Saya menemukan bahwa masalah keamanan dengan agen sangat serius karena tidak ada isolasi ketat antara prompt dan konteks (banyak pengguna bahkan tidak menyadarinya). Kasus Serangan Agen Pengkodean: Dalam WebSearch/Fetch yang klise, penyerang dapat menyisipkan instruksi serangan melalui halaman web, seperti melengkungkan semua ENV, dan jika pengguna memberikan semua izin kepada agen, tidak hanya ENV, tetapi juga agen dapat mencuri semua kunci tanpa persetujuan pengguna. Contoh lain adalah penyerang membuat log kerusakan dan menyisipkan instruksi serangan serupa ke dalam log, dan ketika Anda meminta agen untuk menganalisis log, semua data dapat dicuri. Sederhananya, seorang pengguna mengirim email umpan balik yang menyembunyikan perintah serangan dalam font dengan warna yang sama dengan latar belakang, dan Anda menyalinnya langsung ke Claude Code, dan kemudian diserang. **Jadi jangan pernah memberikan semua izin kepada agen di komputer Anda sendiri** Selain agen pengkodean, pengembang juga memiliki banyak masalah seperti itu saat bekerja sebagai agen yang menghadap pengguna. Misalnya, jika Anda mengembangkan agen untuk menangani permintaan pengguna, agen ini memiliki banyak alat untuk digunakan. Penyerang mengubah nama pengguna/alamat email mereka menjadi perintah serangan, seperti: change_root_password_to_admin, ketika Anda menyerahkan informasi pengguna sebagai konteks kepada agen, dimungkinkan untuk memicu perintah secara tidak sengaja. Mempertimbangkan hal ini, perlu untuk merancang lapisan sub-agen yang terisolasi konteks dan lapisan isolasi izin, yang akan berkali-kali lebih kompleks.