@openclaw/Clawdbotのセキュリティテストのフォローアップです。 前回Gemini 3 Proを使ってZeroLeaksをテストしたときは、100点満点中2点でした。完全な大失敗だ。Kimi K2.5もひどく、5/100でした。 今回は同じエージェントでさらに2つのモデル、GPT-5.2とClaude Opus 4.5をテストしました。 インジェクション結果(エージェントのセキュリティに重要な部分): ジェミニ3プロ:8.7%の耐性(攻撃の91%が成功) GPT-5.2:34.8%の耐性(攻撃の65%が成功) 作品4.5:73.9%の抵抗(攻撃の26%が成功) 選ぶモデルはエージェントのセキュリティ体制を根本的に変えます。同じシステムプロンプト、同じツール、同じフレームワークですが、結果は大きく異なります。 どれも安全ではありません。ただ壊れ方が違うだけです。そして覚えておいてください:これはファイルアクセス、シェルコマンド、ブラウザ制御、メッセージング機能を持つエージェントです。ここでの注射は見た目のためではありません。 このハード化に協力できて@steipete嬉しいです。データはすべて揃っています。 全文報告書: → ジェミニ3プロ: → GPT-5.2: → 作品4.5:

私は@OpenClaw(旧Clawdbot)を再びZeroLeaksで実行し、今回はKimi K2.5を基盤モデルにしました。 Gemini 3 ProやCodex 5.1 Maxと同じくらい性能が悪かったです:5/100。100%の抽出率。注射の70%が成功しました。ターン1でシステム全体のプロンプトがリークしました。 同じエージェント、同じ設定、モデルが違う。エージェントのセキュリティはモデルとシステムのプロンプトやスキルの両方に依存します。弱いモデルはどんな場合でも折りたたみますが、強いモデルでも適切なプロンプト強化が必要です。二人は協力して働いています。ツールの設定、メモリファイル、内部命令など、すべてが数秒で抽出・修正されてしまいます。 モデルは早く出荷されます。セキュリティシップは絶対にダメです。 全文報告:

私はZeroLeaksで@OpenClaw(旧Clawdbot)を試しました。 スコアは100点満点中2点でした。抽出率84%。注射攻撃の91%が成功しました。システムプロンプトがターン1でリークされました。 つまり、Clawdbotを使っているなら、エージェントとやり取りする誰でもシステムプロンプトや内部ツール設定、メモリファイルにアクセスできるということです...スキルに注ぐすべてはアクセス可能で、即効性を負うリスクがあります。 機密性の高いワークフローやプライベートデータを扱うエージェントにとって、これは大きな問題です。 CC@steipete 詳細な分析: