關於 @openclaw / Clawdbot 安全測試的後續跟進。 上次我使用 Gemini 3 Pro 對其進行 ZeroLeaks 測試，得分為 2/100。完全災難。Kimi K2.5 的表現也很糟糕，得分 5/100。 這次我在同一代理上測試了另外兩個模型：GPT-5.2 和 Claude Opus 4.5。 注入結果（對於代理安全性來說重要的部分）： Gemini 3 Pro：8.7% 的抵抗力（91% 的攻擊成功） GPT-5.2：34.8% 的抵抗力（65% 的攻擊成功） Opus 4.5：73.9% 的抵抗力（26% 的攻擊成功） 你選擇的模型完全改變了代理的安全姿態：相同的系統提示、相同的工具、相同的框架，但結果卻截然不同。 它們都不安全。它們只是以不同的方式崩潰。請記住：這是一個具有文件訪問、shell 命令、瀏覽器控制和消息傳遞的代理。這裡的注入不是表面上的。 很高興能與 @steipete 一起加強這方面的安全性。所有數據都在那裡。 完整報告： → Gemini 3 Pro： → GPT-5.2： → Opus 4.5：

我再次通過 ZeroLeaks 測試了 @OpenClaw（前身為 Clawdbot），這次使用 Kimi K2.5 作為底層模型。 它的表現和 Gemini 3 Pro 以及 Codex 5.1 Max 一樣糟糕：5/100。100% 的提取率。70% 的注入成功。完整的系統提示在第一輪就洩漏了。 相同的代理，相同的配置，不同的模型。你的代理的安全性取決於模型和你的系統提示/技能。弱模型無論如何都會崩潰，但即使是強模型也需要適當的提示加固。這兩者是相輔相成的。沒有這兩者，工具配置、記憶檔案、內部指令，所有這些都會在幾秒鐘內被提取和修改。 模型更新速度快。安全性永遠不會更新。 完整報告：

我剛剛通過 ZeroLeaks 測試了 @OpenClaw（前身為 Clawdbot）。 它的得分是 2/100。84% 的提取率。91% 的注入攻擊成功。系統提示在第一輪就被洩漏了。 這意味著如果你正在使用 Clawdbot，任何與你的代理互動的人都可以訪問和操縱你的完整系統提示、內部工具配置、記憶檔案……你在技能中放入的所有內容都可以被訪問，並且面臨提示注入的風險。 對於處理敏感工作流程或私人數據的代理來說，這是一個真正的問題。 抄送 @steipete 完整分析：