Bromure Agentic Coding — Referência de Configurações de Perfil
Cada perfil no Bromure Agentic Coding possui sua própria configuração independente em onze painéis, acessados clicando no ícone de engrenagem ao lado de um perfil no seletor.
Geral
Identidade básica e comportamento do perfil.
| Configuração | Descrição |
|---|---|
| Nome | O nome de exibição mostrado na lista de perfis. |
| Cor | Um ponto colorido desenhado ao lado do perfil no seletor para distinguir visualmente os perfis. Opções: Azul, Vermelho, Verde, Laranja, Roxo, Rosa, Azul-petróleo, Cinza. |
| Layout do teclado | O layout de teclado usado dentro da VM. "Auto (match macOS)" espelha dinamicamente a fonte de entrada ativa no host, com atualizações em tempo real quando você troca. Selecione qualquer outro layout para fixar a VM em um layout XKB específico, independentemente do estado do macOS. |
| Atraso de repetição de tecla | Tempo em milissegundos antes que uma tecla mantida pressionada comece a repetir dentro da VM. Por padrão usa o valor do seu macOS; altere-o para sobrescrever a cadência de repetição de tecla do X11 independentemente do host. |
| Taxa de repetição de tecla | Frequência de repetição em Hz após o atraso ter decorrido. Por padrão usa o valor do seu macOS. Útil quando o pipeline do X-server faz a digitação parecer mais lenta do que em um app Cocoa — aumentar a taxa para 2× o valor do macOS é uma correção comum. |
| Ao fechar a janela | O que acontece com a VM quando você fecha uma janela de sessão: Suspender (salva a RAM em disco para retomada instantânea — padrão), Desligar (poweroff ACPI limpo) ou Perguntar (pergunta a cada vez). |
| Notas (opcional) | Uma breve nota sobre o perfil. Mostrada como tooltip quando você passa o mouse sobre o perfil na lista. |
Agente
Escolha quais agentes de codificação estão disponíveis neste perfil e como eles se autenticam. O agente marcado como Primário é iniciado automaticamente na primeira aba do kitty quando uma sessão é aberta; outros agentes habilitados são instalados e autenticados, mas iniciados sob demanda a partir de uma nova aba.
| Configuração | Descrição |
|---|---|
| Claude Code | Ativa ou desativa o agente Claude Code para este perfil. Ative para configurar. |
| Claude Code — Primário | Marca o Claude Code como o agente primário (iniciado automaticamente no início da sessão). Clique em "Primary" em qualquer agente habilitado para promovê-lo. |
| Claude Code — Auth | Método de autenticação para o Claude Code: API token (cole uma ANTHROPIC_API_KEY — injetada como variável de ambiente, nunca gravada diretamente na VM), Subscription (interactive login) (execute claude login uma vez dentro da VM) ou Bedrock (AWS) (use suas credenciais AWS via runtime do Bedrock — requer credenciais AWS configuradas na aba Credenciais). |
| Claude Code — Require approval to use | (Apenas no modo token.) Quando ativado, cada troca falso→real da chave API Anthropic exibe um diálogo de consentimento no host antes de a chave ser encaminhada. Desativado por padrão. |
| Claude Code — Default Model ID | (Apenas no modo Bedrock.) Substitui o ID do modelo Bedrock que o Claude Code usa, ex.: us.anthropic.claude-sonnet-4-6-v1:0. Deixe vazio para usar o padrão integrado do Claude Code. |
| Codex | Ativa ou desativa o agente Codex da OpenAI para este perfil. Ative para configurar a autenticação. |
| Codex — Auth | Método de autenticação para o Codex: API token (cole uma OPENAI_API_KEY) ou Subscription (interactive login) (execute codex login uma vez dentro da VM). |
| Codex — Require approval to use | (Apenas no modo token.) Quando ativado, cada troca falso→real da chave API OpenAI exibe um diálogo de consentimento no host antes de a chave ser encaminhada. Desativado por padrão. |
| Grok Build | Ativa ou desativa o agente Grok Build (xAI) para este perfil. Ative para configurar. |
| Grok Build — Auth | Método de autenticação para o Grok Build: API token (cole uma XAI_API_KEY — injetada como variável de ambiente; o proxy troca a chave falsa xai-brm-… pelo valor real em requisições para api.x.ai, de modo que a chave real nunca entra na VM) ou Subscription (interactive login) (execute grok login uma vez dentro da VM). Bedrock não está disponível para o Grok Build. |
| Grok Build — Require approval to use | (Apenas no modo token.) Quando ativado, cada troca falso→real da chave API xAI exibe um diálogo de consentimento no host antes de a chave ser encaminhada. Desativado por padrão. |
Fusion
Fusion (BETA) responde a cada prompt com vários modelos ao mesmo tempo: um modelo juiz mapeia onde os rascunhos concordam, divergem e cada um se destaca, depois sintetiza uma única melhor resposta que é entregue ao Claude Code como se um único modelo a tivesse escrito. Fusion roda na sessão do Claude Code (funciona interceptando a API do Claude), portanto precisa de pelo menos dois agentes configurados neste perfil. É ativado por sessão pelo botão ⚡ na barra de título da janela de sessão; a configuração abaixo define quais agentes participam e qual modelo julga.
| Configuração | Descrição |
|---|---|
| Agentes a fundir | Os agentes cujos rascunhos são fundidos. Cada agente com uma credencial utilizável (configurada no painel Agentes) recebe uma caixa de seleção; agentes sem credencial aparecem desativados com a indicação "— sem credencial". Pelo menos dois agentes devem estar habilitados com uma credencial para que o Fusion seja utilizável. |
| Juiz — Provedor | O modelo de qual agente configurado atua como juiz que pesa os rascunhos e escreve a resposta final. Padrão: o primeiro agente utilizável. |
| Juiz — Modelo | O modelo específico usado para julgamento, obtido ao vivo para o provedor escolhido. Deixe em (padrão) para deixar o provedor escolher, ou selecione um modelo específico; um modelo personalizado salvo anteriormente permanece selecionável mesmo que não esteja na lista obtida. |
Nota: Fusion é um recurso BETA.
Pastas
Pastas do Mac compartilhadas com a VM. Cada pasta é montada em /home/ubuntu/<basename> (ex.: ~/Documents → ~ubuntu/Documents). Limitado a 8 pastas por perfil.
| Configuração | Descrição |
|---|---|
| Lista de pastas | Os caminhos do host atualmente compartilhados com a VM. Cada linha mostra o nome da pasta e seu caminho completo no seu Mac. Clique no botão de menos para remover um compartilhamento. |
| Adicionar pasta… | Abre um seletor de arquivos para escolher um ou mais diretórios para compartilhar. Fica acinzentado quando 8 pastas já estão configuradas. |
Credenciais
Segredos e identidades injetados na VM no início da sessão. Todos os valores reais permanecem no host; o proxy MITM os substitui por placeholders falsos no tráfego, de modo que os segredos nunca entram no espaço de endereçamento da VM.
| Configuração | Descrição |
|---|---|
| Identidade Git — Nome | Gravado em user.name no ~/.gitconfig dentro da VM. Deixe em branco para manter os padrões do git. |
| Identidade Git — E-mail | Gravado em user.email no ~/.gitconfig dentro da VM. Deixe em branco para manter os padrões do git. |
| Chaves SSH | Gerencia o par de chaves ed25519 gerado automaticamente (uma por perfil) e quaisquer chaves privadas importadas. A chave pública gerada é mostrada aqui para colar em github.com/settings/keys. Chaves importadas (RSA, ed25519, ecdsa, incluindo aquelas protegidas por senha) são carregadas no ssh-agent bromure por perfil a cada início de sessão; as senhas são armazenadas no Keychain do macOS. |
| Chaves SSH — Exigir aprovação para uso | Quando ativado, cada solicitação de assinatura SSH usando esta chave mostra um diálogo de consentimento no host. O usuário escolhe uma concessão por tempo limitado (5 min / 1 h / restante da sessão) ou nega. Desativado por padrão. |
| Tokens do GitHub | Tokens de acesso pessoal para git sobre HTTPS para github.com. Gravados em ~/.git-credentials e capturados automaticamente pelo gh CLI. O token real permanece no host; o proxy troca por um falso em requisições de saída. |
| Tokens do GitHub — Exigir aprovação para uso | (Por token.) Quando ativado para uma entrada de token específica, cada troca falso→real desse token mostra um diálogo de consentimento no host. Desativado por padrão. |
| Tokens do GitLab | Tokens de acesso pessoal para git sobre HTTPS para gitlab.com e instâncias self-hosted do GitLab. Capturados automaticamente pelo glab CLI. |
| Tokens do GitLab — Exigir aprovação para uso | (Por token.) Quando ativado para uma entrada de token específica, cada troca falso→real desse token mostra um diálogo de consentimento no host. Desativado por padrão. |
| Tokens do Bitbucket | App passwords para git sobre HTTPS para bitbucket.org. |
| Tokens do Bitbucket — Exigir aprovação para uso | (Por token.) Quando ativado para uma entrada de token específica, cada troca falso→real desse token mostra um diálogo de consentimento no host. Desativado por padrão. |
| Kubernetes | Uma entrada por contexto de cluster. O Bromure gera um ~/.kube/config sintético na VM com certificados de cliente descartáveis; as credenciais reais permanecem no host e são substituídas pelo proxy nas requisições ao API-server. Contextos com exec-plugin são consultados no host de modo que o kubectl sempre veja um token atualizado. Contextos podem ser adicionados manualmente ou importados de um arquivo kubeconfig existente. |
| Kubernetes — Exigir aprovação para uso | (Por contexto.) Quando ativado para um contexto kubeconfig específico, cada troca falso→real do seu bearer token ou da saída do exec-plugin mostra um diálogo de consentimento no host. Desativado por padrão. |
| DigitalOcean | Token de acesso pessoal de cloud.digitalocean.com. Injetado como a env DIGITALOCEAN_ACCESS_TOKEN e em ~/.config/doctl/config.yaml — doctl auth init é desnecessário. |
| DigitalOcean — Exigir aprovação para uso | Quando ativado, cada troca falso→real do token de acesso pessoal do DigitalOcean mostra um diálogo de consentimento no host. Desativado por padrão. |
| AWS | Credenciais AWS para o aws CLI e SDKs. Suporta Chaves estáticas (Access Key ID + Secret Access Key + Session Token opcional + região padrão) e SSO / Identity Center (selecione um perfil nomeado de ~/.aws/config). O segredo real nunca chega à VM — o proxy MITM do host intercepta e re-assina requisições SigV4 com o material real; se o proxy for contornado, a AWS rejeita com InvalidSignatureException. |
| AWS — Exigir aprovação para uso | Quando ativado, cada chamada de assinatura SigV4 no host (uma por requisição da API da AWS) mostra um prompt de consentimento até que uma concessão por tempo limitado a cubra. |
| Registros de Container | Autenticação HTTP Basic por registro para docker pull / docker push. Suporta Docker Hub, GHCR, GitLab Container Registry, Quay e registros privados arbitrários. Um base64("<user>:<derived>") falso é gravado em ~/.docker/config.json na VM; o proxy substitui pelo valor real no tráfego. Pode ser preenchido importando um ~/.docker/config.json existente. |
| Registros de Container — Exigir aprovação para uso | (Por registro.) Quando ativado para uma entrada de registro específica, cada troca falso→real de suas credenciais Basic-auth mostra um diálogo de consentimento no host. Desativado por padrão. |
| Outras API keys | Regras manuais de troca de token para qualquer API além das tratadas automaticamente (Anthropic, OpenAI, GitHub, GitLab, DigitalOcean, Kubernetes). Cada entrada gera um falso novo (brm_…) exportado como uma variável de ambiente nomeada dentro da VM; o proxy o troca de volta pelo valor real em requisições de saída para o host opcionalmente especificado. |
| Outras API keys — Exigir aprovação para uso | (Por token.) Quando ativado para uma entrada de token manual específica, cada substituição falso→real desse token mostra um diálogo de consentimento no host. Desativado por padrão. |
| MongoDB | Endpoints da MongoDB Atlas Data API. Cada entrada especifica um nome de exibição, o nome de host do endpoint, tipo de autenticação (chave de API, token Bearer ou Nome de usuário + senha) e um ou mais nomes de variável de ambiente sob os quais a credencial falsa é exportada na VM. O segredo real fica no host; o proxy o substitui em requisições de saída para o host especificado. Um modo Guardrails por endpoint (Off / Solicitar antes de escrever / Block destructive / Read-only) também pode ser configurado aqui e é aplicado no proxy — deleteOne/deleteMany = destrutivo, find/aggregate = leitura. |
| MongoDB — Exigir aprovação para uso | (Por endpoint.) Quando ativado para um endpoint específico, cada troca falso→real de suas credenciais mostra um diálogo de consentimento no host. Desativado por padrão. |
| ClickHouse | Endpoints da interface HTTP do ClickHouse. Cada entrada especifica um host, tipo de autenticação, nomes de variável de ambiente e um modo Guardrails opcional. O proxy intercepta requisições para o host e substitui a credencial real no tráfego. Guardrails classifica SQL pela palavra-chave inicial: DROP/TRUNCATE/DELETE = destrutivo; INSERT/CREATE = escrita; SELECT/SHOW = leitura. |
| ClickHouse — Exigir aprovação para uso | (Por endpoint.) Quando ativado para um endpoint específico, cada troca falso→real de suas credenciais mostra um diálogo de consentimento no host. Desativado por padrão. |
| Elasticsearch | Endpoints do Elasticsearch. Cada entrada especifica um host, tipo de autenticação, nomes de variável de ambiente e um modo Guardrails opcional. Guardrails classifica por método HTTP e caminho: DELETE e _delete_by_query = destrutivo; _search/_count/_msearch = leitura; _bulk/index/_update = escrita. |
| Elasticsearch — Exigir aprovação para uso | (Por endpoint.) Quando ativado para um endpoint específico, cada troca falso→real de suas credenciais mostra um diálogo de consentimento no host. Desativado por padrão. |
Ambiente
Pares simples KEY=VALUE exportados para todo shell na VM via proxy.env (carregado a partir do .bashrc). Os valores são gravados literalmente — sem substituição pelo proxy — portanto não coloque segredos aqui. Destinado a ajustes não-secretos como níveis de log, feature flags e opções de build.
| Configuração | Descrição |
|---|---|
| Lista de variáveis | As variáveis de ambiente atualmente configuradas. Cada linha tem um campo de nome e um campo de valor. Clique no botão de menos para remover uma variável. |
| Adicionar variável | Acrescenta uma nova linha KEY=VALUE vazia. |
MCP
Servidores Model Context Protocol que dão ao agente acesso a ferramentas e contexto externos. As configurações são traduzidas para o formato apropriado do agente ativo (JSON do Claude Code ou TOML do Codex) e injetadas na VM no boot.
| Configuração | Descrição |
|---|---|
| Lista de servidores | Servidores MCP atualmente configurados para este perfil. Cada servidor pode ser ativado ou desativado independentemente. Suporta transporte HTTP (um servidor remoto baseado em URL, com bearer token opcional) e transporte stdio (um comando local executado dentro da VM). |
| Adicionar servidor | Acrescenta uma nova entrada de servidor MCP. |
Rastreamento
Controla como o proxy MITM registra o tráfego para este perfil. Níveis mais altos gravam arquivos de body criptografados em disco; todos são opt-in. Os dados gravados podem ser visualizados em App → Trace Inspector (⇧⌘I).
| Configuração | Descrição |
|---|---|
| Rastreamento de sessão | Com que intensidade o proxy registra o tráfego. Off — nada é registrado (padrão). Activity — apenas metadados: host, status, latência, relatório de swap, avisos de leak; sem bodies de requisição ou resposta. AI request details — igual ao Activity, mais bodies completos para hosts conhecidos de LLM (Anthropic, OpenAI, Google, Cohere, Mistral, Perplexity, x.ai, Groq, Replicate, HuggingFace). Everything — bodies para todo host; usa espaço em disco mais rápido (limitado a 100 MB por sessão / 5 GB no total). Bodies são criptografados com AES-GCM usando a mesma chave do keychain dos segredos do perfil. |
| Modo privado | (Mostrado apenas em Macs inscritos em um workspace bromure.io.) Quando ativado, as sessões deste perfil não enviam metadados (ferramentas, arquivos, comandos, uso de tokens) para o workspace. O trace inspector local não é afetado. Útil ao trabalhar com uma API key pessoal que você não quer que seu administrador veja. |
| Troca de token de assinatura do Claude | (Mostrado apenas depois que o proxy perguntou sobre este perfil.) Indica se os tokens OAuth reais do Claude estão sendo atualmente trocados pelo proxy (Active) ou se o usuário recusou a troca (Declined). Um botão de reset permite que o usuário seja perguntado novamente na próxima sessão. |
| Troca de token de assinatura do Codex | Mesmo consentimento de troca em três estados acima, com escopo para os tokens OAuth do Codex / ChatGPT (~/.codex/auth.json). Mostrado de forma independente para que um perfil que use ambos os agentes possa gerenciar cada provedor separadamente. |
Guardrails
Motor de políticas no host que remove operações destrutivas dos protocolos que o agente utiliza. A aplicação acontece dentro do proxy MITM no host, de modo que um agente com mau funcionamento ou comprometido na VM não pode contorná-lo — chamadas bloqueadas retornam um erro 403 que o agente vê como uma falha normal de API. Cada recurso suporta três modos: Off (sem filtragem — padrão), Block destructive (bloquear exclusões/drops/encerramentos; permitir criações e atualizações) ou Read-only (bloquear toda mutação; somente leituras).
| Configuração | Descrição |
|---|---|
| Kubernetes | Modo Guardrail para os servidores de API Kubernetes configurados nos kubeconfigs deste perfil. Baseado em método HTTP: DELETE = destrutivo (inclui deletecollection); todas as escritas são bloqueadas no modo somente leitura. Um aviso é exibido se nenhum kubeconfig estiver configurado. |
| AWS | Modo Guardrail para todas as APIs *.amazonaws.com. Classificado pelo nome de ação extraído do cabeçalho X-Amz-Target (serviços de protocolo JSON como DynamoDB/Lambda) ou do parâmetro de formulário Action= (serviços de protocolo de consulta como EC2/IAM/SQS); recorre ao método HTTP para S3 e requisições no estilo REST. Delete*/Terminate*/Remove*/Purge*/Destroy* = destrutivo; Get*/List*/Describe* = leitura. |
| DigitalOcean | Modo Guardrail para api.digitalocean.com e *.digitalocean.com. Baseado em método HTTP: DELETE = destrutivo; GET/HEAD = leitura. |
| Docker registries | Modo Guardrail para os registros de container configurados nas Credenciais deste perfil. Baseado em método HTTP contra o nome de host do registro: DELETE = destrutivo (exclusão de tag/manifest); GET/HEAD = leitura (pull); PUT/POST = escrita (push). Um aviso é exibido se nenhum registro estiver configurado. |
| GitHub | Modo Guardrail para a API REST do github.com e git sobre HTTPS. Baseado em método para REST; git push (git-receive-pack) é tratado como escrita e bloqueado no modo somente leitura; git fetch (git-upload-pack) é sempre permitido. |
| GitLab | Modo Guardrail para a API REST do gitlab.com e git sobre HTTPS. Mesma lógica de classificação que o GitHub. |
| Bitbucket | Modo Guardrail para a API REST do bitbucket.org e git sobre HTTPS. Mesma lógica de classificação que o GitHub. |
| Databases | Modo Guardrails por endpoint para cada endpoint de banco de dados HTTPS configurado em Credenciais (MongoDB, ClickHouse, Elasticsearch). Exibido aqui como linhas individuais, uma por endpoint. Os modos e regras de classificação correspondem aos descritos na seção Credenciais para cada motor. Um aviso é exibido se o host do endpoint ainda não estiver definido. |
Supply Chain
Bromure verifica cada download de pacote (npm, PyPI, Cargo, RubyGems, Maven, NuGet, módulos Go, Packagist) através do proxy MITM do host e aplica essas políticas antes que o agente veja a resposta. O .npmrc / pip.conf na VM só pode restringir ainda mais essas configurações — não pode afrouxá-las. Use as listas de permissão por pacote para substituições cirúrgicas. Todos os seletores de severidade oferecem Baixa e acima, Média e acima, Alta e acima ou Apenas crítica.
| Configuração | Descrição |
|---|---|
| Age gate — Recusar pacotes mais novos que o limite | Quando ativado, bloqueia pacotes mais novos que o limite de idade mínima, defendendo contra lançamentos maliciosos recém-publicados. Ativado por padrão (idade mínima de 2 dias). |
| Age gate — Idade mínima | O limite em dias (0–90). Refs flutuantes (latest, intervalos semver) se resolvem silenciosamente para a versão mais recente anterior ao limite; referências fixadas a versões muito recentes recebem um 451 com uma mensagem de erro clara do Bromure. |
| Age gate — Pacotes isentos | Lista de permissão por pacote isenta do age gate. Formato: npm:axios (qualificado por ecossistema) ou apenas axios (qualquer ecossistema). |
| Verificação de vulnerabilidade OSV | Quando ativado, pesquisa pacotes em api.osv.dev (gratuito, sem chave necessária) e bloqueia os que estão na ou acima da severidade escolhida. Agrega a GitHub Advisory Database, avisos do PyPI, banco de dados do Go, RubySec, etc. Desativado por padrão — um CVE de baixa severidade em um subpacote transitivo não deveria interromper um fluxo de trabalho. |
| OSV — Bloquear na severidade | O limite de severidade a partir do qual um pacote com uma vulnerabilidade conhecida é bloqueado. |
| socket.dev — Chave de API | Um token de API do socket.dev (em socket.dev/dashboard/settings/api-tokens) que desbloqueia as duas verificações do socket.dev abaixo. Armazenado apenas no host — nunca exportado para a VM; as chamadas vão diretamente para api.socket.dev a partir do proxy MITM do host. Os controles abaixo ficam desativados até que uma chave seja inserida. |
| socket.dev — Bloquear pacotes comprometidos | Quando ativado, bloqueia pacotes que o socket.dev sinaliza como comprometidos: scripts de instalação maliciosos, malware, typosquats ou telemetria suspeita. |
| socket.dev — Bloquear pacotes com CVEs conhecidos | Quando ativado, bloqueia pacotes com CVEs conhecidos na ou acima do limite de bloqueio de CVE. |
| socket.dev — Limite de bloqueio de CVE | O limite de severidade para o bloqueio de CVE do socket.dev. Desativado a menos que "Bloquear pacotes com CVEs conhecidos" esteja ativado. |
| Scripts de instalação — Remover scripts de instalação | Quando ativado, remove preinstall / install / postinstall / prepare de tarballs npm instantaneamente. Bromure reescreve o tarball, remove as chaves de script do package.json e atualiza o hash de metadados do registro para que a verificação do npm ainda passe para instalações não fixadas. |
| Scripts de instalação — Lista de permissão | Pacotes com permissão para manter seus scripts de instalação (compiladores de binding como better-sqlite3 ou node-canvas precisam legitimamente deles). Formato: npm:better-sqlite3. |
| Instalações fixadas por lockfile — Perguntar antes de passar | Quando ativado, pergunta antes de passar tarballs fixados por lockfile sem modificação (npm ci, pip --require-hashes). Esses usam hashes de integridade criptográfica incorporados em um lockfile que o Bromure não pode reescrever sem quebrar a verificação, então a primeira busca fixada por lockfile em um lote abre um diálogo no host (Permitir uma vez / 15 min / pela sessão / Não permitir) e todo o lote segue essa decisão. |
Injeção de prompt
O Bromure analisa o tráfego de IA do agente no dispositivo em busca de instruções injetadas ou não autorizadas — nada sai do Mac. Cada detector usa um modelo local, baixado de bromure.io na primeira vez que você o ativa. As detecções aparecem na janela de Log de segurança (Janela → Log de segurança…).
| Configuração | Descrição |
|---|---|
| Detectar injeção de prompt no código-fonte | Quando ativado, pontua o conteúdo de arquivos, páginas web e a saída de ferramentas que o agente lê (seus blocos tool_result) com o modelo PromptGuard local. Detecta "ignore instruções anteriores / exfiltre segredos" oculto em um repositório malicioso. Baixa ~272 MB na primeira ativação. |
| Detectar instruções não autorizadas em arquivos CLAUDE.md e similares | Quando ativado, pontua os arquivos de instruções / configurações que Claude Code, Codex e Grok carregam como autoridade (CLAUDE.md, AGENTS.md, GROK.md e variantes aninhadas / globais) usando um classificador ModernBERT ajustado fino mais um scanner determinístico que detecta ofuscação Unicode invisível (payloads de largura zero / bidirecionais / Unicode-tag) que o modelo não consegue ler. Baixa ~571 MB na primeira ativação. |
| Quando uma injeção é detectada — Registrar e continuar | Registra cada detecção na janela de Log de segurança e deixa a requisição prosseguir. O comportamento padrão. |
| Quando uma injeção é detectada — Perguntar o que fazer | Pausa a requisição de saída e mostra o texto sinalizado em um diálogo; escolha permitir ou bloquear. |
| Quando uma injeção é detectada — Bloquear unilateralmente | Bloqueia a requisição antes que o modelo veja o conteúdo — o agente recebe um erro HTTP 451 definitivo. |
Aparência
Aparência visual da janela do terminal kitty. Os padrões são herdados do perfil padrão do Terminal.app do seu macOS.
| Configuração | Descrição |
|---|---|
| Fonte | A família de fonte usada no terminal. Escolha entre qualquer fonte instalada no seu Mac. O tamanho é definido em pontos através de um stepper. Apenas famílias de fonte sem um . inicial são oferecidas — nomes internos do macOS que o fontconfig do Linux não consegue resolver são excluídos. |
| Cursor | Forma do cursor dentro do terminal: Block, Beam (I-cursor) ou Underline. |
| Cores — Fundo | Cor de fundo do terminal, como um seletor de cores. |
| Cores — Texto | Cor de primeiro plano (texto) do terminal, como um seletor de cores. |
| Opacidade | Opacidade combinada da janela e do terminal, de 30% a 100%. Aplicada tanto como background_opacity do kitty (requer um compositor na VM) quanto como alphaValue da janela do macOS (sempre efetivo — produz um efeito de transparência até a área de trabalho). O padrão é 97%. |
| Ligaduras | Quando ativado, o terminal renderiza ligaduras de programação — sequências de múltiplos caracteres como <=, == e => são desenhadas como glifos combinados únicos. Desativado por padrão (disable_ligatures always do kitty fica ativo a não ser que isso seja ativado). Visível apenas com fontes que incluam tabelas de ligaduras, como JetBrains Mono ou Fira Code. |
| Restaurar para Terminal.app | Restaura todos os campos de aparência para os valores lidos do perfil padrão do Terminal.app do seu macOS na inicialização do app. |
Recursos
Camadas de armazenamento, memória e configuração de rede para a VM do perfil.
Armazenamento
Três camadas se empilham para compor o ambiente do perfil. A camada de baixo é compartilhada e imutável; as duas de cima são por perfil e podem ser apagadas independentemente.
| Configuração | Descrição |
|---|---|
| Sua pasta home | O diretório /home/ubuntu por perfil — dotfiles, chaves .ssh, npm-global, .cargo, histórico do shell e qualquer outra coisa que o agente grave em home. Mostra a última hora de atividade e o tamanho atual. "Erase home…" apaga esta camada e redefine o diretório home ao seu estado pós-clone. |
| Disco de sistema do perfil | Uma cópia leitura/escrita do SO base clonada especificamente para este perfil. Contém qualquer coisa instalada via sudo apt install, edições em /etc, /var e configuração em nível de sistema. "Reset to base…" descarta todas as mudanças em nível de sistema e re-clona da imagem base atual. |
| Imagem do SO base | A imagem base compartilhada e imutável: Ubuntu Noble + Claude Code + Codex + kitty + gh + glab + fontes. Compartilhada por todos os perfis; somente leitura em runtime. Mostra o carimbo de versão atual e a data de build. Reconstruída pelo menu do app (leva ~5–10 minutos). |
Memória
| Configuração | Descrição |
|---|---|
| RAM da VM | RAM alocada para a VM deste perfil, em GB (2–32 GB, passo 2). Por padrão usa um valor escalonado pelo host (4 GB em hosts com menos de 18 GB de RAM, 6 GB até 36 GB, 8 GB em máquinas maiores). Aumente se o Claude / Codex parecer lento ou se builds em Rust ficarem sem memória. |
Rede
| Configuração | Descrição |
|---|---|
| Modo de rede | NAT (padrão) — a VM compartilha a conexão de rede do seu Mac via o NAT embutido do VZ; saída funciona, nada na sua LAN pode alcançar a VM. Bridged — a VM recebe seu próprio endereço IP roteável na LAN via DHCP na interface física escolhida. |
| Interface | (Apenas no modo Bridged.) A interface física de rede à qual a VM se conecta em bridge. Por padrão usa a primeira interface bridged disponível se deixada sem definição. |