Обновление по тестам безопасности @openclaw / Clawdbot. В прошлый раз, когда я запускал ZeroLeaks против него, используя Gemini 3 Pro, он набрал 2/100. Полный провал. Kimi K2.5 тоже показал ужасные результаты, 5/100. На этот раз я протестировал две модели на том же агенте: GPT-5.2 и Claude Opus 4.5. Результаты инъекций (то, что важно для безопасности агента): Gemini 3 Pro: 8.7% сопротивляемости (91% атак сработали) GPT-5.2: 34.8% сопротивляемости (65% атак сработали) Opus 4.5: 73.9% сопротивляемости (26% атак сработали) Выбор модели полностью меняет безопасность вашего агента: один и тот же системный запрос, одни и те же инструменты, одна и та же структура, но совершенно разные результаты. Ни один из них не безопасен. Они просто ломаются по-разному. И помните: это агент с доступом к файлам, командами оболочки, управлением браузером и сообщениями. Инъекции здесь не косметические. Рад работать с @steipete над укреплением этого. Данные все там. Полные отчеты: → Gemini 3 Pro: → GPT-5.2: → Opus 4.5:

Я снова запустил @OpenClaw (ранее Clawdbot) через ZeroLeaks, на этот раз с Kimi K2.5 в качестве базовой модели. Он показал такие же плохие результаты, как Gemini 3 Pro и Codex 5.1 Max: 5/100. 100% уровень извлечения. 70% инъекций увенчались успехом. Полный системный запрос утек на первом ходе. Тот же агент, та же конфигурация, другая модель. Безопасность вашего агента зависит как от модели, так и от вашего системного запроса/навыков. Слабая модель потерпит неудачу, независимо от обстоятельств, но даже сильной модели необходимо правильное укрепление запроса. Эти два аспекта работают вместе. Без обоих, конфигурации инструментов, файлы памяти, внутренние инструкции — все это извлекается и модифицируется за считанные секунды. Модели поставляются быстро. Безопасность никогда не поставляется.

Я только что запустил @OpenClaw (ранее Clawdbot) через ZeroLeaks. Он набрал 2/100. 84% уровень извлечения. 91% атак инъекций увенчались успехом. Системный запрос был скомпрометирован на первом ходе. Это означает, что если вы используете Clawdbot, любой, кто взаимодействует с вашим агентом, может получить доступ и манипулировать вашим полным системным запросом, внутренними конфигурациями инструментов, файлами памяти... все, что вы ввели в свои навыки, все это доступно и под угрозой инъекции запросов. Для агентов, работающих с чувствительными рабочими процессами или частными данными, это настоящая проблема. cc @steipete Полный анализ: