Am constatat că problemele de securitate ale agentului erau foarte serioase pentru că nu exista o izolare strictă între prompt și context (mulți utilizatori nici măcar nu și-au dat seama). Cazuri de atac ale agenților de codificare: În clișeul WebSearch/Fetch, un atacator poate introduce instrucțiuni de atac prin pagina web, cum ar fi curl tuturor ENV-urilor, iar dacă utilizatorul acordă agentului toate permisiunile, nu doar ENV-ul, ci și agentul poate fura toate cheile fără aprobarea utilizatorului. Un alt exemplu este că un atacator construiește un jurnal de blocare și introduce instrucțiuni similare de atac în jurnal, iar când ceri agentului să analizeze jurnalul, toate datele pot fi furate. Pe scurt, un utilizator trimite un email de feedback care ascunde comanda de atac într-un font de aceeași culoare ca fundalul, iar tu îl copiezi direct în Claude Code, iar apoi este atacat. **Așa că nu-i da niciodată agentului toate permisiunile de pe propriul tău calculator** Pe lângă agenții de programare, dezvoltatorii întâmpină multe astfel de probleme atunci când lucrează ca agenți orientați către utilizator. De exemplu, dacă dezvolți un agent pentru a gestiona cererile utilizatorilor, acest agent are multe instrumente de folosit. Atacatorii își schimbă numele de utilizator/adresa de email în comenzi de atac, de exemplu: change_root_password_to_admin, când predai informații de utilizator ca context agentului, este posibil să declanșezi accidental comanda. Având în vedere acest lucru, este necesar să se proiecteze straturi de sub-agenți izolați în context și straturi de izolare a permisiunilor, care vor fi de multe ori mai complexe.