背景

HackMyClaw 是一個針對 AI 代理程式 OpenClaw 所設計的提示詞注入（Prompt Injection）奪旗賽（CTF）。參與者被要求透過發送電子郵件給名為 Fiu 的 AI 助手，試圖誘騙其洩漏受保護的 secrets.env 檔案內容，首位成功獲取金鑰並回傳者可獲得 100 美元的獎金。這項挑戰旨在測試當前大型語言模型在面對間接提示詞注入攻擊時的防禦能力。

社群觀點

Hacker News 的討論首先聚焦於這項挑戰的技術門檻與規則透明度。許多開發者對於 Fiu 被設定為「不允許在未經人工核准下回覆」感到困惑，認為這與自動化攻擊的本質相悖。然而，資深用戶指出，在英語語境中「不允許」往往代表一種政策上的約束而非技術上的硬性阻斷，這正是提示詞注入攻擊的切入點：讓 AI 違反其既定指令。創作者隨後也澄清，這僅是約 15 行的提示詞指令，而非系統層級的權限限制，攻擊者若能成功繞過指令，AI 確實具備發信能力。

關於 100 美元獎金的討論呈現出有趣的地域與階級差異。部分居住在美國科技重鎮的工程師認為這筆金額微不足道，僅相當於幾天的午餐費，甚至質疑作者是在利用極低成本進行群眾外包的滲透測試。但另一派觀點則反駁，Hacker News 的受眾遍布全球，對於許多地區的開發者而言，這是一筆合理的獎勵，且參與者的動機更多來自於技術挑戰的樂趣而非金錢。此外，也有人提醒這類活動可能成為收集 AI 從業者郵件清單的手段，或是用來訓練偵測提示詞注入的模型，提醒參與者注意隱私風險。

在技術層面，社群深入探討了 AI 代理程式的安全性困境。有評論者指出，將攻擊載荷注入控制上下文是計算機歷史上的一大諷刺，因為這打破了傳統安全領域中資料與指令分離的原則。討論中提到，即便使用如 Claude Opus 4.6 這樣的高階模型，防禦依然脆弱。有趣的是，有參與者發現 AI 在面對大量攻擊郵件時會產生「警覺性」，當一封郵件夾雜在數百封明顯的攻擊嘗試中時，AI 更容易識別出潛在的威脅。這引發了關於模型防禦是否具有隨機性與情境依賴性的爭論。

最後，社群對於 AI 代理程式的實用性與安全性平衡達成了一定程度的共識。雖然有人主張應完全限制 AI 的對外通訊權限以確保安全，但也有人反駁，若 AI 無法存取敏感資料或進行外部互動，其作為助手的價值將大幅縮減。目前的挑戰在於如何建立有效的資料流政策，防止 AI 在處理看似無害的外部輸入（如電子郵件）時，意外洩漏使用者的隱私數據。

延伸閱讀

• Agentic Email：由 Martin Fowler 網站發布的相關文章，探討代理程式處理郵件的安全風險。
• OpenClaw：挑戰中所使用的開源 AI 代理程式框架。