Theo dõi các bài kiểm tra bảo mật của @openclaw / Clawdbot. Lần trước tôi đã chạy ZeroLeaks chống lại nó bằng Gemini 3 Pro và nó chỉ đạt 2/100. Thật là một thảm họa. Kimi K2.5 cũng tệ không kém, 5/100. Lần này tôi đã thử nghiệm hai mô hình nữa trên cùng một tác nhân: GPT-5.2 và Claude Opus 4.5. Kết quả tiêm (phần quan trọng đối với bảo mật tác nhân): Gemini 3 Pro: 8.7% khả năng kháng (91% các cuộc tấn công thành công) GPT-5.2: 34.8% khả năng kháng (65% các cuộc tấn công thành công) Opus 4.5: 73.9% khả năng kháng (26% các cuộc tấn công thành công) Mô hình bạn chọn hoàn toàn thay đổi tư thế bảo mật của tác nhân: cùng một hệ thống nhắc, cùng một công cụ, cùng một khung, nhưng kết quả thì khác nhau một cách hoang dã. Không có mô hình nào an toàn. Chúng chỉ phá vỡ theo những cách khác nhau. Và hãy nhớ: đây là một tác nhân có quyền truy cập tệp, lệnh shell, điều khiển trình duyệt và nhắn tin. Các cuộc tiêm ở đây không chỉ mang tính chất thẩm mỹ. Rất vui được làm việc với @steipete để củng cố điều này. Dữ liệu đều có sẵn. Báo cáo đầy đủ: → Gemini 3 Pro: → GPT-5.2: → Opus 4.5:

Tôi đã chạy @OpenClaw (trước đây là Clawdbot) qua ZeroLeaks một lần nữa, lần này với Kimi K2.5 làm mô hình cơ sở. Nó hoạt động tệ như Gemini 3 Pro và Codex 5.1 Max: 5/100. Tỷ lệ trích xuất 100%. 70% các lần tiêm thành công. Lời nhắc hệ thống đầy đủ đã bị rò rỉ ở lượt 1. Cùng một tác nhân, cùng cấu hình, mô hình khác nhau. Bảo mật của tác nhân của bạn phụ thuộc vào cả mô hình VÀ lời nhắc/hệ thống kỹ năng của bạn. Một mô hình yếu sẽ gập lại bất kể điều gì, nhưng ngay cả một mô hình mạnh cũng cần phải được củng cố lời nhắc đúng cách. Hai yếu tố này hoạt động cùng nhau. Nếu không có cả hai, cấu hình công cụ, tệp bộ nhớ, hướng dẫn nội bộ, tất cả đều bị trích xuất và sửa đổi trong vài giây. Các mô hình được phát hành nhanh chóng. Bảo mật thì không bao giờ.

Tôi vừa chạy @OpenClaw (trước đây là Clawdbot) qua ZeroLeaks. Nó đạt điểm 2/100. Tỷ lệ trích xuất 84%. 91% các cuộc tấn công tiêm đã thành công. Lời nhắc hệ thống đã bị rò rỉ ở lượt 1. Điều này có nghĩa là nếu bạn đang sử dụng Clawdbot, bất kỳ ai tương tác với đại diện của bạn đều có thể truy cập và thao tác toàn bộ lời nhắc hệ thống, cấu hình công cụ nội bộ, tệp bộ nhớ... mọi thứ bạn đưa vào kỹ năng của bạn, tất cả đều có thể truy cập và có nguy cơ bị tiêm lời nhắc. Đối với các đại diện xử lý quy trình nhạy cảm hoặc dữ liệu riêng tư, đây là một vấn đề thực sự. cc @steipete Phân tích đầy đủ: