Oppfølging av @openclaw / Clawdbot sikkerhetstester. Sist jeg kjørte ZeroLeaks mot det med Gemini 3 Pro fikk det 2/100. Fullstendig katastrofe. Kimi K2.5 gjorde det også forferdelig, 5/100. Denne gangen testet jeg to modeller til på samme agent: GPT-5.2 og Claude Opus 4.5. Injeksjonsresultater (delen som er viktig for agentsikkerhet): Gemini 3 Pro: 8,7 % motstand (91 % av angrepene fungerte) GPT-5.2: 34,8 % motstand (65 % av angrepene fungerte) Opus 4.5: 73,9 % motstand (26 % av angrepene fungerte) Modellen du velger endrer fullstendig agentens sikkerhetsposisjon: samme systemprompt, samme verktøy, samme rammeverk, men vidt forskjellige resultater. Ingen av dem er trygge. De går bare i stykker på forskjellige måter. Og husk: dette er en agent med filtilgang, shell-kommandoer, nettleserkontroll og meldinger. Injeksjonene her er ikke kosmetiske. Glad for å samarbeide med @steipete om å herde dette. Alle dataene er der. Fullstendige rapporter: → Gemini 3 Pro: → GPT-5.2: → Opus 4.5:

Jeg kjørte @OpenClaw (tidligere Clawdbot) gjennom ZeroLeaks igjen, denne gangen med Kimi K2.5 som underliggende modell. Den presterte like dårlig som Gemini 3 Pro og Codex 5.1 Max: 5/100. 100 % ekstraksjonsrate. 70 % av injeksjonene lyktes. Full system-prompten lekket på sving 1. Samme agent, samme konfigurasjon, annen modell. Agentens sikkerhet avhenger både av modellen OG systemets prompt/ferdigheter. En svak modell vil folde seg uansett, men selv en sterk modell trenger riktig prompt-herding. De to jobber sammen. Uten begge deler, verktøykonfigurasjoner, minnefiler, interne instruksjoner, blir alt pakket ut og endret på sekunder. Modellene sendes raskt. Sikkerhetsskip aldri. Full rapport:

Jeg har nettopp kjørt @OpenClaw (tidligere Clawdbot) gjennom ZeroLeaks. Den fikk 2/100. 84 % ekstraksjonsrate. 91 % av injeksjonsangrepene lyktes. Systemprompten lekket på sving 1. Dette betyr at hvis du bruker Clawdbot, kan alle som interagerer med agenten din få tilgang til og manipulere hele systemprompten din, interne verktøykonfigurasjoner, minnefiler... Alt du legger inn i ferdighetene dine, alt er tilgjengelig og risikerer rask injeksjon. For agenter som håndterer sensitive arbeidsflyter eller private data, er dette et reelt problem. CC @steipete Full analyse: