深入探讨浏览器安全、隔离技术以及 Bromure 背后的理念。
Bromure 用两个在设备本地运行的分类器,扫过它的编码智能体读到的一切。工具输出和网页抓取里的提示注入,交给 Meta 的 Llama Prompt Guard 2 处理。一份流氓 CLAUDE.md 需要的完全是另一个模型——对一份本来就通篇皆指令的文件,注入检测会在每一行上报警——所以我们改为微调 ModernBERT 来分类危害。本文给出完整管线:收割良性语料、合成恶意样本、条款级加窗、训练循环,以及 ONNX 导出,细节足以复现。
沙箱要求开发者做一笔交换,拿走那份让编码智能体值得一跑的速度——预先批准每一个依赖,维护一张域名白名单,绝不碰一个组织没审过的包。于是开发者把它关掉。Bromure Agentic Coding 拒绝这笔交换。它不去约束智能体做什么;它只在 hypervisor 处划下一条硬线,让你在里面想做什么都行。这是一篇奠基性的论述,讲清楚为什么一条边界胜过一个沙箱,以及这条边界让哪三项保证成真:没有凭证可偷、宽泛的令牌在线路上被收窄、供应链攻击在 tarball 落地之前就被挡下。——再加上这条线如今让其成真的第四项:提示注入在智能体所读的内容里就被抓住,赶在模型服从它们之前。
2026 年 6 月 5 日至 6 日,Miasma 蠕虫把窃取凭据的代码推进了 Microsoft 自己的四个 GitHub 组织——Azure、Azure-Samples、microsoft、MicrosoftDocs——下的 73 个仓库里,其中包括官方部署 Action 的 Azure/functions-action,以及 durabletask 这个早在 5 月就已经被清理过一次的仓库。这一次,载荷没有等到 npm install。当一名开发者在 Claude Code、Cursor、Gemini CLI 或 VS Code 里打开这个仓库的那一刻,它就触发了。这篇文章讲的是为什么信任信号——「它是 Microsoft 的仓库」——又一次成了攻击面,以及当打开它的代理运行在一个按配置文件隔离的 Bromure VM 里、在一个凭据代理、一道读写护栏和一段包冷却期之后时,什么会发生改变。
四月底,一个跑着 Claude Opus 4.6 的 Cursor 智能体,被派去修复一家名叫 PocketOS 的小型 SaaS 的 staging 问题。它猜测删除一个 Railway 卷只会作用于 staging,没去核实,于是在九秒内抹掉了生产数据库连同它的备份。事后它说自己本该先问一声。Bromure Agentic Coding 2.2 推出一道护栏,把「本该先问」这件事从智能体手里拿了出来。
github.dev 里的一个零日漏洞,让一个恶意预览窗格得以逃出它的沙箱、悄悄安装一个扩展,并读到一个能访问受害者所能触及的每一个私有仓库的 GitHub OAuth 令牌。官方修复对自身的局限很坦诚——而更高明的一招,是一开始就别把你的令牌带进一个陌生人的仓库。
2026 年 5 月底到 6 月 1 日之间,一个名为 Miasma 的蠕虫把窃取凭据的代码推进了 @redhat-cloud-services npm scope 下的 32 个包里——那是 Red Hat 自己的命名空间,每周约 11.7 万次下载,由 Red Hat 真实的发布流水线签名。没有可供识别的 typosquat,也没有可供标记的未知维护者。信任信号就是 scope 上厂商的名字,而厂商的名字恰恰是攻击者乘虚而入所凭借的东西。这篇文章讲的是为什么「优先选择信誉良好的发布者」不再是一种防御,以及当执行安装的代理运行在按配置文件隔离的 Bromure VM 里时,什么会发生改变。
一场新活动租用了一个你早已信任的域名的信誉。一条 Google 广告把你送到一个真实的 chatgpt.com 分享链接,分享链接显示一份伪造的故障通知,通知再把恶意软件递到你手上。这里讲的是这份信任是怎么被借走的——以及当整件事发生在一台用完即弃的虚拟机里时,这份借用为什么就不再重要了。
上周谷歌不小心把一个四年前的 Chromium 漏洞重新公开了——一个 service worker 在浏览器关闭后仍然在跑 JavaScript,影响所有主流 Chromium 浏览器,至今未打补丁。概念验证已经流到了野外。有意思的问题不在于它怎么工作,而在于:当你关闭标签页时,它所依附的整台底层机器就会消失——在这样的浏览器上,「持久化」到底意味着什么。
2026 年 5 月 18 日,Lasso Security 披露了针对 Nvidia NemoClaw 的两起攻击——NemoClaw 就是运行 OpenClaw 自主编码代理的那个沙箱。沙箱完全按照 Nvidia 描述的方式运转。沙箱里的代理依然把用户的 GitHub 令牌推送到了攻击者控制的拉取请求里,编码成 emoji,从而绕开了 GitHub 的静态密钥扫描器。有意思的问题不是沙箱是不是坏了,而是:一个把明文凭据文件放在自己内部的沙箱,从架构意义上说,到底算不算沙箱?以及,这个答案对所有在 2026 年发布编码代理的人意味着什么?
2026 年 5 月 11 日那一周的某个时刻,Shai-Hulud 背后的人——这条自 2025 年 9 月以来一直在吞噬维护者账号的自复制 npm 供应链蠕虫——把自己的源代码泄露了。到了周末,OX Security 在同一个账号下发现了四个 typosquat npm 包,其中一个几乎是泄露蠕虫的逐字拷贝,另一个是 Golang DDoS 僵尸程序,剩下两个是把 SSH 密钥和加密货币钱包发往廉价 C2 的普通信息窃取器。供应链攻击的复刻门槛刚刚被大幅拉低,而最有可能装上这些包的人,已经不再是人。
Uber 在四月就把 2026 年全年的 AI 编码预算烧光了。CTO 回到了起点——不是因为工具不行,而是因为没人能把一美元的 token 消耗对应到任何一次实际交付的改动。Agent 没问题,问题在可见性这一层。下面是它看起来的样子,以及当每一次 agent 会话都变成结构化记录而不是一屏滚动输出之后,会发生什么变化。
2026年5月11日,一个名为Mini Shai-Hulud的npm蠕虫在@tanstack命名空间的42个包中添加了optionalDependencies行。安装其中任何一个都会执行一个Bun脚本,该脚本从GitHub Actions环境中获取OIDC令牌,用它发布更多具有有效SLSA来源的受损版本,将自己复制到.claude/中以便在下次编码代理启动时使用,并泄露从~/.aws到您的加密货币钱包的所有内容。这些包都是签名的。证明是有效的。这里展示了攻击链是什么样子的,以及当执行安装的代理在Bromure per-task虚拟机中运行时会发生什么变化。
2026 年 5 月 11 日,Apple 发布了 macOS Tahoe 26.5,带来约七十项安全修复,其中包括十个 WebKit 漏洞。本文按 CVE 类别逐一过一遍这份 WebKit 清单,并提出 2026 年唯一值得问的那个问题——在一台跑着 Bromure 的机器上,这个漏洞究竟能够到什么。
4 月 22 日,有人往 npm 上传了一个名为 @bitwarden/[email protected] 的恶意包——一个抢注式拼写错误包,会把任何运行它的机器上的 SSH 私钥、AWS/Azure/GCP 凭证、GitHub token、npm 发布 token 和 kubeconfig 一并扫走。它瞄准的目标,恰好是当今编码智能体不假思索就在做的事:npm 返回什么就装什么。本文展示这条攻击链长什么样,以及当智能体跑在 Bromure 虚拟机里、而不是你的笔记本上时,会有什么不同。
一个名为 BlackFile 的新型勒索团伙正在给零售和酒店业的员工打电话,假扮成 IT,把他们诱导到伪装的企业登录页面,让他们输入凭据和一次性验证码,然后在真正的账号上注册自己的 MFA 设备。电话本身不受任何浏览器的影响。但用户输入信息的那个页面,会受到影响。
本周披露的 Vercel 入侵事件,始于 Context.ai 的一名员工在个人电脑上下载 Roblox 作弊器,终于攻击者读取到 Vercel 客户的环境变量。本周发布的 Bromure 企业版,正是为这种攻击链而生。
Cisco Talos 的 2026 年第一季度事件响应报告把钓鱼重新推回初始访问向量的榜首;在报告内部,记录下了 Talos 首次归因于 AI「氛围编程」构建器的一个案例——一张 Outlook Web Access 仿冒页面被架设在 `*.softr.app` 子域名上,把窃取的凭据外发到一个一次性的 Google Sheet。URL 信誉系统完全看不到它来了。正确的答案,在技术栈的更下层。
Claude Mythos 的一个早期版本帮助 Mozilla 在单一 Firefox 版本中发现了 271 个安全漏洞。正确的反应既不是恐慌,也不是庆祝——而是悄悄地重新校准:对于我们发布、使用或在其之上构建的每一款浏览器,我们仍然必须抱有什么假设。
一个假 CAPTCHA 把一行 PowerShell 写进剪贴板。用户按下 Win+R 然后粘贴。不需要沙箱逃逸,不需要零日漏洞,不需要签名二进制——人就是那个漏洞。这里是我们今天拿得出手的对策、仍然存在的缺口,以及 Apple 在 macOS 26.4 里做对了什么、又做错了什么。
微软公布了一条九阶段的勒索软件攻击链,起点是一条冒充 IT 帮助台的外部 Teams 消息,终点是 Rclone 悄无声息地把网络共享的数据偷出去。其中八步都要靠宿主操作系统。没有一步能跑在一个标签页里。
一个操作者用五个伪造的发布者身份,往 Chrome Web Store 里塞了 108 个恶意扩展,累积大约两万次安装,并把所有流量都导向同一台命令与控制服务器。审核机制没拦住。这就是一款以安全为先的浏览器为什么必须采取更硬的立场。
一步步拆解 Bromure 的反钓鱼机制——本地扫描、模型、判定,以及我们为什么恰恰是为你的父母、你的祖父母和对门邻居打造了它。
LinkedIn 悄无声息地探测 6000 多个浏览器扩展、收集 48 项设备属性,每次访问都通过 WebRTC 抓走你的 LAN IP。解法不是某个隐私开关——而是一种形态完全不同的浏览器。
网络充满敌意,安全建议正在失效,而 AI 又改变了游戏规则。这就是我们为何打造一款替你扛下压力的浏览器。
苹果和谷歌如今每年要花数千万美元去寻找并修复浏览器漏洞。但每年仍有八到十个正在被实际利用的浏览器零日漏洞。这篇文章讲清楚为什么这笔账算不过来、Claude Mythos 和「漏洞末日」将如何让情况变得更糟,以及为什么一款从一开始就假设自己会被攻破的浏览器,是一种截然不同的产品。
大多数广告拦截器都是浏览器扩展程序,而大多数浏览器扩展程序,又恰好与它要保护你免受其害的那个页面,运行在同一个进程里。Bromure 的做法不一样。下面讲讲它是怎么做的,以及为什么这很重要。
绝大多数勒索软件并不是从零日漏洞开始的,而是从一个浏览器标签页开始的。下面就是 2026 年攻击链实际运转的方式——以及当它撞上一款从一开始就准备好挨打的浏览器时,会是什么样子。
VPN 到底在做什么,它做不到什么,为什么在 Bromure 中以配置文件为粒度运行 VPN 会改变匿名性的格局,以及 Cloudflare WARP 在引擎盖下究竟是怎样运作的。