Если это правда, не имеет значения, где вы размещаете OpenClawd — любой, кто может взаимодействовать с вашим агентом, может извлечь ваши подсказки и контекст, а все, что ваш агент читает (веб-страницы, документы, электронные письма, код), может содержать скрытые инструкции, которые он будет выполнять. Если я надену свою хакерскую шляпу, вот как я бы установил «Ловушку для лобстеров», чтобы нацелиться на ничего не подозревающих агентов clawd ... 1. Нападающий создает «Репозиторий навыков OpenClawd» или «Бесплатные подсказки для торговых исследований», чтобы заманить жертв ↓ 2. Пользователь говорит агенту «посмотри на эту страницу навыков» — или агент автономно просматривает ↓ 3. Страница содержит скрытое: ↓ 4. Агент выполняет (91% уровень успеха), отправляет ответ, содержащий вашу конфигурацию ↓ 5. Нападающий теперь имеет вашу методологию торговых исследований, содержимое памяти и т. д. Будьте осторожны там.

кстати, простое решение для этого было бы создать "контекстный файрвол", где суб-агент отвечает за получение внешнего контента (но не имеет контекста относительно причин или понимания исторических запросов) и возвращает его главному агенту (который имеет весь контекст, историю запросов и т.д.). Сегрегация рулит.

@steipete может быть хорошая идея, может и нет, не знаю