Bromure Agentic Coding

讓您的 AI 代理人
放手去跑——而且安全。

在一台只共享您所選資料夾的 Linux VM 內執行 Claude Code、Codex 與下一個編碼代理人。它們下載、安裝或弄壞的任何東西，全都留在 VM 裡。

立即下載 Bromure Agentic CodingApple Silicon（M1 以上）· 免費且開放原始碼

Bromure Agentic Coding running Claude in an isolated VM with the Trace Inspector

編碼代理人現在正在您的筆電上跑。

Claude Code 與 Codex 會拉套件、跑腳本、啟動伺服器，並執行模型認為有用的任何東西。這正是它們的價值所在。但它們執行的每一次 npm install、每一次 pip install、每一次 curl | bash，都會落到您的主機作業系統上——就在您的 SSH 金鑰、密碼管理員、iCloud 與其餘工作旁邊。

一個 typosquat 的相依套件、一段被下毒的腳本，或一個搞混的代理人，都可能悄悄洩漏一張權杖、放下一個 launch agent，或刪掉一個資料夾。代理人並不是惡意的；它只是擁有相當於 root 的權限可以動您真正的機器。那是一片誰都沒簽署過同意書的爆炸半徑。

把代理人搬進 VM 裡。

Bromure Agentic Coding 為每一位開發者提供一台 Linux 虛擬機，只共享他們挑選的資料夾。Claude 或 Codex 在 VM 內執行。它們透過共享掛載看得到您的儲存庫；看不到您的家目錄、鑰匙圈或磁碟的其他部分。

代理人需要什麼就裝什麼——系統套件、語言工具鏈、半壞不壞的實驗性建置。VM 是代理人的工作坊，不是您的筆電。出狀況時就重設 VM 重來一次。您的主機保持原樣不動。

共享資料夾在兩個方向上即時掛載，所以您照舊在 macOS 的 Cursor、VS Code 或 Xcode 中編輯，同時代理人在 VM 裡工作。您在編輯器裡儲存，代理人立刻看見變更；代理人重寫了檔案，您的編輯器也即刻接手——同一批檔案、兩邊視圖、不需要同步、也不必來回 checkout。

~/projects/my-app

$ bromure code --share ./

→ launching VM (clone of base image)…

→ mounting ~/projects/my-app at /workspace

→ proxy ready · ssh-agent forwarded · tracer on

→ ready in 3.2s

vm:/workspace

$ claude

→ npm install ✓

→ git push ✓ (token swapped at proxy)

→ host ~/.ssh: not visible · keys never left Mac

憑證代收

代理人能做事，祕密留在家裡。

一個無法 push 到 GitHub、無法從私有套件庫拉、無法 SSH 到建置伺服器的代理人，毫無用處。最直接的作法是把長期權杖與 SSH 金鑰丟進 VM。然後下一個 typosquat 的相依套件就把它們讀走，連同您的整個組織一起帶走。

Bromure 把這件事翻了過來。VM 內的設定出廠就帶著占位符——假的 bearer 權杖、假的 API 金鑰——對 git、gh、您模型供應商的 CLI、您的私有套件庫，以及任何期待 Authorization 標頭的工具來說，看起來都像是真的。您 Mac 上的代理坐在每一條離開 VM 的連線前面，認出占位符、在連線上把它換成真正的祕密、再把請求轉送出去。真正的值從未被寫進 VM 讀得到的檔案、從未存放於 VM 能傾印的環境變數、也從未頁入 VM 能掃描的記憶體。

占位符進去，真權杖出去

在主機上一次設定好 GitHub、您的模型供應商、npm、AWS、您的內部套件庫——代理人需要什麼就設定什麼。VM 收到的是滿足每個工具期待的占位符。當請求離開 hypervisor 邊界時，主機端的代理會替換為真正的 bearer。一個劫取環境變數、讀取 `~/.netrc` 或傾印記憶體的套件，拿走的只是占位符。

ssh-agent 轉發，永不曝光

ssh-agent 跑在您的 Mac 上，金鑰存放於 macOS Keychain。Bromure 只把 agent socket 轉發進 VM，正如 OpenSSH 一直以來的設計。在 VM 內，ssh 與 git 運作如常——但磁碟上沒有金鑰檔、記憶體裡沒有密碼短語，沒有東西可以被一個被攻陷的相依套件偷走。關閉工作階段，通道隨之關閉。

一個被下毒的套件可以把 VM 的檔案系統清空。它帶不走您的 GitHub 組織、無法跳板進入您的建置基礎設施、也無法掏空您的 AWS 帳戶。爆炸半徑就是 VM，而 VM 是用過即丟。

核可閘門

在代理人與您的祕密之間，多一個按鍵。

占位符替換只是故事的一半。真正的權杖仍然存在某個地方——它們只是改放在您的 Mac 上、躲在代理後面，而不是放進 VM 裡。當威脅是 VM 內的惡意軟體時，這是巨大的進步。當威脅變成您筆電本身上的惡意軟體時——一次被植入後門的更新、一個被攻陷的瀏覽器擴充功能、一個已經取得本機程式碼執行權的行程——進步就比較有限。任何能與代理對話的東西，原則上都可以向它要一張真正的權杖。

因此 Bromure 在您標記為敏感的憑證前面，加上一道明確的人為關卡。當有東西——代理人、您手動敲下的 CLI，或一個您不認識的行程——試著透過代理使用其中一張權杖時，Bromure 會在您的 Mac 上跳出視窗，指名是哪一張憑證、要送到哪裡，然後問您。您可以核可五分鐘、一小時、本次工作階段剩餘的時間，或者只放行這一次請求。時間一過，門又鎖回去。

有時限的核可

核可的當下自己挑 TTL。一次推送就五分鐘。一場專注的發版工作階段就一小時。真正讓人提心吊膽的——一次正式環境部署、一次密鑰輪替、一次破壞性遷移——就用單次放行。授權自動到期，您不會在一天剩下的時間裡留著 `aws sso login` 大門洞開。

本機惡意軟體失去施力點

如果一個跑在您 Mac 上的行程想推送到您的容器映像庫、在 GitHub 上冒充您，或把雲端帳戶榨乾，它辦不到。憑證不在磁碟上能讀，握著它們的代理也只在螢幕前的真人按下核可時才會放行一張。在您筆電上取得程式碼執行權，已經不夠拿來動正式環境。

長壽命的權杖被壓縮成一個個短暫的存取片刻。即使您的筆電從頭到尾被攻陷，攻擊者要做任何重要的事，仍然得先過您這一關。

為什麼要在 Bromure VM 裡執行代理人

受限的爆炸半徑

一個亂搞的套件、一段下毒的 post-install 腳本，或一個決定 rm -rf 的代理人，最多只能碰到 VM 裡的東西。您的家目錄、金鑰與 iCloud 全都坐在 hypervisor 邊界的另一側。

裡面沒有真正的憑證

VM 出廠就帶著占位符權杖。當請求離開 VM 時，主機端的代理會在連線上把它換成真正的 bearer；ssh-agent 跑在您的 Mac 上，只把 socket 轉發進來。一個劫取環境變數或讀取磁碟的套件，找到的只是占位符，不是祕密。

每一個動作都會被記錄

Bromure 在工作階段執行的同時追蹤完整的對話——提示、模型回應、工具呼叫、shell 命令、檔案編輯。事後打開追蹤紀錄、搜尋它、交給審查者、附加到 pull request。可追溯性不費吹灰之力。

在 macOS 上編輯，與 VM 並行

共享資料夾在兩個方向上即時。繼續在主機上用 Cursor、VS Code 或 Xcode——代理人在 VM 裡改寫一份檔案，您的編輯器立刻接手；您在編輯器裡儲存，代理人也立刻看見。同一批檔案、兩邊視圖、不需要同步。

工作階段追蹤器

確切看見代理人做了什麼。

一個編碼代理人在一次工作階段內會做出數百個決策。其中大多數您從未看到——它們在您沒仔細讀的工具呼叫中一閃而過、被總結成單一一行，或發生在您隨便瞄過的兩條訊息之間。一切都很好——直到出問題為止。或直到您必須向審查者、隊友或稽核者解釋模型實際上改了什麼為止。

Bromure 在工作階段執行的同時記錄完整內容：每一個提示、每一個模型回應、每一次工具呼叫、每一條 shell 命令、每一個寫入的檔案。事後打開追蹤紀錄、搜尋它、交給別人、附加到 pull request。代理人跑得快，紀錄則有的是耐心。

Bromure Trace Inspector showing every API call made by the agent

完整對話擷取

提示、completion、工具呼叫、shell 命令、檔案編輯、退出碼——在工作階段執行時即時擷取。沒有從 scrollback 重建的東西；關閉終端機時也不會遺失任何東西。

可重播、可審查、可歸因

細看代理人的推理與動作，明確看到裝了什麼、為什麼裝，並把「就是能跑」或「就是壞掉了」變成可以拿給另一個人看的東西。

代理人運作正常時，追蹤紀錄是您的書面證據；運作不正常時，它就是您的 bug 報告。

自帶您的代理人。

Bromure Agentic Coding 不取代您的工具——它為它們提供一個安全的執行環境。VM 出廠就附上多數代理人需要的執行環境，剩下的您自行安裝。

Claude Code

Anthropic 以終端機為基礎的編碼代理人在 VM 中原生執行。驗證一次，就讓它去拉相依套件、跑測試，並針對您共享的儲存庫進行重構。

Codex

OpenAI 的編碼代理人，在 VM 內的安裝方式與在任何 Linux 機器上一樣——只是這台 Linux 機器看不到您的家目錄。

其他任何代理人

Aider、OpenHands、自家內部代理人——只要能在 Linux 上跑，就能在 Bromure 裡跑。VM 不過就是一台 Linux 機器，安全來自它所在的位置。

運作方式

1. 挑選您的資料夾

建立 VM 時，您選擇它可以掛載 Mac 上的哪些資料夾——通常是您正在處理的專案。那就是代理人對您檔案系統的全部視野。

2. 啟動 VM

Bromure 透過 Apple Virtualization.framework 在數秒內啟動一台 Linux VM。像連到任何遠端機器那樣，打開一個終端機進去即可。

3. 執行代理人

在 VM 內安裝 Claude Code 或 Codex，把它指向共享的資料夾。讓它工作——安裝套件、跑腳本、產生行程——完全不會碰到您的主機。

4. 想重設就重設

當 VM 的狀態不再有用時，把它丟掉。幾秒內重新開始。您的程式碼在主機上，髒亂留在 VM 裡。

VM vs container

為什麼不直接用容器？

四個原因。

共用核心

容器與您的主機共用核心。一個夠壞的套件、一個核心臭蟲，或一個錯誤設定的掛載，邊界就消失了。容器設計的初衷是隔離工作負載，而不是抵禦您主動跑在裡面的那些東西。

不可變，不互動

容器映像檔是一次建好就凍結的。一個互動式的編碼代理人——整天在裝套件、調整設定、重建工具——一路都在跟那個模型對抗。每一次變更都想觸發一次重建。為了讓工作流程能忍受而掛進來的可寫家目錄，反而成了映像檔其他部分原本應該保護的軟肋。

在 macOS 上其實沒在跑

Mac 上的 Docker 並不是真的在跑容器——它是把容器跑在 Docker Desktop 隨附的隱藏 Linux VM 裡。您本來就已經在付 VM 的成本，只是沒看見而已。Bromure 把中間那一層砍掉：一台 VM，看得見、可設定，而且是您的。

沒辦法把秘密擋在外面

要讓容器能跑 git、gh、kubectl、aws 或 npm，最後您總會把 ~/.ssh、~/.kube/config、~/.aws/credentials、~/.npmrc 以及您的 GitHub token 掛進去——您真正的秘密就放在代理人能讀到的檔案系統裡。Bromure 把這套反過來。VM 裡只有佔位字串，但對每個工具來說都長得像真正的憑證；主機端的代理會認出它們，並在請求離開 VM 的當下，於連線上把它們替換成真正的 GitHub token、kubeconfig bearer、AWS 憑證或 registry 密碼。SSH 私鑰留在 macOS 鑰匙圈裡——只把 ssh-agent 的 socket 轉發進去。容器要達到同樣效果，得把整套信任模型從頭重做一遍。

VM 擁有自己的核心、自己的記憶體、自己的檔案系統。您想裝什麼就裝什麼，方式跟在任何 Linux 機器上一樣，整天都這樣做。Apple 的 Virtualization.framework 把成本壓得夠低，讓您沒有理由再退而求其次。

給您的代理人一座真正的工作坊。

一台 VM。完全隔離。想裝什麼就裝什麼。Bromure Agentic Coding 免費且開放原始碼。