Lorsque l'on active le ForwardAgent, SSH-agent expose toutes les clés SSH qu'ils connait à l'ensemble des machines auquelles on se connecte, quelqun ayant accès à la socket SSH-agent sur une des machines, pourrait de ce fait utiliser l'ensemble des clé SSH en utilisabt cette socket.

Imil propose une solution assez complexe pour gérer des groupes de clés SSH et n'exposer que les clés SSH du même groupe.

Il mentionne aussi l'option IdentitiesOnly de base dans SSH qui permet de n'exposer que la clé SSH avec laquelle on se connecte. Cette option beaucoup plus simple doit suffire dans 9 cas sur 10.