Bromure Agentic Coding

別成為下一個
GitHub

上述每一個名字，都是透過開發者的環境被攻陷——一個外洩的祕密、一條被下毒的供應鏈、一個失控的 AI 代理人。Bromure Agentic Coding 把這三件事一併擋下。

立即下載 Bromure Agentic CodingApple Silicon（M1 以上）· 免費且開放原始碼

Bromure Agentic Coding running Claude in an isolated VM with the Trace Inspector

他們沒有使用 Bromure Agentic Coding

GitHub Red Hat TanStack Nx Bitwarden Aqua Checkmarx CISA 歐盟委員會 SAP Grafana Mistral GitHub Red Hat TanStack Nx Bitwarden Aqua Checkmarx CISA 歐盟委員會 SAP Grafana Mistral

這一注

要框住的是爆炸半徑，不是開發者。

本能的做法是把開發者鎖起來——EDR、不給 root、每一份憑證都擋在佇列後面。這行不通：當機器不是他們自己的，他們就會繞過你，於是你既丟了想抓住的管控，也丟了本來已有的可見性。

把整台機器交給他們

root、任意套件、任意實驗，凌晨兩點不用工單。把這些拿走，一個好工程師要麼反抗，要麼悄悄繞過你。環境得讓人覺得是自己的，否則他們不會用。

鑰匙在他們手裡

正式環境資料庫。AWS 帳戶。一條指令就能刪掉的叢集。這種存取權就是工作本身——但一條錯誤指令、一個被下毒的相依套件、一個失控的代理人，就能把整間公司圈進爆炸半徑。

讓他們盡情實驗，把損害從桌上拿走

靠縮小開發者能做的事，並不能讓它變安全；讓它變安全的，是縮小一個失誤——或一次入侵——真正能搆到的範圍。

所以 Bromure 讓開發者的能力完全不打折扣，轉而給三樣東西拴上繩子：他們的密鑰、他們的環境，以及供應鏈夾帶進來的東西。

把全部能力交給開發者，給損害拴上繩子。

你的密鑰

真實權杖和 SSH 金鑰從不進入沙箱。代理人拿到的是占位符；您 Mac 上的代理在連線上換入真實的 bearer。任何敏感操作都要點一下。

你的環境

防護欄檢查的是操作，而不只是連線。對正式環境的 DELETE、force-push、DROP 會停下來先問您——無論它手裡握著什麼權杖。

你的供應鏈

代理人拉取的每一個套件都會與 OSV 和 socket.dev 比對，安裝指令稿被剝除，全新發布的版本被扣住——在這一切抵達 VM 之前。

憑證代收

代理人能做事，祕密留在家裡。

一個搆不到您的儲存庫、套件庫與伺服器的代理人，毫無用處。最直接的作法——把權杖與金鑰丟進 VM——等於把它們交給下一個讀走它們的 typosquat 相依套件。

Bromure 把這件事翻了過來。VM 出廠就帶著占位符，對任何期待 Authorization 標頭的工具來說都像是真的。您 Mac 上的代理攔下每一條離開的連線，在連線上把占位符換成真正的祕密。真正的值從未碰到 VM 讀得到的檔案、環境變數或記憶體。

沙箱 VM

代理人在這裡執行

$ git push

Authorization: Bearer stub_7f3a…ce21

代收者 · 你的 Mac

真實密鑰從不離開

辨識出占位符 → 在連線上換入

真實 PAT

github.com

看到的是有效權杖

200 OK

真實的 PAT 從不碰到 VM 搆得到的檔案、環境變數或記憶體頁。一個被下毒的相依套件，帶走的只是那個占位符。

占位符進去，真權杖出去

在主機上一次設定好您的憑證。VM 收到的是每個工具都接受的占位符；當請求離開時，代理會替換成真正的 bearer。一個刮取檔案系統的套件，拿走的只是占位符。

ssh-agent 轉發，永不曝光

SSH 金鑰留在 macOS Keychain 裡——Bromure 只把 ssh-agent 的 socket 轉發進 VM。ssh 與 git 運作如常，但磁碟上沒有金鑰檔、記憶體裡沒有密碼短語，沒有東西可偷。

核可閘門

在代理人與您的祕密之間，多一個按鍵。

把一張憑證標記為敏感，Bromure 就加上一道人為關卡。當有東西透過代理伸手要它時，您 Mac 上會跳出視窗，指名是哪張憑證、要送到哪裡，然後問您。核可五分鐘、一小時、本次工作階段，或者只此一次。

有時限的核可

核可的當下自己挑 TTL：一次推送五分鐘，一場發版一小時，真正讓人提心吊膽的就用單次放行。授權自動到期，一張權杖不會在一整天裡都大門洞開。

本機惡意軟體失去施力點

想推送到您的套件庫、在 GitHub 上冒充您、或把雲端帳戶榨乾的本機惡意軟體，都辦不到。憑證不在磁碟上，代理也只在您按下核可時才放行一張。光是取得程式碼執行權，已經不夠拿來動正式環境。

長壽命的權杖被壓縮成一個個短暫的存取片刻。即使您的筆電被徹底攻陷，攻擊者要做任何重要的事，仍然得先過您這一關。

防護欄

讓任何金鑰出門時都變成唯讀。

真正的恐怖故事不是被偷走的權杖，而是一個代理人拿到一張完全合法的憑證，卻清空了正式環境裡不該動的東西。金鑰從未外洩，它只是握有不該被託付的寫入權限。而教科書上的解法——為每個工具、每個工作階段都鑄一張唯讀權杖——繁瑣到沒人真的會去做。

防護欄檢視的是操作本身，而不只是連線——分得清讀與寫。把一張憑證標記為唯讀，Bromure 就拒絕任何會改動狀態的動作。或者設成詢問：當代理人真的要動點什麼的那一刻，Bromure 就在連線上攔下它來問您，指名是哪個動詞、哪個目標、哪個設定檔，就像這樣。

Bromure Guardrails prompting for approval before a destructive kubectl delete against a production cluster

不必重新簽發任何東西就能唯讀

別再為每個工具、每個儲存庫、每個工作階段鑄一張範圍受限的權杖了。保留您手邊的憑證，在它前面放上一道唯讀邊界——它在您指定的時間內就表現得像唯讀。需要發版？把它翻回來十五分鐘。

要改動之前先問一聲

把敏感憑證設成提示，於是每一次會改動狀態的呼叫都會暫停，直到您核可。一樣的時限授權：十五分鐘、只此一次、本次工作階段，或者永不放行。代理人可以讀上一整天；少了您點頭，它動不了正式環境。

在犯錯代價低的地方，代理人保有它的自主；在代價高的地方，它的自主恰恰被收走。「代理人刪掉了正式環境資料庫」不再是一份事後檢討，而成了一個您按下「不允許」的對話框。

供應鏈

代理人拉取的每一個套件，落地之前先掃描。

本頁頂端那些標誌，是一面供應鏈事件之牆。一個聽您一句話就去安裝相依套件的代理人，是完美的投遞載體：它執行 `npm install`，一個遞移相依套件觸發了它的 postinstall，而您要到下一季才發現。

Supply Chain 把那個代理變成一道掃描關卡：代理人取得的每一個套件都會與 OSV 和 socket.dev 比對，安裝指令稿會被剝除，全新發布的版本會被扣住。它運行在 VM 邊界上，所以無論代理人對內部做什麼，它都照常生效。

Bromure Supply Chain log scanning every npm package against OSV and socket.dev as the agent installs them

在代理人之下強制執行，而非倚賴它

每一次取套件都經由 Bromure 的代理離開 VM。無論代理人怎麼改寫設定想繞過您，掃描都發生在它無法跨越的邊界上——所以即使代理人主動想閃避，這道防線依然守得住。

兩個掃描器，兩類威脅

OSV 抓已知、且超過您設定嚴重度門檻的 CVE。socket.dev 抓資料庫還沒抓到的：流氓安裝指令稿、惡意程式碼、仿冒搶註。被標記的版本在抵達 VM 之前就被攔下。

安裝指令稿，即時剝除

像 `postinstall` 這類安裝掛鉤，正是酬載真正執行的地方。Bromure 把它們從 tarball 裡剝除，並修正中繼資料雜湊，讓安裝依然能通過驗證。少數確實需要它們的原生建置進入一份簡短的允許清單；其餘一切都以惰性狀態安裝。

套件得先熟一熟，才咬得動人

被攻陷的版本通常在幾個小時內就被撤下——而這恰恰是代理人可能拉到一個的那幾個小時。Bromure 把最近兩天內發布的一切隔離起來（可調），這樣剛上傳的惡意版本，在生態系追上來之前根本無法安裝。

代理人可以 `npm install` 它需要的任何東西——但拉不到帶已知嚴重 CVE 的套件、被攻陷的版本、不被允許的安裝指令稿，或一小時前才上傳的版本。這道防線從不倚賴代理人的配合。

工作階段追蹤器

確切看見代理人做了什麼。

一個編碼代理人在一次工作階段內會做出數百個決策，其中大多數都在您沒讀的情況下一閃而過。一切都很好——直到出問題為止，或直到您必須向隊友或稽核者解釋模型實際上改了什麼為止。

Bromure 在工作階段執行的同時記錄完整內容：每一個提示、每一個回應、每一次工具呼叫、每一條 shell 命令、每一個寫入的檔案。事後打開它、搜尋它、附加到 pull request。代理人跑得快，紀錄則有的是耐心。

Bromure Trace Inspector showing every API call made by the agent

完整對話擷取

提示、completion、工具呼叫、shell 命令、檔案編輯、退出碼——即時擷取。沒有從 scrollback 重建的東西；關閉終端機時也不會遺失任何東西。

可重播、可審查、可歸因

細看代理人的推理與動作，明確看到裝了什麼、為什麼裝，並把「就是能跑」或「就是壞掉了」變成可以拿給另一個人看的東西。

代理人運作正常時，追蹤紀錄是您的書面證據；運作不正常時，它就是您的 bug 報告。

自帶您的代理人。

Bromure Agentic Coding 不取代您的工具——它為它們提供一個安全的執行環境。VM 出廠就附上多數代理人需要的執行環境，剩下的您自行安裝。

Claude Code

Anthropic 以終端機為基礎的代理人在 VM 中原生執行。驗證一次，就讓它去拉相依套件、跑測試，並針對您共享的儲存庫進行重構。

Codex

OpenAI 的編碼代理人，在 VM 內的安裝方式與在任何 Linux 機器上一樣——只是這台 Linux 機器看不到您的家目錄。

Grok Build

xAI 的編碼代理人在 VM 裡像其他任何 Linux 工具一樣安裝與執行。把它指向你共享的儲存庫即可——你真正的權杖與 SSH 金鑰都留在主機上，它搆不到。

其他任何代理人

Aider、OpenHands、自家內部代理人——只要能在 Linux 上跑，就能在 Bromure 裡跑。VM 不過就是一台 Linux 機器，安全來自它所在的位置。

運作方式

1. 挑選您的資料夾

選擇 VM 可以掛載 Mac 上的哪些資料夾——通常就是您正在處理的專案。那就是代理人對您檔案系統的全部視野。

2. 啟動 VM

Bromure 透過 Apple Virtualization.framework 在數秒內啟動一台 Linux VM。像連到任何遠端機器那樣，打開一個終端機進去即可。

3. 執行代理人

在 VM 內安裝 Claude Code 或 Codex，把它指向共享的資料夾。讓它工作——安裝套件、跑腳本、產生行程——完全不會碰到您的主機。

4. 想重設就重設

當 VM 的狀態不再有用時，把它丟掉。幾秒內重新開始。您的程式碼在主機上，髒亂留在 VM 裡。

為什麼不直接用容器或現成的 VM？

那用容器，或我手邊既有的 VM 呢？

每個人都有某種沙箱。Bromure 的重點不是沙箱本身——而是裡面「沒有」放進去的那些東西。

沒有憑證代收

要讓一個一般的容器派上用場，您最後總得把真正的祕密掛進去，放在代理人讀得到的檔案系統裡。Bromure 把這套反過來：沙箱裡只有占位符，代理在連線上替換成真正的祕密。一般容器若不把信任模型從頭重做一遍，就做不到同樣的事。

沒有核可閘門

一般沙箱會在有東西索取的那一刻就把憑證放出來。Bromure 在每一張敏感憑證前面加上一道人為關卡——名稱、目的地、TTL——讓本機惡意軟體也無法趁您沒看的時候掏走一張權杖。

容器和您共用核心

容器與主機共用核心——一個夠壞的套件或核心臭蟲，邊界就消失了。它們隔離的是工作負載，而不是您主動跑在裡面的東西。Bromure 的沙箱是一台擁有自己核心的真實 VM：萬一憑證層真的需要退守，這是一道真正的邊界。

Mac 上的 Docker 本來就是一台 VM

Mac 上的 Docker 早就把您的容器跑在一台隱藏的 Linux VM 裡——您本來就在付 VM 的成本，只是沒看見而已。Bromure 把中間那一層砍掉，直接使用 Apple 的 Virtualization.framework：一個沙箱，看得見，而且是您的。

任何容器或 VM 都能裝下一個代理人。但只有 Bromure 替您做憑證代收，讓代理人從頭到尾都拿不到它們。隔離只是基本盤，憑證代收才是真正拉開差距的關鍵。

給您的代理人一座真正的工作坊。

一台 VM。完全隔離。想裝什麼就裝什麼。Bromure Agentic Coding 免費且開放原始碼。