Odkrycie problemów z bezpieczeństwem Agenta jest bardzo poważne, ponieważ Prompt i Context nie są ściśle izolowane (wielu użytkowników nawet nie zdaje sobie z tego sprawy). Przykłady ataków na Coding Agenta: Klasyczny przypadek WebSearch/Fetch, gdzie atakujący może wykorzystać SEO do wstrzykiwania poleceń atakujących na stronach internetowych, na przykład: wykonanie wszystkich ENV curl, jeśli użytkownik przyznał Agentowi wszystkie uprawnienia, nie tylko ENV, ale także może nakłonić Agenta do kradzieży wszystkich kluczy bez potrzeby zatwierdzenia przez użytkownika. Inny przykład to sytuacja, w której atakujący skonstruował dziennik awarii, w którym wstrzyknął podobne polecenia atakujące. Kiedy poprosisz Agenta o analizę tego dziennika, wszystkie dane mogą zostać skradzione. Jeszcze prościej, użytkownik wysłał e-mail z informacją zwrotną, w którym ukrył polecenia atakujące w kolorze tła, a ty po prostu skopiowałeś to do Claude Code, a następnie zostałeś zaatakowany. **Dlatego nigdy nie dawaj Agentowi wszystkich uprawnień na swoim komputerze** Oprócz Coding Agenta, deweloperzy napotykają wiele takich problemów, gdy tworzą Agenta skierowanego do użytkowników. Na przykład, jeśli stworzysz Agenta do obsługi żądań użytkowników, ten Agent ma wiele narzędzi do wykorzystania. Atakujący zmienia swoje imię użytkownika/adres e-mail na polecenie atakujące, na przykład: change_root_password_to_admin, a kiedy przekazujesz informacje o użytkowniku jako kontekst do Agenta, może to przypadkowo wywołać polecenie. Biorąc to pod uwagę, konieczne jest zaprojektowanie warstwowej izolacji kontekstu dla subagentów oraz warstwowej izolacji uprawnień, co znacznie skomplikuje architekturę.