Isolamento em container/ZFS é necessário, mas tem outra camada acima.

Boundaries as code: escrever as proibições de forma declarativa em CLAUDE.md ou nos arquivos de skill. Rodo várias pipelines autônomas de publicação no meu harness-ops, e foi só com sandbox no lado do agente combinado com lista de proibições no lado do skill que os incidentes pararam. A lição maior foi colocar set -euo pipefail + ERR trap + notificação no Telegram nos meus próprios publish-*.sh. Silent fail acontece menos por culpa do agente e mais por falta de trilho do nosso lado. Concordo com "trate o agente como estagiário rápido", mas vale entregar pra esse estagiário também um caderno de regras que ele lê todo dia.