Manter credenciais reais fora do sandbox impede que um pacote envenenado as roube. Mas existe um ataque que não precisa de nenhum token roubado: basta dizer ao agente o que fazer. Um comentário em um arquivo de código, uma linha em uma página web buscada, uma string na saída de uma ferramenta ou uma diretiva escondida em um CLAUDE.md pode guiar o modelo na direção de algo que você nunca pediu — e ele lê isso como instruções e obedece. A 2.4.0 adiciona o quarto pilar que fecha essa brecha, e ele roda inteiramente no seu Mac.

Novidades

Detecção de injeção de prompt — dois detectores, um clique. Uma nova categoria de perfil "Prompt Injection" com uma ação de registrar / perguntar / bloquear. Nada sai do Mac: a detecção roda no dispositivo.
- Injeção em conteúdo não confiável. Um classificador PromptGuard (DeBERTa) local pontua os trechos de tool_result que o agente ingere — leituras de arquivo, buscas web, saída de ferramentas. Uma instrução contrabandeada para dentro de um README, um comentário de código ou uma resposta de API é capturada antes de o modelo agir sobre ela.
- Instruções maliciosas em arquivos de regras. Os arquivos CLAUDE.md, AGENTS.md e GROK.md que um agente trata como autoridade são escaneados por uma passagem determinística (Unicode invisível, truques de texto bidirecional, meta-diretivas no estilo "ignore as instruções anteriores") e por um classificador ModernBERT ajustado que pega o abuso redigido em tom calmo que um filtro de palavras-chave deixa passar. Cobre Claude Code, Codex e Grok Build.
Registrar, perguntar ou bloquear — você escolhe os dentes. O Registrar grava no Security Log (o renomeado Supply Chain Log — agora ele também registra entradas ruins) com zero latência adicional. O Perguntar pausa a requisição e mostra a você o texto sinalizado para permitir ou negar. O Bloquear falha a requisição antes de o modelo sequer ver o conteúdo. A política é por perfil e se aplica ao vivo — alterne-a em uma VM em execução e ela vale já na próxima chamada do agente, sem reiniciar.
Visibilidade em toda a frota para instalações gerenciadas. Em uma instalação gerenciada, cada detecção é encaminhada ao seu console Bromure como um evento prompt_injection — origem, trecho e se foi registrado, sinalizado ou bloqueado — para que a segurança possa ver tentativas de injeção em toda a frota, e não apenas no laptop onde elas aconteceram.

Melhorias

Um disco do host cheio agora avisa. Builds de imagem base, downloads de modelo e inicializações de VM verificam o espaço livre de antemão e exibem uma mensagem clara e localizada "libere espaço e tente novamente" — em vez do confuso timeout de 30 minutos do instalador que um disco cheio costumava causar.
Engrenagem de configurações na barra de título da VM. Abra o próprio perfil da VM em execução direto da janela dela; as configurações do lado do host se aplicam ao vivo.
O Trace Inspector mostra algo de imediato. Novos perfis vêm com o rastreamento de detalhes de IA ativado por padrão, capturando os corpos de requisição e resposta dos hosts de modelo conhecidos (Anthropic, OpenAI, Google, Cohere…). Os corpos são selados em repouso; o tráfego que não é de IA permanece somente com metadados.

Correções

As VMs não se desligam mais sozinhas. Uma inicialização a frio lenta ou um evento de aba obsoleto podia ser interpretado erroneamente como você fechando o seu último terminal, desligando a VM momentos depois de ela subir. O host agora age apenas com base em abas que ele confirmou estarem vivas; um fechamento genuíno da última aba ainda desliga como antes.
Rede confiável atrás de uma VPN. O MTU de rede padrão da VM cai de 1400 para 1280, para que grandes handshakes TLS e os pedaços de tarball do npm parem de cair em buracos negros em caminhos corporativos de teto mais baixo — DMVPN, Cisco AnyConnect, túneis 6-in-4. Sobrescreva por host com defaults write io.bromure.agentic-coding vm.mtu -int <value>.

Bromure Agentic Coding é livre e de código aberto. Baixe a 2.4.0 na página de downloads, ou saiba mais na página do Agentic Coding →.