Obrigado pelo comentário — esse exemplo do proxy é exatamente o tipo de coisa que mostra onde o problema muda de natureza.

Proxy de keys por usuário pode fazer sentido em alguns contextos, mas ele já puxa junto um mini produto interno: identidade, sessão, auditoria, rate limit, rotação, custo de infra e manutenção. Para muita equipe, isso vira caro antes mesmo de resolver o risco principal.

Por isso eu gosto dessa abordagem mais “chata” e local: reduzir o que o agente consegue ver e fazer por padrão. Diretório separado, rede fechada quando não precisa e revisão forte em package.json, lockfile, workflows e scripts já diminuem bastante a superfície de ataque sem exigir uma reescrita da stack.

Acho que o proxy pode vir depois, quando houver um caso real para centralizar segredo. Mas como primeiro passo, sandbox dá uma coisa mais importante: transforma segurança de “confie que ninguém vai fazer besteira” em “o ambiente simplesmente não deixa passar”.

Essa frase resume bem mesmo: não é prompt pedindo, é ambiente impedindo.

Obrigado pelo comentário — esse exemplo do proxy é exatamente o tipo de coisa que mostra onde o problema muda de natureza. Proxy de keys por usuário pode fazer sentido em alguns contextos...

Obrigado pelo comentário — esse exemplo do proxy é exatamente o tipo de coisa... · Centelha

Obrigado por colocar isso em palavras. Eu estav...