把真實憑證擋在沙箱之外，能阻止被下毒的套件竊取它們。但有一種攻擊根本不需要偷到任何權杖：只要告訴代理人該做什麼就行。原始碼檔案裡的一則註解、抓取網頁裡的某一行、某個工具輸出裡的字串，或埋在 CLAUDE.md 裡的一條指令，都能把模型導向你從未要求過的事—— 而它把這些當成指示讀進去，然後照辦。2.4.0 加上了補住這道缺口的第四根支柱，而且它完全在你的 Mac 上運行。

新功能

提示注入偵測——兩個偵測器，一鍵搞定。 全新的 Prompt Injection 設定檔類別，附帶記錄／詢問／攔截動作。什麼都不會離開 Mac：偵測在裝置上進行。
- 不受信任內容裡的注入。 一個本地的 PromptGuard（DeBERTa）分類器會為代理人攝入的 tool_result 區段評分——檔案讀取、網頁抓取、工具輸出。夾帶進 README、程式碼註解或 API 回應裡的指令，會在模型動手之前就被抓出來。
- 規則檔案裡的流氓指令。 代理人視為權威的 CLAUDE.md、AGENTS.md 和 GROK.md 檔案，會經過一道決定性的檢查（不可見 Unicode、雙向文字花招、「忽略先前指令」這類元指令）以及一個經過微調的 ModernBERT 分類器，後者能抓出關鍵字過濾會漏掉、語氣平和的濫用。涵蓋 Claude Code、Codex 和 Grok Build。
記錄、詢問或攔截——力道由你決定。 記錄會以零額外延遲寫入 Security Log（更名後的 Supply Chain Log——它如今也會記錄不良輸入）。詢問會暫停請求，並把被標記的文字顯示給你以放行或拒絕。攔截會在模型看到內容之前就讓請求失敗。這項政策是逐設定檔的，並即時生效—— 在運行中的 VM 上切換它，下一次代理人呼叫就會套用，無需重啟。
為受管安裝提供全機隊可見性。 在受管安裝上，每一次偵測都會以 prompt_injection 事件轉發到你的 Bromure 主控台——來源、片段，以及它是被記錄、被標記還是被攔截——這樣安全團隊就能看到整個機隊範圍內的注入嘗試，而不只是發生在當事筆電上的那一次。

改進

主機磁碟滿了，現在會明說。 基底映像建置、模型下載和 VM 啟動都會預檢可用空間，並呈現一則清楚的、本地化的「請清出空間後再試一次」——而不是過去磁碟滿了會造成的那種令人困惑的 30 分鐘安裝逾時。
VM 標題列上的設定齒輪。 直接從運行中 VM 的視窗開啟它自己的設定檔；主機端設定即時套用。
Trace Inspector 開箱就能看到東西。 新設定檔預設啟用 AI 細節追蹤，為知名的模型主機（Anthropic、OpenAI、Google、Cohere…）擷取請求與回應主體。主體在靜態時被封存；非 AI 流量維持僅中繼資料。

修復

VM 不會再自己關機了。 緩慢的冷開機或一個過期的分頁事件，可能被誤判成你關掉了最後一個終端機，於是 VM 剛起來沒多久就被關掉。主機如今只會對它已確認存活的分頁採取動作；真正的最後一個分頁關閉仍會像以前那樣關機。
VPN 後方的可靠網路。 VM 的預設網路 MTU 從 1400 降到 1280，這樣大型 TLS 交握和 npm tarball 區塊就不會在天花板較低的企業路徑上被黑洞吞掉——DMVPN、Cisco AnyConnect、 6-in-4 隧道。可用 defaults write io.bromure.agentic-coding vm.mtu -int <value> 逐主機覆寫。

Bromure Agentic Coding 免費且開源。前往下載頁面取得 2.4.0，或在 Agentic Coding 頁面了解更多 →。