Áp dụng nguyên tắc quyền tối thiểu: một subagent review/audit code chỉ cần Read, Grep, Glob — không cần Edit hay Bash.
Tạo subagent "code-quality-reviewer"? Chỉ grant Read + Grep + Glob. Nếu nó cần sửa code luôn, đó là dấu hiệu bạn đang cần một subagent khác (hoặc main thread), không phải mở rộng quyền của reviewer.