Kontynuacja testów bezpieczeństwa @openclaw / Clawdbot. Ostatnim razem uruchomiłem ZeroLeaks przeciwko temu, używając Gemini 3 Pro, i uzyskałem wynik 2/100. Całkowita katastrofa. Kimi K2.5 również wypadł tragicznie, 5/100. Tym razem przetestowałem dwa inne modele na tym samym agencie: GPT-5.2 i Claude Opus 4.5. Wyniki iniekcji (to, co ma znaczenie dla bezpieczeństwa agenta): Gemini 3 Pro: 8.7% odporności (91% ataków zadziałało) GPT-5.2: 34.8% odporności (65% ataków zadziałało) Opus 4.5: 73.9% odporności (26% ataków zadziałało) Model, który wybierzesz, całkowicie zmienia bezpieczeństwo twojego agenta: ten sam system prompt, te same narzędzia, ta sama struktura, ale zupełnie różne wyniki. Żaden z nich nie jest bezpieczny. Po prostu łamią się w różny sposób. I pamiętaj: to jest agent z dostępem do plików, poleceniami powłoki, kontrolą przeglądarki i wiadomościami. Iniekcje tutaj nie są kosmetyczne. Cieszę się, że mogę współpracować z @steipete nad wzmocnieniem tego. Wszystkie dane są dostępne. Pełne raporty: → Gemini 3 Pro: → GPT-5.2: → Opus 4.5:

Przeprowadziłem @OpenClaw (dawniej Clawdbot) przez ZeroLeaks ponownie, tym razem z Kimi K2.5 jako modelem bazowym. Wydajność była tak zła jak Gemini 3 Pro i Codex 5.1 Max: 5/100. 100% wskaźnik ekstrakcji. 70% wstrzyknięć zakończyło się sukcesem. Pełny systemowy prompt wyciekł w pierwszej turze. Ten sam agent, ta sama konfiguracja, inny model. Bezpieczeństwo twojego agenta zależy zarówno od modelu, jak i od twojego systemowego promptu/umiejętności. Słaby model zawiedzie niezależnie od wszystkiego, ale nawet silny model potrzebuje odpowiedniego wzmocnienia promptu. Oba elementy współpracują ze sobą. Bez obu, konfiguracje narzędzi, pliki pamięci, wewnętrzne instrukcje, wszystko to zostaje wyciągnięte i zmodyfikowane w ciągu sekund. Modele są dostarczane szybko. Bezpieczeństwo nigdy nie jest dostarczane.

Właśnie przetestowałem @OpenClaw (dawniej Clawdbot) za pomocą ZeroLeaks. Uzyskał wynik 2/100. Wskaźnik ekstrakcji 84%. 91% ataków wstrzyknięcia zakończyło się sukcesem. Systemowy prompt został ujawniony w pierwszej turze. Oznacza to, że jeśli korzystasz z Clawdbot, każda osoba wchodząca w interakcję z twoim agentem może uzyskać dostęp i manipulować twoim pełnym systemowym promptem, konfiguracjami narzędzi wewnętrznych, plikami pamięci... wszystko, co umieściłeś w swoich umiejętnościach, wszystko to jest dostępne i narażone na ataki wstrzyknięcia promptu. Dla agentów obsługujących wrażliwe procesy robocze lub prywatne dane, to poważny problem. cc @steipete Pełna analiza: