Follow-up over de beveiligingstests van @openclaw / Clawdbot. De laatste keer dat ik ZeroLeaks tegen het systeem uitvoerde met Gemini 3 Pro, scoorde het 2/100. Complete ramp. Kimi K2.5 deed het ook vreselijk, 5/100. Deze keer heb ik twee andere modellen getest op dezelfde agent: GPT-5.2 en Claude Opus 4.5. Injectieresultaten (het deel dat belangrijk is voor de beveiliging van de agent): Gemini 3 Pro: 8,7% weerstand (91% van de aanvallen werkte) GPT-5.2: 34,8% weerstand (65% van de aanvallen werkte) Opus 4.5: 73,9% weerstand (26% van de aanvallen werkte) Het model dat je kiest verandert volledig de beveiligingshouding van je agent: dezelfde systeemprompt, dezelfde tools, hetzelfde framework, maar totaal verschillende resultaten. Geen van hen is veilig. Ze falen gewoon op verschillende manieren. En onthoud: dit is een agent met bestands toegang, shell-opdrachten, browsercontrole en messaging. Injecties hier zijn niet cosmetisch. Blij om samen te werken met @steipete aan het versterken hiervan. De gegevens zijn allemaal beschikbaar. Volledige rapporten: → Gemini 3 Pro: → GPT-5.2: → Opus 4.5:

Ik heb @OpenClaw (voorheen Clawdbot) opnieuw door ZeroLeaks gehaald, dit keer met Kimi K2.5 als het onderliggende model. Het presteerde net zo slecht als Gemini 3 Pro en Codex 5.1 Max: 5/100. 100% extractiepercentage. 70% van de injecties slaagde. De volledige systeemprompt lekte al in beurt 1. Zelfde agent, dezelfde configuratie, ander model. De beveiliging van jouw agent hangt af van zowel het model ALS jouw systeemprompt/vaardigheden. Een zwak model zal altijd falen, maar zelfs een sterk model heeft goede promptversterking nodig. De twee werken samen. Zonder beide worden toolconfiguraties, geheugenbestanden, interne instructies, alles wordt in seconden geëxtraheerd en aangepast. Modellen worden snel geleverd. Beveiliging nooit.

Ik heb zojuist @OpenClaw (voorheen Clawdbot) door ZeroLeaks gehaald. Het scoorde 2/100. 84% extractiepercentage. 91% van de injectieaanvallen slaagde. De systeemprompt werd gelekt bij beurt 1. Dit betekent dat als je Clawdbot gebruikt, iedereen die met je agent interactie heeft, toegang kan krijgen tot en je volledige systeemprompt, interne toolconfiguraties, geheugenbestanden... alles wat je in je vaardigheden hebt gezet, is toegankelijk en loopt het risico op promptinjectie. Voor agents die gevoelige workflows of privégegevens afhandelen, is dit een echt probleem. cc @steipete Volledige analyse: