O que não existe
O TYBA não tem sessão de agente remota. Sessões de agente são sempre locais — o conceito nem admite um host. O que existe é uma sessão SSH, que é um terminal remoto. E nada impede você de digitarclaude ou codex dentro dele.
Isso funciona. É que não é a mesma coisa, nem de longe.
O que você perde
A jaula
Não se aplica.
O inbox de aprovações
Não existe.
Por que a jaula não vale
A jaula — Seatbelt, bubblewrap ou o token restrito do Windows — é aplicada no momento em que o TYBA cria o processo do agente, na sua máquina. Uma sessão SSH é um processossh local. O que roda do outro lado é criado pelo servidor SSH do host remoto, e o TYBA não tem alcance nenhum ali. Não há onde aplicar política.
Consequência: no host remoto, o agente lê e escreve tudo que o seu usuário lê e escreve. As chaves de lá, os outros projetos de lá, o /etc de lá. Nada disso é filtrado.
Por que o inbox não vale
O gate de aprovação funciona porque o TYBA injeta hooks no agente e escuta os eventos num servidor local. Cada ferramenta que o agente vai usar vira um evento, é classificada em verde/amarelo/vermelho, e espera você. Um agente do outro lado do cano não fala com esse servidor. Ele nunca chega no inbox. Concretamente, num pane SSH:- Não há classificação de risco.
rm -rf,sudo,curl | shnão param para perguntar.git pushparamainnão é recusado. A recusa do core vale para sessões de agente do TYBA — não para um processo qualquer numa máquina remota.- O TYBA nem sabe que aquilo é um agente. Para ele, é texto passando num terminal.
Como saber se você está nessa situação
Você está protegido quando criou a sessão pelo TYBA — Nova sessão, escolhendo Claude Code ou Codex. Ela nasce com worktree, jaula, env por allowlist e inbox. Você está desprotegido quando abriu um pane SSH e digitou o nome do agente. É um shell remoto, e a responsabilidade é sua.O que fazer
Rode o agente localmente, contra código local. É para isso que o TYBA foi construído: worktree isolado, jaula do kernel, revisão do diff antes de qualquer coisa sair. Se o código só existe no host remoto, saiba que rodar agente lá é rodar agente sem rede de proteção — exatamente como seria rodar sem o TYBA. Nesse caso, as contenções são as do próprio agente e do host, não as do TYBA.O broadcast é um caso diferente
O broadcast tem gate: quando você aperta Enter, o comando passa pelo mesmo classificador de risco, e vermelho pede confirmação antes de disparar em N hosts. Mas repare no que ele protege: o que você digita. Ele não vê e não filtra nada que um agente faça dentro de um pane.Veja também
Plataformas
O que a jaula garante — onde ela existe.
Classificação de risco
O gate que sessões locais têm e o pane SSH não.