Acompanhamento dos testes de segurança @openclaw / Clawdbot. Da última vez que usei o ZeroLeaks usando Gemini 3 Pro, tirou 2/100. Desastre completo. O Kimi K2.5 também foi horrível, 5/100. Desta vez, testei mais dois modelos no mesmo agente: GPT-5.2 e Claude Opus 4.5. Resultados da injeção (a parte que importa para a segurança do agente): Gemini 3 Pro: 8,7% de resistência (91% dos ataques funcionaram) GPT-5.2: resistência de 34,8% (65% dos ataques funcionaram) Opus 4.5: 73,9% de resistência (26% dos ataques funcionaram) O modelo que você escolhe muda completamente a postura de segurança do seu agente: mesmo prompt do sistema, mesmas ferramentas, mesma estrutura, mas resultados completamente diferentes. Nenhum deles é seguro. Elas simplesmente quebram de forma diferente. E lembre-se: este é um agente com acesso a arquivos, comandos de shell, controle do navegador e mensagens. As injeções aqui não são estéticas. Fico feliz em trabalhar com @steipete para endurecer isso. Os dados estão todos lá. Relatórios completos: → Gemini 3 Pro: → GPT-5.2: → Opus 4.5:

Passei @OpenClaw (antigo Clawdbot) pelo ZeroLeaks novamente, desta vez com o Kimi K2.5 como modelo base. Teve desempenho tão ruim quanto o Gemini 3 Pro e o Codex 5.1 Max: 5/100. Taxa de extração 100%. 70% das injeções tiveram sucesso. O prompt completo do sistema vazou na curva 1. Mesmo agente, mesma configuração, modelo diferente. A segurança do seu agente depende tanto do modelo quanto do seu prompt/habilidades do sistema. Um modelo fraco vai ceder de qualquer jeito, mas mesmo um modelo forte precisa de um fortalecimento rápido. Os dois trabalham juntos. Sem ambos, configurações de ferramentas, arquivos de memória, instruções internas, tudo é extraído e modificado em segundos. Modelos são lançados rápido. Naves de segurança nunca. Relatório completo:

Acabei de rodar @OpenClaw (antigo Clawdbot) pelo ZeroLeaks. Teve 2/100. 84% de taxa de extração. 91% dos ataques de injeção tiveram sucesso. O prompt do sistema vazou no turno 1. Isso significa que, se você estiver usando o Clawdbot, qualquer pessoa que interagir com seu agente pode acessar e manipular o prompt completo do seu sistema, configurações internas de ferramentas, arquivos de memória... Tudo o que você coloca em suas habilidades, tudo é acessível e corre risco de injeção rápida. Para agentes que lidam com fluxos de trabalho sensíveis ou dados privados, isso é um problema real. CC @steipete Análise completa: