部落格

深入探討瀏覽器安全、隔離技術以及 Bromure 背後的理念。

2026年4月26日 · 作者 Renaud Deraison

您的編碼代理人裝上了那個假 Bitwarden

4 月 22 日，有人把一個叫 @bitwarden/[email protected] 的惡意 npm 套件上傳到 npm——這是個 typosquat 抄襲套件，會把任何執行它的機器上的 SSH 金鑰、AWS/Azure/GCP 憑證、GitHub token、npm 發布 token 與 kubeconfig 一起搜刮走。它鎖定的，正是當今編碼代理人不假思索就在做的事：npm 回什麼就裝什麼。本文展示這條攻擊鏈的長相，以及代理人在 Bromure 的 VM 裡執行、而不是在您的筆電上時，會有什麼不同。

閱讀更多 →

2026年4月25日 · 作者 Renaud Deraison

電話是從幫助台內部打來的

一個名為 BlackFile 的新型勒索集團正在打電話給零售與飯店業的員工,假扮成 IT,把他們誘導到偽造的企業登入頁面,讓他們輸入憑證和一次性驗證碼,然後在真正的帳號上註冊自己的 MFA 裝置。電話本身不受任何瀏覽器的影響。但使用者輸入資訊的那個頁面,會受到影響。

閱讀更多 →

2026年4月24日 · 作者 Renaud Deraison

一個 Roblox 外掛、一次 OAuth 授權,以及 Vercel 的 $2M 外洩事件

本週揭露的 Vercel 資安事件,始於一位 Context.ai 員工在個人電腦上下載 Roblox 外掛,並以攻擊者讀取 Vercel 客戶環境變數告終。本週推出的 Bromure 企業版,正是為這一整條攻擊鏈而設計。

閱讀更多 →

2026年4月23日 · 作者 Renaud Deraison

那個自己搭起自己的釣魚頁面

Cisco Talos 的 2026 年第一季 IR 報告把釣魚重新推回初始存取手法的榜首；而在這份報告裡面，Talos 記錄下第一起被它歸因於 AI「vibe-coding」頁面生成工具的案例——一個架在 `*.softr.app` 子網域上、仿冒 Outlook Web Access 的山寨頁面，把憑證外傳到一份用完即丟的 Google Sheet。URL 信譽完全看不見這種東西衝著你來。真正的解法要往下層走。

閱讀更多 →

2026年4月22日 · 作者 Renaud Deraison

假設渲染器會失守——Mozilla 靠 AI 找到的 271 個漏洞，對瀏覽器安全意味著什麼

Claude Mythos 的一個早期版本協助 Mozilla 在單一 Firefox 版本中找到 271 個安全性漏洞。正確的反應既不是恐慌，也不是慶祝——而是悄悄地重新校準：對於我們出貨、使用，或在其之上構建的每一款瀏覽器，我們仍然必須抱持什麼樣的假設。

閱讀更多 →

2026年4月21日 · 作者 Renaud Deraison

剪貼簿就是那把利刃——ClickFix 把每一位防守者逼到哪裡

一個假冒的 CAPTCHA 把一行 PowerShell 指令寫進剪貼簿。使用者按下 Win+R 然後貼上。沒有沙箱逃逸、沒有零時差、也不需要任何已簽章的執行檔——人類本身就是那把利刃。這是我們今天針對它出貨的東西、現在還存在的缺口，以及 Apple 在 macOS 26.4 裡做對了什麼、又錯在哪裡。

閱讀更多 →

2026年4月21日 · 作者 Renaud Deraison

九步攻擊鏈——為什麼它會死在第一步

微軟記錄了一條九階段的勒索軟體攻擊鏈，它從一封假冒 IT 服務台、由外部租戶發來的 Teams 訊息開始，最後以 Rclone 靜悄悄地把整個網路檔案共享外傳出去作結。這九步當中，有八步都需要主機作業系統。沒有任何一步能夠在一個分頁裡跑起來。

閱讀更多 →

2026年4月20日 · 作者 Renaud Deraison

當商店本身就是威脅——108 個惡意 Chrome 擴充功能、一台 C2、兩萬次安裝

一個操作者用五個偽造的發布者身分，往 Chrome Web Store 塞進了 108 個惡意擴充功能，累積大約兩萬次安裝，並把全部流量都導向同一台命令與控制伺服器。審查機制沒擋住。這就是一款以安全為先的瀏覽器為什麼必須採取更硬的立場。

閱讀更多 →

2026年4月19日 · 作者 Renaud Deraison

Bromure 如何在釣魚攻擊找上你父母之前就攔下它

逐步拆解 Bromure 的反釣魚機制——本機掃查、模型判定、最終提示，以及我們為什麼就是為你的父母、你的祖父母、以及走廊對面那位鄰居打造這項功能。

閱讀更多 →

2026年4月17日 · 作者 Renaud Deraison

LinkedIn 的 BrowserGate，以及為什麼「一個瀏覽器身分」已經不夠用

LinkedIn 每次造訪都悄悄探測超過 6,000 個瀏覽器擴充功能、蒐集 48 項裝置屬性，並透過 WebRTC 抓取你的 LAN IP。修補這件事的，不是某個隱私設定——而是一種形狀截然不同的瀏覽器。

閱讀更多 →

2026年4月10日 · 作者 Renaud Deraison

以設計建立信任——Bromure 背後的理念

網路環境充滿敵意，安全守則早已失靈，而 AI 更徹底改變了規則。以下是我們打造這款瀏覽器、讓你卸下重擔的原因。

閱讀更多 →

2026年4月10日 · 作者 Renaud Deraison

為什麼瀏覽器零日漏洞不會消失，以及 Bromure 如何應對

Apple 與 Google 每年都花費數千萬美元找出並修補瀏覽器漏洞。然而每年仍有八到十個正被實際利用的瀏覽器零日漏洞。這篇文章說明為什麼這道算式不會改變、Claude Mythos 與「漏洞末日」（Vulnpocalypse）即將如何讓情況更糟，以及為什麼一款從設計之初就假設自己會被攻破的瀏覽器，是一種截然不同的產品。

閱讀更多 →

2026年3月27日 · 作者 Renaud Deraison

Bromure 如何在頁面看見之前就攔下廣告

多數廣告攔截器都是瀏覽器擴充功能，而多數擴充功能都和它想保護你的那個頁面跑在同一個行程裡。Bromure 的做法不一樣。以下是怎麼做到的，以及為什麼這件事重要。

閱讀更多 →

2026年3月15日 · 作者 Renaud Deraison

現代勒索軟體如何入侵——以及 Bromure 如何把門關上

多數勒索軟體不是從零時差漏洞開始的，而是從一個瀏覽器分頁開始的。以下是 2026 年這條攻擊鏈真正的運作方式——以及當它落在一款從設計之初就準備承受這一記的瀏覽器上時，會是什麼樣子。

閱讀更多 →

2026年3月4日 · 作者 Renaud Deraison

在 Bromure 裡跑 VPN——以及一份 Cloudflare WARP 的白話入門

VPN 究竟做了什麼、沒做什麼，為什麼在 Bromure 中以每個設定檔為單位跑 VPN 會改寫匿名性的故事，以及深入走一遍 Cloudflare WARP 的運作方式。

閱讀更多 →