关于 @openclaw / Clawdbot 安全测试的后续跟进。 上次我使用 Gemini 3 Pro 对其进行 ZeroLeaks 测试时得分为 2/100。完全的灾难。Kimi K2.5 的表现也很糟糕，得分为 5/100。 这次我在同一代理上测试了另外两个模型：GPT-5.2 和 Claude Opus 4.5。 注入结果（对代理安全性至关重要的部分）： Gemini 3 Pro：8.7% 的抵抗力（91% 的攻击成功） GPT-5.2：34.8% 的抵抗力（65% 的攻击成功） Opus 4.5：73.9% 的抵抗力（26% 的攻击成功） 你选择的模型完全改变了代理的安全态势：相同的系统提示，相同的工具，相同的框架，但结果却截然不同。 它们都不安全。它们只是以不同的方式崩溃。请记住：这是一个具有文件访问、shell 命令、浏览器控制和消息传递的代理。这里的注入不是表面上的。 很高兴能与 @steipete 一起加强这一点。所有数据都在这里。 完整报告： → Gemini 3 Pro： → GPT-5.2： → Opus 4.5：

我再次通过 ZeroLeaks 运行了 @OpenClaw（前身为 Clawdbot），这次使用 Kimi K2.5 作为基础模型。 它的表现和 Gemini 3 Pro 以及 Codex 5.1 Max 一样糟糕：5/100。100% 提取率。70% 的注入成功。完整的系统提示在第一轮就泄露了。 同样的代理，相同的配置，不同的模型。你的代理的安全性取决于模型和你的系统提示/技能。一个弱模型无论如何都会崩溃，但即使是强模型也需要适当的提示加固。这两者是相辅相成的。没有这两者，工具配置、内存文件、内部指令，所有这些都会在几秒钟内被提取和修改。 模型更新速度快。安全性永远不会。 完整报告：

我刚刚通过 ZeroLeaks 运行了 @OpenClaw（前身为 Clawdbot）。 它的得分是 2/100。提取率为 84%。91% 的注入攻击成功。系统提示在第 1 回合被泄露。 这意味着如果你在使用 Clawdbot，任何与您的代理互动的人都可以访问和操控您的完整系统提示、内部工具配置、内存文件……您在技能中输入的所有内容都可以被访问，并且面临提示注入的风险。 对于处理敏感工作流程或私人数据的代理来说，这是一个真正的问题。 抄送 @steipete 完整分析：