Bromure Agentic Coding

别成为下一个
GitHub

它们都是通过开发者的环境被攻陷的——一份泄露的密钥、一条被投毒的供应链、一个失控的 AI 智能体。Bromure 智能体编码把这三样统统挡住。

立即下载 Bromure Agentic CodingApple Silicon(M1 或更新)· 免费且开源
Bromure Agentic Coding running Claude in an isolated VM with the Trace Inspector

他们没有使用 Bromure Agentic Coding

GitHubRed HatTanStackNxBitwardenAquaCheckmarxCISA欧盟委员会SAPGrafanaMistralGitHubRed HatTanStackNxBitwardenAquaCheckmarxCISA欧盟委员会SAPGrafanaMistral
这一注

要框住的是爆炸半径, 不是开发者。

本能的做法是把开发者锁起来——EDR、不给 root、每一份凭证都挡在审批队列后面。这行不通:一旦机器不是他们自己的,他们就会绕过你,而你既丢了想抓住的管控,也丢了本来已有的可见性。

把整台机器交给他们

root、任意包、任意实验,凌晨两点不用工单。把这些拿走,一个好工程师要么反抗,要么悄悄绕过你。环境得让人觉得是自己的,否则他们不会用。

钥匙在他们手里

生产数据库。AWS 账户。一条命令就能删掉的集群。这种访问权限就是工作本身——但一条错误命令、一个被投毒的依赖、一个失控的智能体,就能把整间公司圈进爆炸半径。

让他们尽情实验,把损害从桌上拿走

靠缩小开发者能做的事,并不能让它变安全。让它变安全的,是缩小一个失误——或一次入侵——真正能够到的范围。

所以 Bromure 让开发者的能力完全不打折扣,转而给三样东西拴上绳子:他们的密钥、他们的环境,以及供应链可能夹带进来的东西。

把全部能力交给开发者, 给损害拴上绳子。

你的密钥

真实令牌和 SSH 密钥从不进入沙箱。智能体拿到的是桩;你 Mac 上的代理在链路上换入真实的 bearer。任何敏感操作都要点一下。

你的环境

护栏检查的是操作,而不只是连接。对生产的 DELETE、force-push、DROP 会停下来,先问你——无论它手里握着什么令牌。

你的供应链

智能体拉取的每一个包都会与 OSV 和 socket.dev 比对,安装脚本被剥离,全新发布的版本被扣下——在这一切抵达虚拟机之前。

凭证代发

智能体照常工作, 密钥留在家里。

一个连不上你的仓库、registry 和服务器的智能体没有用处。简单粗暴的做法——把你的 token 和密钥扔进虚拟机——等于把它们交给下一份读取它们的抢注式依赖。

Bromure 把这套反了过来。虚拟机出厂自带桩值,对任何期待 Authorization 头的工具来说都看起来是真的。你 Mac 上的代理拦下每一条出网连接,在线路上把桩值换成真密钥。真值从不写入虚拟机能读取的文件、环境变量或内存。

沙箱虚拟机

智能体在这里运行

$ git push
Authorization: Bearer stub_7f3a…ce21
中介 · 你的 Mac

真实密钥从不离开

识别出桩 → 在链路上换入
真实 PAT
github.com

看到的是有效令牌

200 OK

真实的 PAT 从不写入虚拟机能读到的文件、环境变量或内存页。一个被投毒的依赖,带走的只是那个桩。

进去是桩,出去是真令牌

在宿主机上一次性配置好你的凭证。虚拟机拿到每个工具都接受的桩值;当请求离开时,代理换上真正的 bearer。一个抓文件系统的包,带走的只是占位符。

ssh-agent 转发,永不暴露

SSH 密钥留在 macOS 钥匙串里——Bromure 只把 ssh-agent 套接字转发进虚拟机。ssh 和 git 透明可用,但磁盘上没有密钥文件、内存里没有 passphrase,没有任何可偷的东西。

审批门控

在智能体与你的密钥之间, 隔上一次点击。

把一份凭证标记为敏感,Bromure 就会加上一个人在环节。当某个东西通过代理来索取它时,你 Mac 上会弹出提示,报出凭证名称和目的地,然后问你。你可以批准五分钟、一小时、本次会话,或者只放行这一次。

限时批准

批准时由你来挑 TTL:一次 push 五分钟,一段发版会话一小时,真正吓人的那些只放行一次。授权自动过期,所以一个 token 不会一整天都大门洞开。

本地恶意软件失去筹码

本地恶意软件想 push 到你的 registry、冒充你,或掏空一个云账户——它做不到。凭证不在磁盘上,而代理只在你点下批准时才放行一个。仅仅拿到代码执行,已经不足以对生产采取行动。

长期令牌变成一个个访问的瞬间。即使你的笔记本被从头到脚攻陷,攻击者要做任何要紧的事,也仍然得先过你这一关。

护栏

让任何密钥 在出网时都变成只读。

那些恐怖故事讲的并不是被偷走的令牌——讲的是一个智能体拿到了一份合法凭证,却用它在生产里删错了东西。密钥从未泄露,只是它握着本不该有的写权限。而教科书式的修法——给每个工具、每个会话签发一个只读令牌——繁琐到没人真去做。

护栏检查的是操作本身,而不只是连接——它分得清读和写。把一份凭证标记为只读,Bromure 就会拒绝任何会改变状态的动作。或者把它设为询问:当智能体真的试图变更些什么的那一刻,Bromure 会在线路上拦住它,报出动作、目标和配置档,向你发问,就像这样。

Bromure Guardrails prompting for approval before a destructive kubectl delete against a production cluster

无需重新签发任何东西即可只读

别再为每个工具、每个仓库、每个会话去签发一个收紧权限的令牌。保留你手头已有的凭证,在它前面落下一道只读边界——它会精确地按你说的时长表现得像只读。需要发版?把它翻回来十五分钟。

变更之前先询问

把敏感凭证设为提示,每一次会改变状态的调用都会暂停,等你批准。和审批门控一样的限时授权:十五分钟、只这一次、本次会话,或者永不。智能体可以读上一整天;但没有你点头,它动不了生产。

智能体在犯错代价低的地方保留它的自主权,并精确地在代价不低的地方失去它。「智能体删掉了生产数据库」不再是一份事后复盘,而成了一个你点过「不允许」的对话框。

供应链

代理拉取的每一个包, 落地之前先扫描。

本页顶部的那些标志,是一面供应链事件之墙。一个听你一句话就去安装依赖的智能体,是完美的投递载体:它运行 `npm install`,一个传递依赖触发了自己的 postinstall,而你要到下个季度才发现。

Supply Chain 把那个代理变成一道扫描关卡:智能体拉取的每一个包都会与 OSV 和 socket.dev 比对,安装脚本被剥离,全新发布的版本被扣下。它运行在虚拟机边界上,所以无论智能体在内部做什么,它都照常生效。

Bromure Supply Chain log scanning every npm package against OSV and socket.dev as the agent installs them

在智能体之下强制执行,而不是靠它

每一次取包都经由 Bromure 的代理离开虚拟机。无论智能体怎么改写配置想绕过你,扫描都发生在它无法跨越的边界上——所以即便智能体主动想躲,这道防线依然守得住。

两个扫描器,两类威胁

OSV 抓超过你设定严重度阈值的已知 CVE。socket.dev 抓数据库还没抓到的:流氓安装脚本、恶意代码、仿冒抢注。被标记的版本在抵达虚拟机之前就被拦下。

安装脚本,即时剥离

像 `postinstall` 这样的安装钩子,正是载荷真正执行的地方。Bromure 把它们从 tarball 里剔除,并修正元数据哈希,让安装依然能通过校验。少数确实需要它们的原生构建——`better-sqlite3`、`node-canvas`——进入一份简短的允许列表;其余一切都以惰性状态安装。

包得先熟一熟,才咬得动人

被攻陷的版本通常在几个小时内就被撤下——恰恰是智能体可能拉到它的那几个小时。Bromure 把最近两天内发布的一切隔离起来(可调),这样刚上传的恶意版本,在生态系统追上来之前根本无法安装。

Bromure Supply Chain profile settings: block compromised packages and known CVEs, strip install scripts, and gate lockfile-pinned installs

智能体可以 `npm install` 它需要的任何东西——但永远拉不到带已知严重 CVE 的包、已被攻陷的版本、不被允许的安装脚本,或者一小时前才上传的版本。这道防线从不依赖智能体的配合。

会话追踪器

看清楚 智能体到底做了什么。

一个编码智能体每次会话会做出数百个决定,其中大多数你根本不会看。在出问题之前,这都没什么——或者,等到你需要向同事或审计员解释模型实际改了什么的时候。

Bromure 在会话运行时记录整条会话:每一条 prompt、每一次响应、每一次工具调用、每一条 shell 命令、每一个被写入的文件。事后打开、搜索、附到 PR 上。智能体跑得快;记录有耐心。

Bromure Trace Inspector showing every API call made by the agent

完整对话捕获

Prompt、补全、工具调用、shell 命令、文件编辑、退出码——实时捕获。没有任何一条是从滚屏里反推出来的;关掉终端也不会丢失任何东西。

可回放、可评审、可归因

翻看智能体的推理与动作,精确知道装了什么、为什么装,把「就是它能跑了」或「就是它崩了」变成你可以拿给另一个人看的东西。

智能体跑通时,追踪记录是你的纸面凭证。跑不通时,它就是你的 bug 报告。

自带 你喜欢的智能体。

Bromure Agentic Coding 不替换你的工具——它给工具一个安全运行的去处。虚拟机预装了大多数智能体期望的运行时,其余的你自己装。

Claude Code

Anthropic 的终端智能体在虚拟机里原生运行。认证一次,就让它去拉依赖、跑测试、对照你的共享仓库做重构。

Codex

OpenAI 的编码智能体的安装方式与在任何 Linux 主机上一样——只不过这台 Linux 主机看不到你的家目录。

Grok Build

xAI 的编码智能体在虚拟机里像其他任何 Linux 工具一样安装和运行。把它指向你的共享仓库即可——你真正的令牌和 SSH 密钥都留在主机上,它够不着。

其他任何工具

Aider、OpenHands、自研内部智能体——只要能在 Linux 上运行,就能在 Bromure 里运行。虚拟机就是一台 Linux 机器;安全感来自它运行的位置。

工作原理

1. 选好文件夹

选择 Mac 上哪些文件夹可以被虚拟机挂载——通常就是你正在做的那个项目。这就是智能体对你文件系统的全部视角。

2. 启动虚拟机

Bromure 用 Apple Virtualization.framework 在几秒钟内启动一台 Linux 虚拟机。像连任何远程机器一样打开终端进去。

3. 运行智能体

在虚拟机里安装 Claude Code 或 Codex。把它指向共享文件夹。让它干活——装包、跑脚本、起进程——全程不碰你的宿主机。

4. 想重置就重置

当虚拟机的状态不再有用,丢掉它。几秒钟内重新开始。代码留在宿主机上;烂摊子留在虚拟机里。

为什么不直接用容器或现成的虚拟机?

用一个容器,或者我已有的虚拟机,不行吗?

每个人都有某种沙箱。Bromure 的关键不是沙箱本身——而是没被装进去的那些东西。

没有凭证代理

要让一个普通容器有用,你最后总得把真实密钥挂进去,放在智能体能读到的文件系统里。Bromure 把这套反过来:沙箱里只有桩值,由代理在线路上换成真密钥。普通容器要做到这一点,得把整套信任模型从头再造一遍。

没有审批闸门

通用沙箱在有东西索取凭证的那一刻就把它放出来。Bromure 在每一份敏感凭证前面加了一个人在环节——名称、目的地、TTL——这样即便本地恶意软件,也没办法趁你没看的时候掏空一个 token。

容器和你共用内核

容器和宿主机共享内核——一个坏包或一个内核 bug,边界就没了。它们隔离的是工作负载,不是你在里面跑的东西。Bromure 的沙箱是一台带独立内核的真正虚拟机:万一凭证层需要退守,这是一道真正的边界。

Mac 上的 Docker 本来就是虚拟机

Mac 上的 Docker 早就把你的容器跑在一台隐藏的 Linux 虚拟机里——你已经在为虚拟机的成本买单,只是没看见而已。Bromure 砍掉中间这一层,直接使用 Apple 的 Virtualization.framework:一个沙箱,可见、归你所有。

任何容器或虚拟机都能装下一个智能体。但只有 Bromure 替你做凭证代理,让智能体根本拿不到这些凭证。隔离只是入门,凭证代理才是真正拉开差距的地方。

给你的智能体 一间真正的工作间。

一台虚拟机。彻底隔离。想装什么装什么。Bromure Agentic Coding 免费且开源。

立即下载 Bromure Agentic CodingApple Silicon(M1 或更新)· 免费且开源