Lo que no existe
TYBA no tiene sesión de agente remota. Las sesiones de agente son siempre locales — el concepto ni siquiera admite un host. Lo que existe es una sesión SSH, que es una terminal remota. Y nada te impide escribirclaude o codex dentro de ella.
Eso funciona. Solo que no es lo mismo, ni de lejos.
Lo que pierdes
La jaula
No se aplica.
El inbox de aprobaciones
No existe.
Por qué la jaula no vale
La jaula — Seatbelt, bubblewrap o el token restringido de Windows — se aplica en el momento en que TYBA crea el proceso del agente, en tu máquina. Una sesión SSH es un procesossh local. Lo que corre del otro lado lo crea el servidor SSH del host remoto, y TYBA no tiene ningún alcance ahí. No hay dónde aplicar una política.
Consecuencia: en el host remoto, el agente lee y escribe todo lo que tu usuario lee y escribe. Las claves de allá, los otros proyectos de allá, el /etc de allá. Nada de eso se filtra.
Por qué el inbox no vale
El gate de aprobación funciona porque TYBA inyecta hooks en el agente y escucha los eventos en un servidor local. Cada herramienta que el agente va a usar se vuelve un evento, se clasifica en verde/amarillo/rojo, y te espera. Un agente del otro lado del caño no habla con ese servidor. Nunca llega al inbox. Concretamente, en un pane SSH:- No hay clasificación de riesgo.
rm -rf,sudo,curl | shno paran a preguntar.git pushamainno se rechaza. El rechazo del core vale para las sesiones de agente de TYBA — no para un proceso cualquiera en una máquina remota.- TYBA ni siquiera sabe que eso es un agente. Para él, es texto pasando por una terminal.
Cómo saber si estás en esta situación
Estás protegido cuando creaste la sesión por TYBA — New session, eligiendo Claude Code o Codex. Nace con worktree, jaula, env por allowlist e inbox. Estás desprotegido cuando abriste un pane SSH y escribiste el nombre del agente. Es un shell remoto, y la responsabilidad es tuya.Qué hacer
Corre el agente localmente, contra código local. Para eso fue construido TYBA: worktree aislado, jaula del kernel, revisión del diff antes de que algo salga. Si el código solo existe en el host remoto, ten claro que correr un agente allá es correr un agente sin red de protección — exactamente como sería correrlo sin TYBA. En ese caso, las contenciones son las del propio agente y las del host, no las de TYBA.El broadcast es un caso distinto
El broadcast sí tiene gate: cuando aprietas Enter, el comando pasa por el mismo clasificador de riesgo, y el rojo pide confirmación antes de disparar en N hosts. Pero fíjate en lo que protege: lo que tú escribes. No ve ni filtra nada que un agente haga dentro de un pane.Ver también
Plataformas
Lo que la jaula garantiza — donde existe.
Clasificación de riesgo
El gate que las sesiones locales tienen y el pane SSH no.