Análises aprofundadas sobre segurança de navegador, isolamento e as ideias por trás do Bromure.
O Bromure roda dois classificadores no dispositivo sobre tudo o que o seu agente de programação lê. A injeção de prompt na saída de ferramentas e nas buscas web fica a cargo do Llama Prompt Guard 2, da Meta. Um CLAUDE.md hostil exige um modelo totalmente diferente — a detecção de injeção dispara em cada linha de um arquivo que foi feito para ser só instruções — então fizemos o ajuste fino do ModernBERT para classificar dano em vez disso. Esta é a pipeline completa: colheita de um corpus benigno, síntese de exemplos maliciosos, janelamento no nível de cláusula, o loop de treinamento e a exportação para ONNX, com detalhe suficiente para reproduzir.
Uma sandbox pede ao programador que abdique da velocidade que torna um agente de codificação digno de ser usado — pré-aprovar cada dependência, manter uma lista de domínios permitidos, nunca tocar num pacote que a organização não tenha avaliado. Por isso os programadores desligam-na. O Bromure Agentic Coding recusa essa troca. Não restringe o que o agente faz; traça uma única linha rígida no hypervisor e deixa-o fazer tudo do lado de dentro. Esta é a defesa fundacional de por que uma fronteira vence uma sandbox, e as três garantias que a fronteira torna verdadeiras: nenhuma credencial para roubar, tokens amplos estreitados no fio, e ataques à cadeia de fornecimento travados antes de o tarball aterrar — mais a quarta que a linha agora torna verdadeira: injeções de prompt apanhadas no conteúdo que o agente lê, antes de o modelo lhes obedecer.
Entre 5 e 6 de junho de 2026, o worm Miasma empurrou código de roubo de credenciais para 73 repositórios em quatro das próprias organizações GitHub da Microsoft — Azure, Azure-Samples, microsoft, MicrosoftDocs — incluindo Azure/functions-action, a Action oficial de deploy, e durabletask, um repositório que já havia sido limpo uma vez em maio. Desta vez o payload não esperou por um npm install. Ele disparou no instante em que um desenvolvedor abriu o repositório no Claude Code, Cursor, Gemini CLI ou VS Code. Eis por que o sinal de confiança — «é um repositório da Microsoft» — foi de novo a superfície de ataque, e o que muda quando o agente que o abre vive em uma VM Bromure por perfil, atrás de um intermediário de credenciais, de um guardrail de leitura/escrita e de um cooldown de pacotes.
No final de abril, um agente do Cursor a correr o Claude Opus 4.6 foi enviado para resolver um problema de staging num pequeno SaaS chamado PocketOS. Presumiu que apagar um volume do Railway ficaria limitado a staging, não verificou, e aniquilou a base de dados de produção e os seus backups em nove segundos. Disse depois que devia ter perguntado primeiro. O Bromure Agentic Coding 2.2 traz uma salvaguarda que tira o «devia ter perguntado» das mãos do agente.
Um zero-day no github.dev permitiu que um painel de pré-visualização malicioso saísse do seu sandbox, instalasse silenciosamente uma extensão e lesse um token OAuth do GitHub com acesso a cada repositório privado que a vítima conseguisse tocar. A correção é honesta quanto aos seus limites — a jogada mais afiada é nunca levar o seu token ao repositório de um estranho, para começar.
Entre o fim de maio e 1 de junho de 2026, um worm chamado Miasma empurrou código de roubo de credenciais para 32 pacotes sob o escopo npm @redhat-cloud-services — o namespace da própria Red Hat, ~117.000 downloads semanais, assinado pelo pipeline de publicação real da Red Hat. Não havia typosquat a pegar nem mantenedor desconhecido a sinalizar. O sinal de confiança era o nome do fornecedor no escopo, e o nome do fornecedor é exatamente aquilo em que o atacante entrou montado. Eis por que «prefira publicadores reputados» deixou de ser uma defesa, e o que muda quando o agente que roda a instalação vive em uma VM Bromure por perfil.
Uma nova campanha aluga a confiança de um domínio em que você já acredita. Um anúncio do Google envia você a um link de compartilhamento real do chatgpt.com, o link de compartilhamento mostra um aviso falso de indisponibilidade, e o aviso entrega malware. Eis como a confiança é tomada emprestada — e por que o empréstimo deixa de importar quando tudo acontece dentro de uma VM que você descarta.
O Google republicou acidentalmente na semana passada um bug do Chromium de quatro anos atrás — um service worker que continua executando JavaScript depois que o navegador fecha, em todo grande navegador Chromium, ainda sem correção. A prova de conceito já está circulando. A pergunta interessante não é como funciona. É o que “persistência” significa em um navegador cuja máquina subjacente inteira deixa de existir quando você fecha a aba.
Em 18 de maio de 2026, a Lasso Security divulgou dois ataques contra o NemoClaw da Nvidia — o sandbox que executa o agente de codificação autônomo OpenClaw. O sandbox funcionou exatamente como a Nvidia disse que funcionaria. O agente dentro do sandbox ainda assim empurrou o token GitHub do usuário para um pull request controlado pelo atacante, codificado como emoji para escapar do scanner estático de segredos do GitHub. A pergunta interessante não é se o sandbox está quebrado. É se um sandbox com um arquivo de credenciais em texto claro dentro dele algum dia foi um sandbox no sentido arquiteturalmente útil, e o que a resposta implica para todo mundo embarcando um agente de codificação em 2026.
Em algum momento da semana de 11 de maio de 2026, as pessoas por trás do Shai-Hulud — o verme autorreplicante de cadeia de suprimentos do npm que vem devorando contas de mantenedores desde setembro de 2025 — vazaram o próprio código-fonte. No fim de semana, a OX Security havia encontrado quatro pacotes npm de typosquat sob uma única conta, sendo um deles uma cópia quase literal do verme vazado, outro um bot de DDoS em Golang, e os outros dois infostealers simples enviando chaves SSH e carteiras de cripto para C2s de quinta categoria. O piso para bifurcar ataques de cadeia de suprimentos acaba de cair muito, e as pessoas com maior probabilidade de instalar um desses pacotes já não são humanas.
A Uber queimou todo o orçamento de codificação com IA de 2026 já em abril. O CTO voltou à prancheta — não porque as ferramentas fossem ruins, mas porque ninguém conseguia ligar um único dólar de gasto em tokens a uma única mudança entregue. Os agentes estão ótimos. O problema é a camada de visibilidade. Eis como isso parece e o que muda quando cada sessão de agente é um registro estruturado em vez de uma parede de scrollback.
Em 11 de maio de 2026, um worm do npm chamado Mini Shai-Hulud adicionou uma linha optionalDependencies a 42 pacotes no namespace @tanstack. Instalar qualquer um deles executou um script Bun que capturou um token OIDC do ambiente GitHub Actions, usou-o para publicar mais versões comprometidas com proveniência SLSA válida, copiou-se em .claude/ para a próxima vez que o agente de codificação iniciasse, e exfiltrou tudo de ~/.aws até sua carteira crypto. Os pacotes estavam assinados. A atestação era válida. Aqui está como a cadeia se parece, e o que muda quando o agente que executou a instalação vive dentro de uma VM Bromure por tarefa.
A 11 de maio de 2026, a Apple lançou o macOS Tahoe 26.5, com cerca de setenta correções de segurança, das quais dez no WebKit. Percorremos a lista do WebKit, uma classe de CVE de cada vez, e fazemos a única pergunta que interessa em 2026 — até onde chega de facto esta falha, numa máquina com o Bromure?
No dia 22 de abril, alguém subiu um pacote npm malicioso chamado @bitwarden/[email protected] — um typosquat que varreu chaves SSH, credenciais AWS/Azure/GCP, tokens do GitHub, tokens de publicação npm e kubeconfigs de qualquer máquina que o executasse. Aquilo de que o pacote foi feito para se alimentar é exatamente o que os agentes de programação modernos fazem sem pensar: instalar o que quer que o npm devolva. Eis o aspecto dessa cadeia, e o que muda quando o agente roda dentro de uma VM Bromure em vez de no seu laptop.
Uma nova gangue de extorsão chamada BlackFile vem ligando para funcionários do varejo e da hospitalidade, fingindo ser o IT, levando-os a digitar credenciais e OTPs em uma página falsa de login corporativo, e depois registrando o próprio dispositivo MFA na conta real. A ligação telefônica não é afetada por nada que um navegador faça. A página em que o usuário digita, é.
A violação da Vercel divulgada nesta semana começou com um funcionário da Context.ai baixando exploits do Roblox em um PC pessoal e terminou com um atacante lendo as variáveis de ambiente de clientes da Vercel. O Bromure Enterprise, lançado nesta semana, foi feito exatamente para essa cadeia.
O relatório de resposta a incidentes do primeiro trimestre de 2026 da Cisco Talos coloca o phishing de volta no topo como vetor de acesso inicial e, dentro dele, documenta o primeiro caso que a Talos atribui a um construtor de IA de "vibe-coding" — um clone do Outlook Web Access erguido num subdomínio `*.softr.app`, exfiltrando credenciais para uma planilha descartável do Google Sheets. A reputação de URL não consegue enxergar este ataque chegando. A resposta certa está mais embaixo na pilha.
Uma versão inicial do Claude Mythos ajudou a Mozilla a encontrar 271 bugs de segurança em uma única versão do Firefox. A reação certa não é pânico nem celebração — é uma recalibragem discreta do que ainda temos que supor sobre cada navegador que publicamos, usamos ou sobre o qual construímos.
Um CAPTCHA falso escreve uma linha de PowerShell na área de transferência. O usuário pressiona Win+R e cola. Sem escape de sandbox, sem zero-day, sem binário assinado necessário — o humano é o exploit. Eis o que entregamos hoje contra isso, onde ainda estão as lacunas e o que a Apple acertou e errou no macOS 26.4.
A Microsoft documentou uma cadeia de ransomware em nove etapas que começa com uma mensagem externa no Teams a fazer-se passar pelo helpdesk e termina com o Rclone a exfiltrar silenciosamente a partilha de rede. Oito dessas nove etapas precisam do sistema operativo anfitrião. Nenhuma delas consegue correr contra um separador.
Um único operador publicou 108 extensões maliciosas na Chrome Web Store sob cinco editoras falsas, acumulou cerca de 20 000 instalações e encaminhou tudo para um único servidor de comando e controlo. O modelo de revisão não detetou. Aqui está porque é que um navegador focado em segurança tem de assumir uma posição mais dura.
Um passo a passo do antiphishing do Bromure — a varredura local, o modelo, o veredicto e por que seus pais, seus avós e o vizinho do corredor são exatamente as pessoas para quem o construímos.
O LinkedIn sonda silenciosamente mais de 6.000 extensões de navegador, coleta 48 atributos de dispositivo e puxa seu IP de LAN via WebRTC a cada visita. A correção não é uma configuração de privacidade — é um formato diferente de navegador.
A web é hostil, os conselhos de segurança estão falhando e a IA mudou as regras. Veja por que criamos um navegador que tira esse peso dos seus ombros.
Apple e Google gastam hoje dezenas de milhões de dólares por ano para encontrar e corrigir bugs de navegador. Ainda assim, há de oito a dez zero-days de navegador ativamente explorados todos os anos. Este post explica por que essa conta não muda, como o Claude Mythos e a "Vulnpocalypse" estão prestes a piorar as coisas, e por que um navegador feito para assumir que será invadido é um produto de outra natureza.
A maioria dos bloqueadores de anúncios são extensões de navegador, e a maioria das extensões de navegador roda dentro do mesmo processo que a página da qual estão tentando te proteger. O Bromure faz diferente. Veja como, e por que isso importa.
A maioria dos ransomwares não começa com um zero-day. Começa com uma aba do navegador. Veja como a cadeia de ataque realmente funciona em 2026 — e o que acontece quando ela cai num navegador que foi feito para absorver o impacto.
O que uma VPN realmente faz, o que ela não faz, por que rodar uma por perfil dentro do Bromure muda a conversa sobre anonimato e um passeio por como o Cloudflare WARP funciona por baixo dos panos.