Blog
Análises aprofundadas sobre segurança de navegador, isolamento e as ideias por trás do Bromure.
O seu agente de programação instalou o Bitwarden falso
No dia 22 de abril, alguém subiu um pacote npm malicioso chamado @bitwarden/[email protected] — um typosquat que varreu chaves SSH, credenciais AWS/Azure/GCP, tokens do GitHub, tokens de publicação npm e kubeconfigs de qualquer máquina que o executasse. Aquilo de que o pacote foi feito para se alimentar é exatamente o que os agentes de programação modernos fazem sem pensar: instalar o que quer que o npm devolva. Eis o aspecto dessa cadeia, e o que muda quando o agente roda dentro de uma VM Bromure em vez de no seu laptop.
A ligação vinha de dentro do helpdesk
Uma nova gangue de extorsão chamada BlackFile vem ligando para funcionários do varejo e da hospitalidade, fingindo ser o IT, levando-os a digitar credenciais e OTPs em uma página falsa de login corporativo, e depois registrando o próprio dispositivo MFA na conta real. A ligação telefônica não é afetada por nada que um navegador faça. A página em que o usuário digita, é.
Uma trapaça no Roblox, uma autorização OAuth e um vazamento de US$ 2M na Vercel
A violação da Vercel divulgada nesta semana começou com um funcionário da Context.ai baixando exploits do Roblox em um PC pessoal e terminou com um atacante lendo as variáveis de ambiente de clientes da Vercel. O Bromure Enterprise, lançado nesta semana, foi feito exatamente para essa cadeia.
A página de phishing que se construiu sozinha
O relatório de resposta a incidentes do primeiro trimestre de 2026 da Cisco Talos coloca o phishing de volta no topo como vetor de acesso inicial e, dentro dele, documenta o primeiro caso que a Talos atribui a um construtor de IA de "vibe-coding" — um clone do Outlook Web Access erguido num subdomínio `*.softr.app`, exfiltrando credenciais para uma planilha descartável do Google Sheets. A reputação de URL não consegue enxergar este ataque chegando. A resposta certa está mais embaixo na pilha.
Assumir que o renderer cai — o que os 271 bugs encontrados por IA da Mozilla significam para a segurança do navegador
Uma versão inicial do Claude Mythos ajudou a Mozilla a encontrar 271 bugs de segurança em uma única versão do Firefox. A reação certa não é pânico nem celebração — é uma recalibragem discreta do que ainda temos que supor sobre cada navegador que publicamos, usamos ou sobre o qual construímos.
A área de transferência é o exploit — onde o ClickFix deixa todo defensor
Um CAPTCHA falso escreve uma linha de PowerShell na área de transferência. O usuário pressiona Win+R e cola. Sem escape de sandbox, sem zero-day, sem binário assinado necessário — o humano é o exploit. Eis o que entregamos hoje contra isso, onde ainda estão as lacunas e o que a Apple acertou e errou no macOS 26.4.
O ataque de nove etapas que morre na primeira
A Microsoft documentou uma cadeia de ransomware em nove etapas que começa com uma mensagem externa no Teams a fazer-se passar pelo helpdesk e termina com o Rclone a exfiltrar silenciosamente a partilha de rede. Oito dessas nove etapas precisam do sistema operativo anfitrião. Nenhuma delas consegue correr contra um separador.
Quando a loja é a ameaça — 108 extensões maliciosas do Chrome, um C2, 20 000 instalações
Um único operador publicou 108 extensões maliciosas na Chrome Web Store sob cinco editoras falsas, acumulou cerca de 20 000 instalações e encaminhou tudo para um único servidor de comando e controlo. O modelo de revisão não detetou. Aqui está porque é que um navegador focado em segurança tem de assumir uma posição mais dura.
Como o Bromure detém o phishing antes que ele chegue aos seus pais
Um passo a passo do antiphishing do Bromure — a varredura local, o modelo, o veredicto e por que seus pais, seus avós e o vizinho do corredor são exatamente as pessoas para quem o construímos.
O BrowserGate do LinkedIn, e por que uma única identidade de navegador não basta mais
O LinkedIn sonda silenciosamente mais de 6.000 extensões de navegador, coleta 48 atributos de dispositivo e puxa seu IP de LAN via WebRTC a cada visita. A correção não é uma configuração de privacidade — é um formato diferente de navegador.
Confiança por design — a filosofia por trás do Bromure
A web é hostil, os conselhos de segurança estão falhando e a IA mudou as regras. Veja por que criamos um navegador que tira esse peso dos seus ombros.
Por que os zero-days de navegador não vão embora, e o que o Bromure faz a respeito
Apple e Google gastam hoje dezenas de milhões de dólares por ano para encontrar e corrigir bugs de navegador. Ainda assim, há de oito a dez zero-days de navegador ativamente explorados todos os anos. Este post explica por que essa conta não muda, como o Claude Mythos e a "Vulnpocalypse" estão prestes a piorar as coisas, e por que um navegador feito para assumir que será invadido é um produto de outra natureza.
Como o Bromure bloqueia anúncios antes que a página os veja
A maioria dos bloqueadores de anúncios são extensões de navegador, e a maioria das extensões de navegador roda dentro do mesmo processo que a página da qual estão tentando te proteger. O Bromure faz diferente. Veja como, e por que isso importa.
Como o ransomware moderno entra — e como o Bromure fecha a porta
A maioria dos ransomwares não começa com um zero-day. Começa com uma aba do navegador. Veja como a cadeia de ataque realmente funciona em 2026 — e o que acontece quando ela cai num navegador que foi feito para absorver o impacto.
Rodando uma VPN dentro do Bromure — e um guia em linguagem simples sobre o Cloudflare WARP
O que uma VPN realmente faz, o que ela não faz, por que rodar uma por perfil dentro do Bromure muda a conversa sobre anonimato e um passeio por como o Cloudflare WARP funciona por baixo dos panos.