Claude Code のサブエージェントは「コンテキストを汚さない」用途で語られることが多いが、**信頼境界(trust boundary)の道具**としても極めて強力。外部から取り込むデータ処理を別コンテキストに閉じ込めれば、prompt injection が成立してもメインへの波及を防げる。本稿は公式 sub-agents ドキュメントを元に、セキュリティ目的での実装パターンを整理する。
なぜ「コンテキスト分離 = 信頼境界」になるのか
Claude Code のサブエージェントは:
- 別コンテキストで動く
- 親に戻すのは「短いサマリ」だけ
- frontmatter で **tools を絞れる**(Read 専用、ネットワーク不可、など)
- `isolation: worktree` でファイルツリーも分離可能
つまり「サブエージェントが攻撃に乗っ取られても
続きを読むには
無料でアカウント作成
CCHub は Claude Code 開発者のための日本語コミュニティです。