Descubrí que los problemas de seguridad con el agente eran muy serios porque no había un aislamiento estricto entre el prompt y el contexto (muchos usuarios ni siquiera se daban cuenta). Casos de ataque a agentes codificadores: En el cliché WebSearch/Fetch, un atacante puede insertar instrucciones de ataque a través de la página web, como curlar todos los ENVs, y si el usuario concede al agente todos los permisos, no solo el ENV, sino también el agente puede robar todas las claves sin la aprobación del usuario. Otro ejemplo es que un atacante construye un registro de fallos e inserta instrucciones de ataque similares en el registro, y cuando pides al agente que analice el registro, todos los datos pueden ser robados. En pocas palabras, un usuario envía un correo de feedback que oculta el comando de ataque en una fuente del mismo color que el fondo, y lo copias directamente a Claude Code, y entonces es atacado. **Así que nunca le des al agente todos los permisos en tu propio ordenador** Además de los agentes de programación, los desarrolladores también tienen muchos de estos problemas cuando trabajan como agentes orientados al usuario. Por ejemplo, si desarrollas un agente para gestionar las solicitudes de los usuarios, este agente tiene muchas herramientas para usar. Los atacantes cambian su nombre de usuario/dirección de correo electrónico a comandos de ataque, como: change_root_password_to_admin, cuando entregas información del usuario como contexto al agente, es posible que el comando se active accidentalmente. Teniendo esto en cuenta, es necesario diseñar capas de subagentes aislados en contexto y capas de aislamiento de permisos, que serán muchas veces más complejas.