博客

深入探讨浏览器安全、隔离技术以及 Bromure 背后的理念。

2026年4月26日 · 作者 Renaud Deraison

你的编码智能体装上了那个假 Bitwarden

4 月 22 日，有人往 npm 上传了一个名为 @bitwarden/[email protected] 的恶意包——一个抢注式拼写错误包，会把任何运行它的机器上的 SSH 私钥、AWS/Azure/GCP 凭证、GitHub token、npm 发布 token 和 kubeconfig 一并扫走。它瞄准的目标，恰好是当今编码智能体不假思索就在做的事：npm 返回什么就装什么。本文展示这条攻击链长什么样，以及当智能体跑在 Bromure 虚拟机里、而不是你的笔记本上时，会有什么不同。

阅读更多 →

2026年4月25日 · 作者 Renaud Deraison

电话是从帮助台内部打来的

一个名为 BlackFile 的新型勒索团伙正在给零售和酒店业的员工打电话,假扮成 IT,把他们诱导到伪装的企业登录页面,让他们输入凭据和一次性验证码,然后在真正的账号上注册自己的 MFA 设备。电话本身不受任何浏览器的影响。但用户输入信息的那个页面,会受到影响。

阅读更多 →

2026年4月24日 · 作者 Renaud Deraison

一个 Roblox 作弊器、一次 OAuth 授权,以及 Vercel 的 200 万美元泄漏

本周披露的 Vercel 入侵事件,始于 Context.ai 的一名员工在个人电脑上下载 Roblox 作弊器,终于攻击者读取到 Vercel 客户的环境变量。本周发布的 Bromure 企业版,正是为这种攻击链而生。

阅读更多 →

2026年4月23日 · 作者 Renaud Deraison

自己造出来的那张钓鱼页面

Cisco Talos 的 2026 年第一季度事件响应报告把钓鱼重新推回初始访问向量的榜首；在报告内部，记录下了 Talos 首次归因于 AI「氛围编程」构建器的一个案例——一张 Outlook Web Access 仿冒页面被架设在 `*.softr.app` 子域名上，把窃取的凭据外发到一个一次性的 Google Sheet。URL 信誉系统完全看不到它来了。正确的答案，在技术栈的更下层。

阅读更多 →

2026年4月22日 · 作者 Renaud Deraison

假设渲染器会失守——Mozilla 用 AI 发现的 271 个漏洞对浏览器安全意味着什么

Claude Mythos 的一个早期版本帮助 Mozilla 在单一 Firefox 版本中发现了 271 个安全漏洞。正确的反应既不是恐慌，也不是庆祝——而是悄悄地重新校准：对于我们发布、使用或在其之上构建的每一款浏览器，我们仍然必须抱有什么假设。

阅读更多 →

2026年4月21日 · 作者 Renaud Deraison

剪贴板就是漏洞——ClickFix 把每一个防御者都逼到了哪里

一个假 CAPTCHA 把一行 PowerShell 写进剪贴板。用户按下 Win+R 然后粘贴。不需要沙箱逃逸，不需要零日漏洞，不需要签名二进制——人就是那个漏洞。这里是我们今天拿得出手的对策、仍然存在的缺口，以及 Apple 在 macOS 26.4 里做对了什么、又做错了什么。

阅读更多 →

2026年4月21日 · 作者 Renaud Deraison

一条九步攻击链，在第一步就死掉

微软公布了一条九阶段的勒索软件攻击链，起点是一条冒充 IT 帮助台的外部 Teams 消息，终点是 Rclone 悄无声息地把网络共享的数据偷出去。其中八步都要靠宿主操作系统。没有一步能跑在一个标签页里。

阅读更多 →

2026年4月20日 · 作者 Renaud Deraison

当商店本身就是威胁——108 个恶意 Chrome 扩展、一台 C2、两万次安装

一个操作者用五个伪造的发布者身份，往 Chrome Web Store 里塞了 108 个恶意扩展，累积大约两万次安装，并把所有流量都导向同一台命令与控制服务器。审核机制没拦住。这就是一款以安全为先的浏览器为什么必须采取更硬的立场。

阅读更多 →

2026年4月19日 · 作者 Renaud Deraison

Bromure 如何在钓鱼攻击找上你父母之前将其拦下

一步步拆解 Bromure 的反钓鱼机制——本地扫描、模型、判定，以及我们为什么恰恰是为你的父母、你的祖父母和对门邻居打造了它。

阅读更多 →

2026年4月17日 · 作者 Renaud Deraison

LinkedIn 的 BrowserGate，以及为什么一个浏览器身份已经不够用了

LinkedIn 悄无声息地探测 6000 多个浏览器扩展、收集 48 项设备属性，每次访问都通过 WebRTC 抓走你的 LAN IP。解法不是某个隐私开关——而是一种形态完全不同的浏览器。

阅读更多 →

2026年4月10日 · 作者 Renaud Deraison

以设计建立信任——Bromure 背后的理念

网络充满敌意，安全建议正在失效，而 AI 又改变了游戏规则。这就是我们为何打造一款替你扛下压力的浏览器。

阅读更多 →

2026年4月10日 · 作者 Renaud Deraison

为什么浏览器零日漏洞不会消失——以及 Bromure 对此做了什么

苹果和谷歌如今每年要花数千万美元去寻找并修复浏览器漏洞。但每年仍有八到十个正在被实际利用的浏览器零日漏洞。这篇文章讲清楚为什么这笔账算不过来、Claude Mythos 和「漏洞末日」将如何让情况变得更糟，以及为什么一款从一开始就假设自己会被攻破的浏览器，是一种截然不同的产品。

阅读更多 →

2026年3月27日 · 作者 Renaud Deraison

Bromure 如何在页面看见广告之前就把它拦下

大多数广告拦截器都是浏览器扩展程序，而大多数浏览器扩展程序，又恰好与它要保护你免受其害的那个页面，运行在同一个进程里。Bromure 的做法不一样。下面讲讲它是怎么做的，以及为什么这很重要。

阅读更多 →

2026年3月15日 · 作者 Renaud Deraison

现代勒索软件是怎么进来的——以及 Bromure 如何把门关上

绝大多数勒索软件并不是从零日漏洞开始的，而是从一个浏览器标签页开始的。下面就是 2026 年攻击链实际运转的方式——以及当它撞上一款从一开始就准备好挨打的浏览器时，会是什么样子。

阅读更多 →

2026年3月4日 · 作者 Renaud Deraison

在 Bromure 里运行 VPN——以及一份关于 Cloudflare WARP 的通俗入门

VPN 到底在做什么，它做不到什么，为什么在 Bromure 中以配置文件为粒度运行 VPN 会改变匿名性的格局，以及 Cloudflare WARP 在引擎盖下究竟是怎样运作的。

阅读更多 →