diff --git a/dev/issues/0020-claude-code-sandbox.md b/dev/issues/0020-claude-code-sandbox.md
new file mode 100644
index 0000000..6181686
--- /dev/null
+++ b/dev/issues/0020-claude-code-sandbox.md
@@ -0,0 +1,90 @@
+# 0020 — Aislar ejecucion de claude -p del repositorio
+
+## Objetivo
+
+Evitar que el subproceso `claude -p` ejecutado por los agentes tenga acceso al repositorio del proyecto. Actualmente `working_dir` esta vacio y hereda el directorio de trabajo del launcher (raiz del repo), con `permission_mode: bypassPermissions`, dando acceso total de lectura/escritura al codigo fuente.
+
+## Contexto
+
+- El provider `claude-code` ejecuta `claude --print` como subproceso en `shell/llm/claudecode.go`
+- Cuando `WorkingDir` esta vacio (linea 76-78), `cmd.Dir` no se asigna y hereda el CWD del launcher
+- Ambos agentes (`assistant-bot`, `asistente-2`) tienen `working_dir: ""` y `permission_mode: "bypassPermissions"`
+- Ya existe `storage.base_path` para aislar datos de runtime, pero no aplica al CWD de claude -p
+- Issue 0019 endurece prompts y tools, pero no cubre el aislamiento del proceso claude -p
+
+## Arquitectura
+
+```
+shell/llm/claudecode.go                  — aplicar working_dir por defecto si esta vacio
+internal/config/schema.go                — documentar el default de working_dir
+agents/assistant-bot/config.yaml         — configurar working_dir y permission_mode
+agents/asistente-2/config.yaml           — configurar working_dir y permission_mode
+```
+
+### Patron pure core / impure shell
+
+- `pkg/` — sin cambios
+- `shell/llm/claudecode.go` — cambio impuro: default de working_dir cuando esta vacio
+- `agents/` — cambio de configuracion en los YAML de ambos agentes
+
+## Tareas
+
+### Fase 1: Default seguro en claudecode.go
+
+- [ ] **1.1** En `NewClaudeCodeComplete`, si `cfg.WorkingDir` esta vacio, usar un directorio temporal aislado (e.g. `os.MkdirTemp("", "claude-agent-*")`) en lugar de heredar el CWD del launcher
+- [ ] **1.2** Asegurar que el directorio temporal se crea antes de cada invocacion y se limpia despues (o reusar uno fijo por agente)
+- [ ] **1.3** Loguear a nivel WARN si `WorkingDir` esta vacio y se usa el default temporal, para que el operador lo note
+
+### Fase 2: Configurar agentes existentes
+
+- [ ] **2.1** En `agents/assistant-bot/config.yaml`, setear `working_dir` a un directorio fuera del repo (e.g. `/tmp/claude-agents/assistant-bot`)
+- [ ] **2.2** En `agents/asistente-2/config.yaml`, setear `working_dir` a `/tmp/claude-agents/asistente-2`
+- [ ] **2.3** Evaluar cambiar `permission_mode` de `bypassPermissions` a `plan` o al menos documentar el riesgo si se mantiene
+
+### Fase 3: Tests
+
+- [ ] **3.1** Test unitario: verificar que `buildClaudeArgs` no cambia (no afecta args)
+- [ ] **3.2** Test unitario: verificar que cuando `WorkingDir == ""`, el `cmd.Dir` resultante NO es vacio (se asigna un dir temporal)
+- [ ] **3.3** Test unitario: verificar que cuando `WorkingDir` tiene valor, se usa ese valor
+
+### Fase 4: Cleanup y docs
+
+- [ ] **4.1** Documentar en `docs/security.md` la seccion de aislamiento de claude -p
+- [ ] **4.2** Actualizar `.claude/rules/create_agent.md` para recomendar siempre configurar `working_dir`
+- [ ] **4.3** Actualizar `CLAUDE.md` seccion de seguridad si aplica
+
+---
+
+## Ejemplo de uso
+
+```yaml
+# agents/assistant-bot/config.yaml — ANTES (inseguro)
+claude_code:
+  working_dir: ""                        # hereda CWD del launcher = raiz del repo
+  permission_mode: "bypassPermissions"   # acceso total
+
+# agents/assistant-bot/config.yaml — DESPUES (aislado)
+claude_code:
+  working_dir: "/tmp/claude-agents/assistant-bot"  # directorio aislado
+  permission_mode: "bypassPermissions"              # aun tiene bypass, pero sin acceso al repo
+```
+
+```
+# En logs al arrancar si alguien deja working_dir vacio:
+{"level":"WARN","msg":"claude-code working_dir is empty, using temporary directory","dir":"/tmp/claude-agent-123456"}
+```
+
+## Decisiones de diseno
+
+- **Default temporal en vez de fallar**: si `working_dir` esta vacio, mejor usar un tmpdir que romper el arranque. El WARN avisa al operador.
+- **No forzar permission_mode**: el cambio de `bypassPermissions` es una recomendacion, no un requisito de este issue. El aislamiento real viene del `working_dir`.
+- **Dir por agente, no compartido**: cada agente tiene su propio directorio para evitar interferencias entre sesiones.
+
+## Prerequisitos
+
+- Ninguno. El campo `WorkingDir` ya existe en el schema y en claudecode.go.
+
+## Riesgos
+
+- **Claude sin contexto de archivos**: al mover el CWD fuera del repo, claude -p no podra leer archivos del proyecto. Esto es el comportamiento deseado — los agentes son asistentes conversacionales, no necesitan acceso al codigo.
+- **Directorio temporal no existe**: `os.MkdirTemp` lo crea automaticamente. Si se usa un path fijo en config, hay que asegurar que exista o crearlo al arrancar.
diff --git a/dev/issues/README.md b/dev/issues/README.md
index bbf418e..95efce4 100644
--- a/dev/issues/README.md
+++ b/dev/issues/README.md
@@ -24,3 +24,4 @@ afectados y notas de implementacion.
 | 17 | MCP client tools             | [0017-mcp-client-tools.md](0017-mcp-client-tools.md)                | pendiente  |
 | 18 | Shared knowledge             | [0018-shared-knowledge.md](0018-shared-knowledge.md)                 | pendiente  |
 | 19 | Prompt injection hardening   | [0019-prompt-injection-hardening.md](completed/0019-prompt-injection-hardening.md) | completado |
+| 20 | Aislar claude -p del repo    | [0020-claude-code-sandbox.md](0020-claude-code-sandbox.md)           | pendiente  |