一台隔离的虚拟机能把被投毒的包挡在你的笔记本之外。但智能体仍会听你一句话就执行 npm install，而恶意的 postinstall 会在你刚刚交了真实凭证的那个盒子里发火。2.2.0 把防御挪到了智能体绕不过去的唯一位置：每一次下载包在离开虚拟机时本就会穿过的那道代理。

新功能

Supply Chain——每一个包，落地之前先扫描。 那个本就在为你中介凭证的代理，如今会在放行之前检查智能体拉取的每一个包——npm、pip、cargo。它运行在虚拟机边界上，所以即便智能体改写 .npmrc、把 pip 指向私有镜像，或用 --registry 绕过你的配置，它依然有效。扫描发生在智能体跨不过去的地方。
一道虚拟机靠嘴皮子绕不过的冷却期。 被攻陷的版本通常在被发现后几个小时内就被撤下——但恰恰是这最初的几个小时，智能体可能拉到一个。Bromure 把最近两天内发布的一切隔离起来（可调），并在边界上强制执行，这样刚上传的恶意版本——无论虚拟机里的配置怎么说——根本无法安装。
两个扫描器，两类威胁。 OSV 抓你设定的严重度阈值以上的已知 CVE。socket.dev 抓 CVE 数据库还没抓到的——流氓安装脚本、被标记为恶意的代码、仿冒抢注、悄悄回连外部的包。被标记的版本在抵达 node_modules 之前就被拦下。
安装脚本，即时剥离。 preinstall、install、postinstall 和 prepare 正是供应链载荷真正执行的地方。Bromure 改写 tarball，从 package.json 里移除脚本钩子，并修正元数据哈希，让安装依然能通过校验。确实需要它们的原生构建——better-sqlite3、 node-canvas——进入一份简短的允许列表；其余一切都以惰性状态安装。

整套供应链防护都是 Guillaume Valadon 的点子——谢谢你，Guillaume。

Bromure Agentic Coding 免费且开源。前往下载页面获取 2.2.0，或在 Agentic Coding 页面了解更多 →。