Det bliver mere og mere tydeligt hver uge: alt hvad vi har bygget til nu skal have et reset. Ikke en opdatering. Et helt reset.
Jeg har brugt over 1000 timer det seneste år og halvandet på devcontainers og alternativerne—virtuelle maskiner i skyen, dedicated maskiner som min Hetzner box. Og her er den ubehagelige sandhed: det fundamentale sikkerhedsmodel vi altid har stolt på, det bryder helt sammen når agenter skal udvikles.
I mange år var devcontainers svaret. VS Code gjorde dem magiske—forbind bare, og pludselig flyder dine SSH-nøgler og git-credentials ind som om det var det naturligste i verden. Det er brilliant UX. Indtil det er en agent på den anden ende af forbindelsen.
Jeg har arbejdet intenst de seneste tre måneder på at replikkere den logik som VS Code bruger når det forbinder til devcontainers. Jo mere jeg har lært, desto mere har jeg indset hvor meget fare der gemmer sig i de defaults. Din SSH agent bliver kopieret ind. Dine git credentials er tilgængelige. Dine SSH-nøgler ligger der bare. Det er fint når det er en menneske-udvikler som er den eneste der tilgår værktøjerne. Det er eksistentiel risiko når din agent kan SSH ind på din udviklings-maskine og hente data som du slet ikke vidste den havde adgang til.
Tag docker-in-docker på devcontainers. De fleste mennesker indser ikke at det kører med --privileged flaget (det er dokumenteret, men det er en default som du kun opdager når du tester hvad din agent egentlig kan gøre). Det betyder en container kan tilgå host-data når bruger-ID'er overlapper. Det er ikke en bug—det er hvordan Docker virker. Men nu har vi agenter der køre inde i det.
Eksemplerne hakker på. Bolt's CEO hævdede deres webcontainers var sikre som standard. Det er kun sandt hvis du aldrig putter noget sensitivt i dem. Supply chain attacks er ikke teoretiske længere—de er den faktiske angrebsflade vi skal forsvare os imod.
Jeg er ikke sikkerhedsforsker. Jeg spurgte bare Claude om at hacke mit eget setup og fandt selv sårbarhederne.
Konklusionen som jeg er nået til, og som jeg bliver mere og mere overbevist om: agenter kan ikke virke i miljøer hvor vi anvender historisk udvikler-tooling logik. Absolut alt hvad en agent røre ved skal eksistere i fuldstændig isolation. Ingen SSH agent forwarding. Ingen git credentials som flyder ind gennem pipes og environment variables designet til et menneske ved tastaturet. Ingen --privileged containers.
Det her er ikke en begrænsning vi kan prikke til. Det her er prisen på at agenter skal tilgå de samme værktøjer vi har brugt i to årtier. De værktøjer blev bygget til mennesker som kunne træffe dømmekraft. En agent bruger dem præcis som designet, præcis som du lærte det, og det der er problemet.
Sikkerhedsresetten kommer ikke. Den er allerede her. Og alle som bygger alvorligt med agenter lige nu skal acceptere at deres udviklings-miljø måske skal se radikalt anderledes ud end det de er vant til.
Del af #100DaysToOffload dokumentering agentic development i 2026