Une fois qu'un agent peut agir — supprimer des fichiers, exécuter des commandes shell, appeler des API externes, dépenser de l'argent — ses erreurs (ou une invite malveillante) deviennent des conséquences dans le monde réel. La défense est le privilège minimal plus des portes d'approbation plus l'isolation : lui donner uniquement ce dont il a besoin, exiger une confirmation pour tout ce qui est irréversible, et l'exécuter là où il ne peut pas causer de dégâts durables.
