Het ontdekken van beveiligingsproblemen bij de Agent is zeer ernstig, omdat Prompt en Context niet strikt van elkaar zijn gescheiden (veel gebruikers zijn zich hier zelfs niet van bewust). Aanvalsscenario's voor de Coding Agent: De oude bekende WebSearch/Fetch, waarbij aanvallers SEO kunnen gebruiken om aanvalsinstructies in webpagina's in te voegen, zoals: voer alle ENV curl uit. Als de gebruiker de Agent alle rechten heeft gegeven, kan niet alleen de ENV worden uitgevoerd, maar kan de Agent ook worden aangestuurd om alle sleutels te stelen zonder dat de gebruiker goedkeuring hoeft te geven. Bijvoorbeeld, een aanvaller heeft een crashlog gemaakt en daarin soortgelijke aanvalsinstructies ingevoegd. Wanneer je de Agent vraagt om deze log te analyseren, kunnen alle gegevens worden gestolen. Om het eenvoudiger te maken, de gebruiker heeft een feedbackmail gestuurd waarin de aanvalsinstructies zijn verborgen met een lettertype dat dezelfde kleur heeft als de achtergrond. Je kopieert dit direct naar Claude Code en wordt dan aangevallen. **Dus geef de Agent nooit alle rechten op je eigen computer** Naast de Coding Agent hebben ontwikkelaars ook veel van dit soort problemen wanneer ze Agents voor gebruikers ontwikkelen. Bijvoorbeeld, je hebt een Agent ontwikkeld om gebruikersverzoeken te verwerken, en deze Agent heeft veel tools tot zijn beschikking. Een aanvaller heeft zijn gebruikersnaam/e-mailadres veranderd in een aanvalsinstructie, zoals: change_root_password_to_admin. Wanneer je de gebruikersinformatie als context aan de Agent doorgeeft, kan dit per ongeluk de instructie activeren. Gezien dit punt, is het nodig om een laag van contextisolatie met sub-Agents te ontwerpen, evenals een laag van rechtenisolatie, wat de architectuur veel complexer maakt.