No entiendo el sentido de algunos de estos documentos. El agente tiene acceso a la memoria sin restricciones -> el atacante inyecta un prompt en el agente para acceder a ella y descubre hechos sensibles sobre el usuario -> cara de pikachu. ¿Por qué es esto sorprendente? No había control de acceso que impidiera esto.