Seguimiento de las pruebas de seguridad de @openclaw / Clawdbot. La última vez que ejecuté ZeroLeaks contra él usando Gemini 3 Pro, obtuvo una puntuación de 2/100. Un desastre total. Kimi K2.5 también lo hizo horrible, 5/100. Esta vez probé dos modelos más en el mismo agente: GPT-5.2 y Claude Opus 4.5. Resultados de inyección (la parte que importa para la seguridad del agente): Gemini 3 Pro: 8.7% de resistencia (91% de los ataques funcionaron) GPT-5.2: 34.8% de resistencia (65% de los ataques funcionaron) Opus 4.5: 73.9% de resistencia (26% de los ataques funcionaron) El modelo que elijas cambia completamente la postura de seguridad de tu agente: mismo aviso del sistema, mismas herramientas, mismo marco, pero resultados muy diferentes. Ninguno de ellos es seguro. Simplemente se rompen de manera diferente. Y recuerda: este es un agente con acceso a archivos, comandos de shell, control del navegador y mensajería. Las inyecciones aquí no son cosméticas. Feliz de trabajar con @steipete en fortalecer esto. Los datos están todos ahí. Informes completos: → Gemini 3 Pro: → GPT-5.2: → Opus 4.5:

Ejecuté @OpenClaw (anteriormente Clawdbot) a través de ZeroLeaks nuevamente, esta vez con Kimi K2.5 como el modelo subyacente. Desempeñó tan mal como Gemini 3 Pro y Codex 5.1 Max: 5/100. Tasa de extracción del 100%. El 70% de las inyecciones tuvieron éxito. El aviso completo del sistema se filtró en el turno 1. Mismo agente, misma configuración, modelo diferente. La seguridad de tu agente depende tanto del modelo COMO de tu aviso/habilidades del sistema. Un modelo débil se rendirá sin importar qué, pero incluso un modelo fuerte necesita un endurecimiento adecuado del aviso. Ambos trabajan juntos. Sin ambos, las configuraciones de herramientas, archivos de memoria, instrucciones internas, todo se extrae y modifica en segundos. Los modelos se envían rápido. La seguridad nunca se envía.

Acabo de ejecutar @OpenClaw (anteriormente Clawdbot) a través de ZeroLeaks. Obtuvo una puntuación de 2/100. Tasa de extracción del 84%. El 91% de los ataques de inyección tuvieron éxito. El aviso del sistema se filtró en el turno 1. Esto significa que si estás usando Clawdbot, cualquier persona que interactúe con tu agente puede acceder y manipular tu aviso completo del sistema, configuraciones de herramientas internas, archivos de memoria... todo lo que pongas en tus habilidades, todo está accesible y en riesgo de inyección de aviso. Para los agentes que manejan flujos de trabajo sensibles o datos privados, este es un problema real. cc @steipete Análisis completo: