把真实凭证挡在沙箱之外，能阻止被投毒的包窃取它们。但还有一种攻击根本不需要偷到任何令牌：只要告诉智能体该做什么就行。源文件里的一条注释、抓取的网页里的某行、工具输出里的某个字符串，或埋在 CLAUDE.md 里的一条指令，都能把模型引向你从未要求过的事——而它会把这些读成指令，乖乖照办。2.4.0 新增了第四根支柱来堵上这个缺口，而且它完全运行在你的 Mac 上。

新功能

提示注入检测——两个检测器，一键搞定。 全新的 Prompt Injection 配置类别，带有记录 / 询问 / 拦截动作。没有任何东西离开 Mac：检测在设备本地运行。
- 不可信内容里的注入。 一个本地的 PromptGuard（DeBERTa）分类器会为智能体摄入的 tool_result 片段打分——文件读取、网页抓取、工具输出。一条夹带在 README、代码注释或 API 响应里的指令，会在模型据此行动之前被抓住。
- 规则文件里的流氓指令。 智能体当作权威来对待的 CLAUDE.md、AGENTS.md 和 GROK.md 文件，会经过一道确定性的检查（不可见 Unicode、双向文本花招、“忽略此前指令”之类的元指令）以及一个经过微调的 ModernBERT 分类器，后者能抓住关键词过滤会漏掉的、措辞平和的滥用。覆盖 Claude Code、Codex 和 Grok Build。
记录、询问或拦截——獠牙由你来选。 记录会写入 Security Log（也就是改名后的 Supply Chain Log——它现在也会记录恶意输入），且不增加任何延迟。询问会暂停请求并把被标记的文本展示给你，由你放行或拒绝。拦截会在模型看到内容之前让请求失败。该策略按配置生效并实时应用——在运行中的 VM 上切换它，它会在下一次智能体调用时落地，无需重启。
面向受管安装的全队可见性。 在受管安装上，每一次检测都会作为一个 prompt_injection 事件转发到你的 Bromure 控制台——来源、片段，以及它是被记录、被标记还是被拦截——这样安全团队就能看到整个队伍范围内的注入尝试，而不只是它们发生的那台笔记本。

改进

主机磁盘满了现在会明说。 基础镜像构建、模型下载和 VM 启动会预检查可用空间，并给出清晰、已本地化的“请释放空间后重试”——而不是磁盘满时过去常常出现的、令人困惑的 30 分钟安装超时。
VM 标题栏里的设置齿轮。 直接从运行中 VM 的窗口打开它自己的配置；主机侧的设置会实时应用。
Trace Inspector 开箱即用就有内容。 新配置默认开启 AI 细节追踪，为知名模型主机（Anthropic、OpenAI、Google、Cohere……）捕获请求与响应主体。主体在静态时被封存；非 AI 流量仍只保留元数据。

修复

VM 不再自行关机。 一次缓慢的冷启动或一个过期的标签页事件，可能被误读为你关闭了最后一个终端，于是 VM 刚启动没多久就被关掉。主机现在只对它已确认存活的标签页采取动作；一次真正的最后标签页关闭，仍会像以前那样关机。
VPN 之后的可靠联网。 VM 的默认网络 MTU 从 1400 降到 1280，于是大型 TLS 握手和 npm tarball 分块不再在天花板更低的企业网络路径上被黑洞吞掉——DMVPN、Cisco AnyConnect、6-in-4 隧道。可按主机用 defaults write io.bromure.agentic-coding vm.mtu -int <value> 覆盖。

Bromure Agentic Coding 免费且开源。前往下载页面获取 2.4.0，或在 Agentic Coding 页面了解更多 →。