエージェントが起動する際のために.claude/に自身をコピーし、~/.awsからあなたの暗号通貨ウォレットまで全てをデータ流出させるBunスクリプトが実行されました。パッケージは署名されていました。証明は有効でした。ここではその連鎖がどのようなものか、そしてインストールを実行したエージェントがBromure per-task VM内で動作している場合何が変わるかを示します。
Appleは2026年5月11日にmacOS Tahoe 26.5をリリースし、約70件のセキュリティ修正のうち10件がWebKitの脆弱性でした。CVEクラスごとに一つずつWebKitのリストをたどりながら、2026年において本当に重要なただ一つの問い — Bromureが動いているマシンで、このバグは実際にどこまで届くのか — を考えます。
4 月 22 日、誰かが @bitwarden/[email protected] という名前の悪意ある npm パッケージをアップロードしました。これはタイポスクワットで、実行したマシンから SSH 鍵、AWS/Azure/GCP のクレデンシャル、GitHub トークン、npm 公開トークン、kubeconfig を一掃します。このパッケージが餌にしようとしているのは、まさに今どきのコーディングエージェントが何も考えずにやっていること――npm が返してきたものを片っ端からインストールすることです。本記事では、その攻撃チェーンの姿と、エージェントをラップトップではなく Bromure の VM の中で動かしたときに何が変わるかを示します。
BlackFileと呼ばれる新たな恐喝集団が、小売やホスピタリティ業界の従業員に電話をかけ、ITを名乗り、企業のものに見える偽のログインページに認証情報とワンタイムコードを入力させ、その後、本物のアカウントに自分たちのMFAデバイスを登録しています。電話そのものは、ブラウザに何ができようと影響を受けません。利用者が入力するページのほうは、別です。
今週公表された Vercel の侵害は、Context.ai の従業員が私物 PC に Roblox のエクスプロイトをダウンロードしたことに始まり、攻撃者が Vercel の顧客の環境変数を読み取るに至りました。今週出荷した Bromure Enterprise は、まさにこの連鎖のために作られています。
Cisco TalosのQ1 2026 IRレポートは、初期侵入経路としてフィッシングが再び首位に戻ったことを示しており、そのなかで、AI「バイブコーディング」ビルダーに起因するとTalosが帰属させた初の事例 — `*.softr.app`サブドメイン上に立ち上げられたOutlook Web Accessのクローンが、使い捨てのGoogleスプレッドシートへ資格情報を流出させていた事例 — を記録しています。URLレピュテーションでは、これを先読みできません。正しい答えは、スタックの下側にあります。
Claude Mythosの初期バージョンが、Mozillaが単一のFirefoxリリースで271個のセキュリティバグを見つけるのに役立ちました。正しい反応はパニックでも祝福でもありません。自分たちが出荷する、使う、あるいはその上に構築するすべてのブラウザについて、今なお何を前提とすべきかを、静かに再調整することです。
偽のCAPTCHAがPowerShellのワンライナーをクリップボードに書き込みます。ユーザーはWin+Rを押して貼り付ける。サンドボックス脱出もゼロデイも署名付きバイナリも不要——人間こそがエクスプロイトです。これに対して私たちが今日出荷しているもの、まだ残る隙間、そしてmacOS 26.4でAppleが正しくやったこと、間違えたことを示します。
Microsoftは、ヘルプデスクを装った外部からのTeamsメッセージに始まり、Rcloneがネットワーク共有を静かに持ち出して終わる、九段階のランサムウェア攻撃チェーンを記録しました。そのうち八段階は、ホストのオペレーティング・システムを必要とします。タブを相手にして動くものは、一つもありません。
たった一人のオペレーターが、5つの偽のパブリッシャー名義でChrome Web Storeに108本の悪意ある拡張機能を送り込み、およそ2万件のインストールを集め、それらすべてを1台のコマンド・アンド・コントロール・サーバーへと中継しました。レビュー体制はこれを見抜けませんでした。セキュリティ優先のブラウザがもっと強い立場を取らなくてはならない理由は、ここにあります。
Bromureのアンチフィッシングを順を追って詳しく解説します — ローカルスイープ、モデル、判定、そしてご両親、祖父母、廊下の向かいに住むお隣さんのためにこそ、私たちがこれを作った理由。
LinkedInは、訪問のたびに6000以上のブラウザ拡張機能を静かに探り、48個のデバイス属性を収集し、WebRTC経由であなたのLAN IPを抜き取っています。その解決策はプライバシー設定ではなく、別の形をしたブラウザです。
ウェブは敵意に満ちており、セキュリティ上の助言は機能せず、AIがルールそのものを変えてしまいました。利用者の肩の荷を下ろすブラウザを私たちが作った理由をお話しします。
AppleとGoogleは今や、ブラウザのバグを見つけて修正するために年間数千万ドルを投じています。それでも、活発に悪用されているブラウザのゼロデイは毎年8件から10件も発生しています。本記事では、なぜこの構図が変わらないのか、Claude Mythosと「Vulnpocalypse」がなぜそれをさらに悪化させようとしているのか、そして「侵害されることを前提に設計されたブラウザ」がなぜ別種のプロダクトなのかを論じます。
ほとんどの広告ブロッカーはブラウザ拡張機能であり、そしてほとんどのブラウザ拡張機能は、守ろうとしているページと同じプロセスの中で動いています。Bromureはそれを違うやり方でこなします。その方法と、なぜそれが重要なのかをお話しします。
ほとんどのランサムウェアはゼロデイから始まりません。始まりは一つのブラウザタブです。2026年における攻撃チェーンが実際にどう動くのか、そして最初から打撃を吸収するために作られたブラウザに着地すると何が起きるのかをお話しします。
VPNが実際に何をするのか、何をしないのか、Bromureのプロファイルごとに動かすと匿名性の物語がどう変わるのか、そしてCloudflare WARPが内部でどう働いているのかを巡ります。