别成为下一个
GitHub
它们都是通过开发者的环境被攻陷的——一份泄露的密钥、一条被投毒的供应链、一个失控的 AI 智能体。Bromure 智能体编码把这三样统统挡住。
立即下载 Bromure Agentic CodingApple Silicon(M1 或更新)· 免费且开源
他们没有使用 Bromure Agentic Coding
要框住的是爆炸半径, 不是开发者。
本能的做法是把开发者锁起来——EDR、不给 root、每一份凭证都挡在审批队列后面。这行不通:一旦机器不是他们自己的,他们就会绕过你,而你既丢了想抓住的管控,也丢了本来已有的可见性。
把整台机器交给他们
root、任意包、任意实验,凌晨两点不用工单。把这些拿走,一个好工程师要么反抗,要么悄悄绕过你。环境得让人觉得是自己的,否则他们不会用。
钥匙在他们手里
生产数据库。AWS 账户。一条命令就能删掉的集群。这种访问权限就是工作本身——但一条错误命令、一个被投毒的依赖、一个失控的智能体,就能把整间公司圈进爆炸半径。
让他们尽情实验,把损害从桌上拿走
靠缩小开发者能做的事,并不能让它变安全。让它变安全的,是缩小一个失误——或一次入侵——真正能够到的范围。
所以 Bromure 让开发者的能力丝毫不减,转而只拴住四样东西:他们的密钥、他们的环境、供应链夹带进来的东西,以及一个被投毒的文件试图怂恿智能体去做的事。
把全部能力交给开发者, 给损害拴上绳子。
你的密钥
真实令牌和 SSH 密钥从不进入沙箱。智能体拿到的是桩;你 Mac 上的代理在链路上换入真实的 bearer。任何敏感操作都要点一下。
你的环境
护栏检查的是操作,而不只是连接。对生产的 DELETE、force-push、DROP 会停下来,先问你——无论它手里握着什么令牌。
你的供应链
智能体拉取的每一个包都会与 OSV 和 socket.dev 比对,安装脚本被剥离,全新发布的版本被扣下——在这一切抵达虚拟机之前。
智能体的指令
攻击者并不总是需要一个 token——有时一个被投毒的文件就足以指挥智能体做事。Bromure 会扫描智能体读取的内容是否含有提示注入,以及它所信任的 CLAUDE.md 是否藏有暗中下达的命令——并能在模型动手之前就拦下请求。
智能体照常工作, 密钥留在家里。
一个连不上你的仓库、registry 和服务器的智能体没有用处。简单粗暴的做法——把你的 token 和密钥扔进虚拟机——等于把它们交给下一份读取它们的抢注式依赖。
Bromure 把这套反了过来。虚拟机出厂自带桩值,对任何期待 Authorization 头的工具来说都看起来是真的。你 Mac 上的代理拦下每一条出网连接,在线路上把桩值换成真密钥。真值从不写入虚拟机能读取的文件、环境变量或内存。
智能体在这里运行
真实密钥从不离开
看到的是有效令牌
真实的 PAT 从不写入虚拟机能读到的文件、环境变量或内存页。一个被投毒的依赖,带走的只是那个桩。
进去是桩,出去是真令牌
在宿主机上一次性配置好你的凭证。虚拟机拿到每个工具都接受的桩值;当请求离开时,代理换上真正的 bearer。一个抓文件系统的包,带走的只是占位符。
ssh-agent 转发,永不暴露
SSH 密钥留在 macOS 钥匙串里——Bromure 只把 ssh-agent 套接字转发进虚拟机。ssh 和 git 透明可用,但磁盘上没有密钥文件、内存里没有 passphrase,没有任何可偷的东西。
在智能体与你的密钥之间, 隔上一次点击。
把一份凭证标记为敏感,Bromure 就会加上一个人在环节。当某个东西通过代理来索取它时,你 Mac 上会弹出提示,报出凭证名称和目的地,然后问你。你可以批准五分钟、一小时、本次会话,或者只放行这一次。
限时批准
批准时由你来挑 TTL:一次 push 五分钟,一段发版会话一小时,真正吓人的那些只放行一次。授权自动过期,所以一个 token 不会一整天都大门洞开。
本地恶意软件失去筹码
本地恶意软件想 push 到你的 registry、冒充你,或掏空一个云账户——它做不到。凭证不在磁盘上,而代理只在你点下批准时才放行一个。仅仅拿到代码执行,已经不足以对生产采取行动。
长期令牌变成一个个访问的瞬间。即使你的笔记本被从头到脚攻陷,攻击者要做任何要紧的事,也仍然得先过你这一关。
让任何密钥 在出网时都变成只读。
那些恐怖故事讲的并不是被偷走的令牌——讲的是一个智能体拿到了一份合法凭证,却用它在生产里删错了东西。密钥从未泄露,只是它握着本不该有的写权限。而教科书式的修法——给每个工具、每个会话签发一个只读令牌——繁琐到没人真去做。
护栏检查的是操作本身,而不只是连接——它分得清读和写。把一份凭证标记为只读,Bromure 就会拒绝任何会改变状态的动作。或者把它设为询问:当智能体真的试图变更些什么的那一刻,Bromure 会在线路上拦住它,报出动作、目标和配置档,向你发问,就像这样。
无需重新签发任何东西即可只读
别再为每个工具、每个仓库、每个会话去签发一个收紧权限的令牌。保留你手头已有的凭证,在它前面落下一道只读边界——它会精确地按你说的时长表现得像只读。需要发版?把它翻回来十五分钟。
变更之前先询问
把敏感凭证设为提示,每一次会改变状态的调用都会暂停,等你批准。和审批门控一样的限时授权:十五分钟、只这一次、本次会话,或者永不。智能体可以读上一整天;但没有你点头,它动不了生产。
智能体在犯错代价低的地方保留它的自主权,并精确地在代价不低的地方失去它。「智能体删掉了生产数据库」不再是一份事后复盘,而成了一个你点过「不允许」的对话框。
代理拉取的每一个包, 落地之前先扫描。
本页顶部的那些标志,是一面供应链事件之墙。一个听你一句话就去安装依赖的智能体,是完美的投递载体:它运行 `npm install`,一个传递依赖触发了自己的 postinstall,而你要到下个季度才发现。
Supply Chain 把那个代理变成一道扫描关卡:智能体拉取的每一个包都会与 OSV 和 socket.dev 比对,安装脚本被剥离,全新发布的版本被扣下。它运行在虚拟机边界上,所以无论智能体在内部做什么,它都照常生效。
在智能体之下强制执行,而不是靠它
每一次取包都经由 Bromure 的代理离开虚拟机。无论智能体怎么改写配置想绕过你,扫描都发生在它无法跨越的边界上——所以即便智能体主动想躲,这道防线依然守得住。
两个扫描器,两类威胁
OSV 抓超过你设定严重度阈值的已知 CVE。socket.dev 抓数据库还没抓到的:流氓安装脚本、恶意代码、仿冒抢注。被标记的版本在抵达虚拟机之前就被拦下。
安装脚本,即时剥离
像 `postinstall` 这样的安装钩子,正是载荷真正执行的地方。Bromure 把它们从 tarball 里剔除,并修正元数据哈希,让安装依然能通过校验。少数确实需要它们的原生构建——`better-sqlite3`、`node-canvas`——进入一份简短的允许列表;其余一切都以惰性状态安装。
包得先熟一熟,才咬得动人
被攻陷的版本通常在几个小时内就被撤下——恰恰是智能体可能拉到它的那几个小时。Bromure 把最近两天内发布的一切隔离起来(可调),这样刚上传的恶意版本,在生态系统追上来之前根本无法安装。
智能体可以 `npm install` 它需要的任何东西——但永远拉不到带已知严重 CVE 的包、已被攻陷的版本、不被允许的安装脚本,或者一小时前才上传的版本。这道防线从不依赖智能体的配合。
揪出藏在智能体所读内容里的 那些指令。
并非每一次攻击都需要一份被盗的凭证。源文件里的一条注释、抓取到的网页里的一行字、工具输出里的一个字符串,或埋在 CLAUDE.md 里的一条指示,都可能悄悄指挥智能体去做你从未要求过的事——外泄一个文件、削弱一道检查、运行一段脚本。模型把它当作指令读取,并照办。
Bromure 会检查流向模型的不可信内容——文件读取、网页抓取、工具结果——是否含有提示注入,并检查智能体奉为权威的指令文件(CLAUDE.md、AGENTS.md、GROK.md)是否藏有暗中或敌意的命令。检测在本地设备上运行;没有任何东西离开你的 Mac。可以记录它、标记它供复核,或在它抵达模型之前就拦下请求。
不可信内容里的注入
智能体读取的每一个文件、抓取的每一个页面、摄入的每一份工具结果,都会经过一个本地设备分类器扫描。一条夹带进 README、代码注释或 API 响应里的指令,会在模型据此动手之前被揪出。
规则文件里的流氓指令
CLAUDE.md、AGENTS.md 和 GROK.md 对智能体握有实打实的权威。Bromure 会读取它们,寻找暗中下达的指示——“忽略先前的指令”“别告诉用户”、零宽字符、双向文本把戏——以及关键词过滤器会漏掉的、措辞平和的滥用。
智能体可以读取你指给它的任何东西——一个陌生人的仓库、一个抓取来的页面、一位队友的 CLAUDE.md——而不会悄悄听从它的指挥。一个被投毒的文件,变成一次被标记的检测,而不是一次入侵。
看清楚 智能体到底做了什么。
一个编码智能体每次会话会做出数百个决定,其中大多数你根本不会看。在出问题之前,这都没什么——或者,等到你需要向同事或审计员解释模型实际改了什么的时候。
Bromure 在会话运行时记录整条会话:每一条 prompt、每一次响应、每一次工具调用、每一条 shell 命令、每一个被写入的文件。事后打开、搜索、附到 PR 上。智能体跑得快;记录有耐心。
完整对话捕获
Prompt、补全、工具调用、shell 命令、文件编辑、退出码——实时捕获。没有任何一条是从滚屏里反推出来的;关掉终端也不会丢失任何东西。
可回放、可评审、可归因
翻看智能体的推理与动作,精确知道装了什么、为什么装,把「就是它能跑了」或「就是它崩了」变成你可以拿给另一个人看的东西。
智能体跑通时,追踪记录是你的纸面凭证。跑不通时,它就是你的 bug 报告。
自带 你喜欢的智能体。
Bromure Agentic Coding 不替换你的工具——它给工具一个安全运行的去处。虚拟机预装了大多数智能体期望的运行时,其余的你自己装。
Claude Code
Anthropic 的终端智能体在虚拟机里原生运行。认证一次,就让它去拉依赖、跑测试、对照你的共享仓库做重构。
Codex
OpenAI 的编码智能体的安装方式与在任何 Linux 主机上一样——只不过这台 Linux 主机看不到你的家目录。
Grok Build
xAI 的编码智能体在虚拟机里像其他任何 Linux 工具一样安装和运行。把它指向你的共享仓库即可——你真正的令牌和 SSH 密钥都留在主机上,它够不着。
其他任何工具
Aider、OpenHands、自研内部智能体——只要能在 Linux 上运行,就能在 Bromure 里运行。虚拟机就是一台 Linux 机器;安全感来自它运行的位置。
大多数工具只守住一层。 Bromure 全都守住。
隔离、把密钥挡在智能体之外、约束这些密钥的使用方式、扫描供应链、拦截提示注入——这个领域往往只挑其中一项。下面把同一套智能体威胁模型套用到人们常用的工具上,看看每个工具到哪儿就止步了。
| 防护 | Dev ContainerVS Code | nonokernel sandbox | agent-vaultoctokraft | Agent VaultInfisical | Docker SandboxesmicroVM | BromureAgentic Coding |
|---|---|---|---|---|---|---|
隔离边界 影响范围在哪里被挡住 | 同一容器,共享内核 | 内核白名单,无独立内核 | 智能体就地运行 | 仅代理;智能体未隔离 | microVM,独立内核 | 硬件 VM,独立内核 |
把密钥挡在智能体之外 它能读到真实凭证吗? | 转发 SSH agent 和 git 凭证 | 拦截密钥文件;部分代理 | 通过管道注入;无读取路径 | 代理在链路上附加 | 主机代理注入请求头 | 在链路上替换桩令牌 |
凭证范围与审批 按次限制、只读、过期、确认 | 不按使用范围限制 | 审批流程 + 出站过滤 | 按密钥设 TTL;拦截 shell | 按端点出站过滤 | 域名白名单;VM 内代码仍可使用 | 按目的地确认 + TTL |
供应链扫描 拦截恶意/易受攻击的依赖包 | 不扫描软件源 | 仅签名,不扫描依赖包 | 不在范围内 | 不在范围内 | 不扫描依赖包 | Age-gate、OSV、socket.dev |
提示注入检测 扫描不可信内容与规则文件 | — | — | — | — | — | PromptGuard + ModernBERT |
审计追踪 记录智能体做了什么 | 仅容器日志 | 不可篡改的本地审计 | — | 请求日志 | 请求日志 | 完整会话追踪,已加密 |
供应链清单(Enterprise) 记录获取的每个依赖包 | — | — | — | — | — | 每个依赖及裁定,可搜索 |
Token 用量(Enterprise) 哪些文件消耗最多 token | — | — | — | — | — | 按文件、仓库、模型 |
隐藏令牌并不等于管控它的使用。Docker Sandboxes 让真实值不进入 VM,但它的代理仍会把该凭证附加到沙箱发出的任何外发请求上;于是一个在旁边被植入的恶意依赖包,即使从未看到这个值,也能拿它去访问白名单内的服务。只有 Bromure 会在依赖包运行前先扫描它,并对每一次使用加上确认、只读和 TTL 限制——在智能体无法绕过的单一边界上强制全部五项控制。
依据各项目的公开文档整理,2026 年 6 月。这里的 agent-vault 指 octokraft/agent-vault(基于管道的密钥注入),区别于 Infisical 的 Agent Vault(HTTP 凭证代理)。Docker Sandboxes 仍是实验性预览,其代理的凭证对 VM 内的任何程序都保持可用。全设备的依赖包清单与 Token 用量汇总由 Bromure Enterprise Manager 提供。这些工具更新很快——发现过时之处?告诉我们。
给你的智能体 一间真正的工作间。
一台虚拟机。彻底隔离。想装什么装什么。Bromure Agentic Coding 免费且开源。
立即下载 Bromure Agentic CodingApple Silicon(M1 或更新)· 免费且开源