Я помітив, що проблеми з безпекою агента були дуже серйозними, бо не було чіткої ізоляції між запитом і контекстом (багато користувачів навіть не усвідомлювали цього). Випадки атак агентами кодування: У клішованій WebSearch/Fetch зловмисник може вставляти інструкції атаки через веб-сторінку, наприклад, curl all ENV, і якщо користувач надає агенту всі дозволи, не лише ENV, а й агент може викрасти всі ключі без схвалення користувача. Ще один приклад: зловмисник створює журнал збою і вставляє подібні інструкції атаки в нього, і коли ви просите агента проаналізувати журнал, усі дані можуть бути вкрадені. Простіше кажучи, користувач надсилає лист-зворотний зв'язок, у якому команда атаки приховується шрифтом того ж кольору, що й фон, і ви копіюєте її безпосередньо в Claude Code, після чого вона атакується. **Тож ніколи не давай агенту всі дозволи на власному комп'ютері** Окрім агентів кодування, розробники також мають багато таких проблем при роботі як агенти, орієнтовані на користувача. Наприклад, якщо ви розробляєте агент для обробки запитів користувачів, цей агент має багато інструментів для використання. Зловмисники змінюють ім'я користувача/електронну адресу на атакувальні команди, наприклад: change_root_password_to_admin, коли ви передаєте інформацію користувача як контекст агенту, можна випадково активувати команду. Враховуючи це, необхідно спроектувати шари контекстно-ізольованих субагентів і шари ізоляції дозволів, які будуть у багато разів складнішими.