ни под каким. Авторизация при взаимодействии клиента и сервера вообще не используется. Данные насколько мне известно не шифруются. Проверяется только на агенте адрес с которго сервер подключается, адресов может быть несколько, это все в конфиге задается.

Но все вопрсы безопасности легко решаемы.
1. Если есть желание чтобы трафик между сервером и клиентом был шифрованным можно использорвать IPSEC.
2. Какасемо выполнения произвольных команд на стороне клиента. Все зависит то того какими привелегиями обладает учетная запись на клиенте, под правами которой работает агент. По умолчанию в Windows агент работает с правами SYSTEM, то есть через негоможно выполнить почти все. Но никто не мешает запускать службу от имени ограниченной учетки(у меня кстати на ряде серверов Windows так и сделано). Если речь идет про *nix-системы, то в них агент из под рута работать откажется, и учетка в любом случае ограниченная.

Резюме: при аккуратном и внимательном подходе риска нагадить на стороне агента нет, но вот гибкость в управлении появляется довольно большая.

К заббикс агенту можно подключится только с адреса, который у него прописан в Server.