Seguimiento de las pruebas de seguridad @openclaw / Clawdbot. La última vez que usé ZeroLeaks con Gemini 3 Pro sacó 2/100. Un desastre total. El Kimi K2.5 también lo hizo fatal, 5/100. Esta vez probé dos modelos más en el mismo agente: GPT-5.2 y Claude Opus 4.5. Resultados de la inyección (la parte que importa para la seguridad del agente): Gemini 3 Pro: 8,7% de resistencia (91% de los ataques funcionaron) GPT-5.2: 34,8% de resistencia (65% de los ataques funcionaron) Opus 4.5: 73,9% de resistencia (26% de los ataques funcionaron) El modelo que elijas cambia completamente la postura de seguridad de tu agente: mismo prompt del sistema, mismas herramientas, mismo marco, pero resultados muy diferentes. Ninguno de ellos es seguro. Simplemente se rompen de forma diferente. Y recuerda: este es un agente con acceso a archivos, comandos de shell, control del navegador y mensajería. Las inyecciones aquí no son cosméticas. Encantado de trabajar con @steipete para endurecerlo. Todos los datos están ahí. Informes completos: → Gemini 3 Pro: → GPT-5.2: → Opus 4.5:

Volví a pasar @OpenClaw (antes Clawdbot) por ZeroLeaks, esta vez con Kimi K2.5 como modelo subyacente. Rindía tan mal como Gemini 3 Pro y Codex 5.1 Max: 5/100. Tasa de extracción del 100%. El 70% de las inyecciones tuvieron éxito. El aviso completo del sistema se filtró en el turno 1. Mismo agente, misma configuración, modelo diferente. La seguridad de tu agente depende tanto del modelo como de las demandas/habilidades de tu sistema. Un modelo débil se doblará de todas formas, pero incluso un modelo fuerte necesita un endurecimiento rápido adecuado. Ambos trabajan juntos. Sin ambos, configuraciones de herramientas, archivos de memoria, instrucciones internas, todo se extrae y modifica en segundos. Los modelos se envían rápido. Naves de seguridad nunca. Informe completo:

Acabo de pasar @OpenClaw (antes Clawdbot) a través de ZeroLeaks. Obtuvo 2/100. 84% de tasa de extracción. El 91% de los ataques de inyección tuvieron éxito. El aviso del sistema se filtró en el turno 1. Esto significa que si usas Clawdbot, cualquiera que interactúe con tu agente puede acceder y manipular todo tu sistema de prompt, configuraciones internas de herramientas, archivos de memoria... Todo lo que pones en tus habilidades, todo es accesible y corre riesgo de inyección inmediata. Para los agentes que gestionan flujos de trabajo sensibles o datos privados, esto es un problema real. CC @steipete Análisis completo: