Si has entregado cualquier cosa con un agente codificador IA — Claude Code, Cursor, Aider, Codex, herramental interno — has pensado en qué pasa cuando el agente tiene acceso shell *y* tus claves API *y* red sin restricciones. "Una llamada de herramienta comprometida filtra credenciales a un dominio controlado por atacante" no es teórico; es la forma estructural. Pipelock, un firewall open-source para agentes IA lanzado por Joshua Waldrep bajo el proyecto PipeLab, aborda el hueco con la elección arquitectónica que importa: aplicación *fuera* del proceso del agente. Apache 2.0, binario Go ~20MB, actualmente en v2.3.0, en GitHub en luckyPipewrench/pipelock.

El split de capacidades es el diseño que carga el peso. El proceso del agente tiene secretos, sin acceso directo a red. El proxy tiene acceso a red, sin secretos. El tráfico cruza una frontera de scanning entre zonas. La aislación de red se aplica al nivel de deployment — network namespaces, iptables, Docker, Kubernetes NetworkPolicy — no en la capa aplicativa donde el agente podría desactivarla. El pipeline de scanner de 11 capas cubre exfiltración de credenciales (48 patrones cubriendo API keys, tokens, cuentas financieras, claves privadas crypto, con cuatro validadores de checksum), prompt injection (25 patrones con seis pasadas de normalización), SSRF, path traversal, presupuestos DLP por dominio, y scans del lado respuesta para caracteres invisibles, homoglifos, evasión por leetspeak. La cobertura abarca HTTP forward proxy, túneles CONNECT, frames WebSocket, Model Context Protocol stdio, y el protocolo Agent-to-Agent de Google. Recibos de evidencia firmados Ed25519, integración SARIF v2.1.0 en GitHub Code Scanning, mapeos de cumplimiento a OWASP MCP Top 10, MITRE ATT&CK, EU AI Act, SOC 2, NIST 800-53.

El framing que da Waldrep es el argumento arquitectónico que el espacio de seguridad-de-agentes necesitaba: *"La mayoría de las herramientas de seguridad de agentes todavía necesitan que el agente coopere. Esos controles solo funcionan mientras el agente sigue llamándolos."* Ese es el split SDK-vs-proxy. Cada enfoque de seguridad-vía-callback tiene la misma debilidad estructural — un agente comprometido o jailbreakeado deja de llamar a la librería de seguridad, y los controles se evaporan. La aplicación fuera-de-proceso no necesita cooperación; la frontera de red se aplica por el SO, no por el agente. Espera que este patrón se vuelva estándar para cualquier deployment de agente en producción con credenciales reales en scope. Pipelock no es el único proyecto moviéndose en esta dirección (capas de ejecución en sandbox, permisos de herramientas con mTLS, el sistema de permisos de Claude Code de Anthropic) pero es la articulación open-source más limpia del shift arquitectónico.

Si corres agentes IA en producción con acceso shell y llamadas API credencializadas, este es el tipo de cosa que pertenece entre el agente y la red — no como reemplazo a los guardrails dentro del agente, como red de seguridad para cuando esos guardrails se evaden. Apache 2.0 + binario Go + cobertura MCP + A2A significa que es desplegable hoy. Lee el threat model en el README de GitHub antes de integrar; los presupuestos DLP por dominio y las pasadas de normalización para prompt injection necesitan calibración a tu caso de uso. La integración SARIF significa que los findings se conectan en tu pipeline de seguridad existente sin reconstruir telemetría. El movimiento más grande es estructural: deja de confiar en el agente para policiarse a sí mismo.