公開日 · 著者 Bromure チーム
Bromure Agentic Coding 2.4.0 — エージェントが読み込むファイルの中のプロンプトインジェクションを捕らえる
Bromure Agentic Coding 2.4.0 は第4の柱を加えます — オンデバイスのプロンプトインジェクション検知です。汚染された README、取得したページの一行、ツールの出力に含まれる文字列、あるいは CLAUDE.md に隠された指示が、気づかれないうちにエージェントに何をすべきかを伝えうる — ファイルを漏らせ、チェックを弱めろ、スクリプトを実行しろ、と。2.4.0 は、モデルへ流れる信頼できないコンテンツと、エージェントが信頼するルールファイルをスキャンし、リクエストがモデルに届く前に、ログ・確認・ブロックのいずれかを行えます。すべてはあなたの Mac 上で動き、何も外に出ません。
本物の認証情報をサンドボックスの外に置いておけば、汚染されたパッケージがそれを
盗むのを防げます。しかし、盗まれたトークンをまったく必要としない攻撃があります —
ただ エージェントに何をすべきかを伝える だけです。ソースファイルのコメント、
取得した Web ページの一行、ツールの出力に含まれる文字列、あるいは CLAUDE.md に
埋め込まれた指示が、あなたが一度も頼んでいないことへとモデルを誘導しうる —
そしてモデルはそれを指示として読み取り、従ってしまいます。2.4.0 は、その隙間を
塞ぐ第4の柱を加えます。そしてそれは、すべてあなたの Mac 上で動きます。
新機能
- プロンプトインジェクション検知 — 2 つの検知器を、ワンクリックで。 ログ/確認/
ブロックのアクションを備えた、新しい "Prompt Injection" プロファイルカテゴリ。何も
Mac の外には出ません — 検知はオンデバイスで動きます。
- 信頼できないコンテンツの中のインジェクション。 ローカルの PromptGuard
(DeBERTa) 分類器が、エージェントが取り込む
tool_resultのスパンを — ファイルの 読み込み、Web の取得、ツールの出力を — スコアリングします。README、コードコメント、 API レスポンスに紛れ込まされた指示は、モデルがそれに従って動く前に捕らえられます。 - ルールファイルの中の不正な指示。 エージェントが権威として扱う
CLAUDE.md、AGENTS.md、GROK.mdの各ファイルは、決定論的なパス(不可視 Unicode、双方向テキスト のトリック、「以前の指示を無視せよ」式のメタ指示)と、キーワードフィルタが見逃す 冷静な言い回しの悪用を捕らえる、ファインチューニング済みの ModernBERT 分類器の両方で スキャンされます。Claude Code、Codex、Grok Build に対応します。
- 信頼できないコンテンツの中のインジェクション。 ローカルの PromptGuard
(DeBERTa) 分類器が、エージェントが取り込む
- ログ・確認・ブロック — 牙の鋭さはあなたが選ぶ。 ログ は Security Log (改名された Supply Chain Log — いまや不正な入力も記録します)に、レイテンシを一切 追加せずに記録します。確認 はリクエストを一時停止し、フラグの立ったテキストを あなたに示して、許可するか拒否するかを問います。ブロック は、モデルがコンテンツを 見る前にリクエストを失敗させます。ポリシーはプロファイルごとで、ライブで適用されます — 動作中の VM で切り替えれば、次のエージェント呼び出しに反映され、再起動は不要です。
- 管理対象インストールにはフリート全体の可視性を。 管理対象インストールでは、
すべての検知が
prompt_injectionイベントとして Bromure コンソールに転送されます — ソース、スニペット、そしてそれがログされたか、フラグが立てられたか、ブロックされたかも — これによりセキュリティ担当は、それが起きたラップトップだけでなく、フリート全体に わたるインジェクションの試みを把握できます。
改善
- ホストディスクの空きがないなら、そう言う。 ベースイメージのビルド、モデルの ダウンロード、VM の起動は、空き容量をプリフライトチェックし、明確でローカライズされた 「空き容量を確保して再試行してください」を表示します — ディスクが満杯のときにかつて 起きていた、紛らわしい 30 分のインストーラータイムアウトの代わりに。
- VM タイトルバーの設定歯車。 動作中の VM 自身のプロファイルを、そのウィンドウから 直接開けます。ホスト側の設定はライブで適用されます。
- Trace Inspector が箱を開けてすぐに何かを表示する。 新しいプロファイルは デフォルトで AI 詳細トレースを有効にし、よく知られたモデルホスト(Anthropic、OpenAI、 Google、Cohere…)についてリクエストとレスポンスのボディをキャプチャします。ボディは 保存時に封印され、AI 以外のトラフィックはメタデータのみのままです。
修正
- VM が勝手に電源を落とさなくなりました。 遅いコールドブートや古いタブイベントが、 あなたが最後のターミナルを閉じたものと誤って解釈され、起動した数瞬後に VM を シャットダウンしてしまうことがありました。ホストは、生存を確認できたタブに対してのみ 動作するようになりました。本物の最後のタブを閉じた場合は、これまでどおり シャットダウンします。
- VPN の背後でも信頼できるネットワーキング。 VM のデフォルトネットワーク MTU を
1400 から 1280 に下げ、大きな TLS ハンドシェイクや
npmの tarball チャンクが、 上限の低い企業経路 — DMVPN、Cisco AnyConnect、6-in-4 トンネル — でブラックホール化 しなくなりました。ホストごとにdefaults write io.bromure.agentic-coding vm.mtu -int <value>で上書きできます。
Bromure Agentic Coding は無料かつオープンソースです。2.4.0 は ダウンロードページ から入手できます。詳しくは Agentic Coding ページ → をご覧ください。