Uma vez que um agente pode agir — deletar arquivos, executar comandos de shell, chamar APIs externas, gastar dinheiro — seus erros (ou um prompt malicioso) se tornam consequências no mundo real. A defesa é privilégio mínimo mais portais de aprovação mais isolamento: dê-lhe apenas o que precisa, exija confirmação para qualquer coisa irreversível e execute-o onde não pode causar dano permanente.
