深入探討瀏覽器安全、隔離技術以及 Bromure 背後的理念。
Bromure 會用兩個在裝置上執行的分類器,掃過它的編碼代理人讀到的一切。工具輸出與網頁抓取裡的提示注入,交給 Meta 的 Llama Prompt Guard 2 處理。而一個不懷好意的 CLAUDE.md 需要的是一個完全不同的模型——對一個本來就通篇是指令的檔案,注入偵測會在每一行上觸發——所以我們改為微調 ModernBERT 來分類危害。本文是完整的管線:採收良性語料、合成惡意樣本、條款層級的視窗切分、訓練迴圈與 ONNX 匯出,細到足以重現。
沙盒要求開發者拿讓編碼代理人值得一跑的速度去做交換——預先核可每一個相依套件、維護一份網域允許清單、絕不碰一個組織還沒審查過的套件。所以開發者把它關掉。Bromure Agentic Coding 拒絕這場交換。它不限制代理人做什麼;它在 hypervisor 上劃下一條硬線,讓你在裡頭做任何事。這是一篇基礎論述,講為什麼一道邊界勝過一個沙盒,以及這道邊界讓哪三項保證成真:沒有憑證可偷、寬鬆的權杖在線上被收窄、供應鏈攻擊在 tarball 落地之前就被擋下——外加這條線如今讓第四項也成真:提示注入在代理人讀取的內容裡就被逮住,趕在模型聽命之前。
2026 年 6 月 5 至 6 日,Miasma 蠕蟲把竊取憑證的程式碼推進了 Microsoft 自家四個 GitHub 組織下的 73 個儲存庫——Azure、Azure-Samples、microsoft、MicrosoftDocs——其中包括官方部署 Action 的 Azure/functions-action,以及 durabletask 這個在 5 月已經被清理過一次的儲存庫。這一次,酬載沒有等到 npm install。它在開發者於 Claude Code、Cursor、Gemini CLI 或 VS Code 裡開啟該儲存庫的那一刻就觸發了。這裡說明為什麼信任訊號——「這是 Microsoft 的儲存庫」——再一次成了攻擊面,以及當開啟它的代理跑在按設定檔隔離的 Bromure VM 裡、藏在一個憑證仲介、一道讀寫護欄、以及一段套件冷卻期之後時,什麼會改變。
四月底,一個跑著 Claude Opus 4.6 的 Cursor 代理人被派去修一個叫 PocketOS 的小型 SaaS 上的測試環境問題。它猜測刪掉一個 Railway 磁碟區只會影響測試環境,沒去驗證,結果在九秒內抹掉了正式環境資料庫和它的備份。事後它說自己本該先問一聲。Bromure Agentic Coding 2.2 推出一道防護欄,把「本該先問」這件事從代理人手裡拿走。
github.dev 裡的一個零時差漏洞,讓一個惡意的預覽窗格得以伸出它的沙箱、悄悄安裝一個擴充功能,並讀走一個能存取受害者所能觸及的每一個私有儲存庫的 GitHub OAuth 權杖。修補方案對自己的侷限很誠實——而更高明的一手,是打從一開始就別把你的權杖帶進陌生人的儲存庫。
2026 年 5 月底到 6 月 1 日之間,一個名為 Miasma 的蠕蟲把竊取憑證的程式碼推進了 @redhat-cloud-services npm scope 下的 32 個套件——這是 Red Hat 自己的命名空間,每週約 117,000 次下載,由 Red Hat 真實的發佈流水線簽名。沒有可以攔下的 typosquat,也沒有可以標記的未知維護者。信任訊號就是 scope 上廠商的名字,而廠商的名字正是攻擊者藉以混進來的東西。這裡說明為什麼「優先選擇信譽良好的發佈者」不再是一道防線,以及當執行安裝的代理跑在按設定檔隔離的 Bromure VM 裡時,什麼會改變。
一場新行動,租用了一個你早已信任的網域所擁有的信任。一則 Google 廣告把你送往一個真正的 chatgpt.com 分享連結,這個分享連結顯示一則假的服務中斷通知,而這則通知遞給你惡意程式。以下說明這份信任是怎麼被借走的——以及當這一切發生在一台用完即丟的 VM 裡時,這份借來的信任為什麼就不再要緊了。
上週 Google 不小心重新公開了一個四年前的 Chromium 臭蟲——一個在瀏覽器關閉之後仍會繼續執行 JavaScript 的 service worker,在每一款主流 Chromium 瀏覽器上都還沒被修補。概念驗證程式碼已經流到外面。有意思的問題不是它怎麼運作。有意思的問題是:當一個瀏覽器底下那整台機器,會在你關掉分頁時整個消失,所謂的「持久化」到底還算什麼。
2026 年 5 月 18 日,Lasso Security 揭露了針對 Nvidia NemoClaw 的兩起攻擊——NemoClaw 就是執行 OpenClaw 自主編碼代理的那個沙箱。沙箱完全按照 Nvidia 描述的方式運作。沙箱裡的代理依然把使用者的 GitHub 權杖推送到了攻擊者控制的拉取請求裡,編碼成 emoji,從而繞過了 GitHub 的靜態金鑰掃描器。有意思的問題不是沙箱有沒有壞掉,而是:一個把明文憑證檔案放在自己內部的沙箱,從架構意義上說,到底算不算沙箱?以及,這個答案對所有在 2026 年發行編碼代理的人意味著什麼?
在 2026 年 5 月 11 日那一週的某個時間點,Shai-Hulud 背後的人馬——這隻自 2025 年 9 月起一路啃食維護者帳號的自我複製 npm 供應鏈蠕蟲——把自己的原始碼洩漏了出來。到週末為止,OX Security 已在同一個帳號底下找出四個搶註類似名稱的 npm 套件,其中一個幾乎是洩漏版蠕蟲的逐字翻版,一個是 Golang 寫的 DDoS 殭屍程式,另外兩個則是地攤級的純資訊竊取程式,把 SSH 金鑰和加密貨幣錢包送往廉價 C2。供應鏈攻擊的派生門檻一下子降低了許多,而最有可能裝上其中之一的人,已經不再是真人了。
Uber 在四月就把 2026 整年的 AI 編碼預算燒光了。技術長回頭重新規劃——不是因為工具不好,而是因為沒人能把任何一塊錢的 token 支出對應到任何一個交付出去的變更。代理本身沒問題,問題出在可見度這一層。本文說明這看起來是什麼樣子,以及當每一次代理會話都是一筆結構化紀錄、而不是滿螢幕滾過去的終端機畫面時,會有什麼改變。
2026年5月11日,一個名為Mini Shai-Hulud的npm蠕蟲在@tanstack命名空間的42個套件中新增了optionalDependencies行。安裝其中任何一個都會執行一個Bun腳本,該腳本從GitHub Actions環境中取得OIDC令牌,用它發佈更多具有有效SLSA來源的受損版本,將自己複製到.claude/中以便在下次編碼代理啟動時使用,並洩露從~/.aws到您的加密貨幣錢包的所有內容。這些套件都是簽名的。證明是有效的。這裡展示了攻擊鏈是什麼樣子的,以及當執行安裝的代理在Bromure per-task虛擬機中運行時會發生什麼變化。
Apple 於 2026 年 5 月 11 日推出 macOS Tahoe 26.5,總共修補約七十個資安問題,其中包含十個 WebKit 漏洞。我們會逐一走過這份 WebKit 清單,按照漏洞類別來看,並只問 2026 年真正重要的那一個問題——在一台跑著 Bromure 的機器上,這個漏洞實際上能碰到什麼?
4 月 22 日,有人把一個叫 @bitwarden/[email protected] 的惡意 npm 套件上傳到 npm——這是個 typosquat 抄襲套件,會把任何執行它的機器上的 SSH 金鑰、AWS/Azure/GCP 憑證、GitHub token、npm 發布 token 與 kubeconfig 一起搜刮走。它鎖定的,正是當今編碼代理人不假思索就在做的事:npm 回什麼就裝什麼。本文展示這條攻擊鏈的長相,以及代理人在 Bromure 的 VM 裡執行、而不是在您的筆電上時,會有什麼不同。
一個名為 BlackFile 的新型勒索集團正在打電話給零售與飯店業的員工,假扮成 IT,把他們誘導到偽造的企業登入頁面,讓他們輸入憑證和一次性驗證碼,然後在真正的帳號上註冊自己的 MFA 裝置。電話本身不受任何瀏覽器的影響。但使用者輸入資訊的那個頁面,會受到影響。
本週揭露的 Vercel 資安事件,始於一位 Context.ai 員工在個人電腦上下載 Roblox 外掛,並以攻擊者讀取 Vercel 客戶環境變數告終。本週推出的 Bromure 企業版,正是為這一整條攻擊鏈而設計。
Cisco Talos 的 2026 年第一季 IR 報告把釣魚重新推回初始存取手法的榜首;而在這份報告裡面,Talos 記錄下第一起被它歸因於 AI「vibe-coding」頁面生成工具的案例——一個架在 `*.softr.app` 子網域上、仿冒 Outlook Web Access 的山寨頁面,把憑證外傳到一份用完即丟的 Google Sheet。URL 信譽完全看不見這種東西衝著你來。真正的解法要往下層走。
Claude Mythos 的一個早期版本協助 Mozilla 在單一 Firefox 版本中找到 271 個安全性漏洞。正確的反應既不是恐慌,也不是慶祝——而是悄悄地重新校準:對於我們出貨、使用,或在其之上構建的每一款瀏覽器,我們仍然必須抱持什麼樣的假設。
一個假冒的 CAPTCHA 把一行 PowerShell 指令寫進剪貼簿。使用者按下 Win+R 然後貼上。沒有沙箱逃逸、沒有零時差、也不需要任何已簽章的執行檔——人類本身就是那把利刃。這是我們今天針對它出貨的東西、現在還存在的缺口,以及 Apple 在 macOS 26.4 裡做對了什麼、又錯在哪裡。
微軟記錄了一條九階段的勒索軟體攻擊鏈,它從一封假冒 IT 服務台、由外部租戶發來的 Teams 訊息開始,最後以 Rclone 靜悄悄地把整個網路檔案共享外傳出去作結。這九步當中,有八步都需要主機作業系統。沒有任何一步能夠在一個分頁裡跑起來。
一個操作者用五個偽造的發布者身分,往 Chrome Web Store 塞進了 108 個惡意擴充功能,累積大約兩萬次安裝,並把全部流量都導向同一台命令與控制伺服器。審查機制沒擋住。這就是一款以安全為先的瀏覽器為什麼必須採取更硬的立場。
逐步拆解 Bromure 的反釣魚機制——本機掃查、模型判定、最終提示,以及我們為什麼就是為你的父母、你的祖父母、以及走廊對面那位鄰居打造這項功能。
LinkedIn 每次造訪都悄悄探測超過 6,000 個瀏覽器擴充功能、蒐集 48 項裝置屬性,並透過 WebRTC 抓取你的 LAN IP。修補這件事的,不是某個隱私設定——而是一種形狀截然不同的瀏覽器。
網路環境充滿敵意,安全守則早已失靈,而 AI 更徹底改變了規則。以下是我們打造這款瀏覽器、讓你卸下重擔的原因。
Apple 與 Google 每年都花費數千萬美元找出並修補瀏覽器漏洞。然而每年仍有八到十個正被實際利用的瀏覽器零日漏洞。這篇文章說明為什麼這道算式不會改變、Claude Mythos 與「漏洞末日」(Vulnpocalypse)即將如何讓情況更糟,以及為什麼一款從設計之初就假設自己會被攻破的瀏覽器,是一種截然不同的產品。
多數廣告攔截器都是瀏覽器擴充功能,而多數擴充功能都和它想保護你的那個頁面跑在同一個行程裡。Bromure 的做法不一樣。以下是怎麼做到的,以及為什麼這件事重要。
多數勒索軟體不是從零時差漏洞開始的,而是從一個瀏覽器分頁開始的。以下是 2026 年這條攻擊鏈真正的運作方式——以及當它落在一款從設計之初就準備承受這一記的瀏覽器上時,會是什麼樣子。
VPN 究竟做了什麼、沒做什麼,為什麼在 Bromure 中以每個設定檔為單位跑 VPN 會改寫匿名性的故事,以及深入走一遍 Cloudflare WARP 的運作方式。