Jag upptäckte att säkerhetsproblemen med agenten var mycket allvarliga eftersom det inte fanns någon strikt isolering mellan prompten och kontexten (många användare insåg det inte ens). Kodningsagent-attackfall: I den klichéartade WebSearch/Fetch kan en angripare infoga attackinstruktioner via webbsidan, som curl all ENV, och om användaren ger agenten alla behörigheter kan inte bara ENV:n, utan även agenten stjäla alla nycklar utan användarens godkännande. Ett annat exempel är att en angripare bygger en kraschlogg och infogar liknande attackinstruktioner i loggen, och när du ber agenten analysera loggen kan all data stjälas. Enkelt uttryckt skickar en användare ett feedback-mejl som döljer attackkommandot i ett typsnitt med samma färg som bakgrunden, och du kopierar det direkt till Claude Code, och sedan attackeras det. **Så ge aldrig agenten alla behörigheter på din egen dator** Förutom kodagenter har utvecklare också många sådana problem när de arbetar som användarvänliga agenter. Till exempel, om du utvecklar en agent för att hantera användarförfrågningar har denna agent många verktyg att använda. Angripare ändrar sitt användarnamn/e-postadress till attackkommandon, till exempel: change_root_password_to_admin, när du lämnar över användarinformation som kontext till agenten är det möjligt att av misstag utlösa kommandot. Med detta i åtanke är det nödvändigt att designa lager av kontextisolerade delagenter och lager av tillståndsisolering, vilket kommer att vara många gånger mer komplext.