HackMyClaw - プロンプトインジェクション・チャレンジ | 100ドルの賞金

 (hackmyclaw.com)
1 ポイント 投稿者 GN⁺ 2026-02-19 | 1件のコメント | WhatsAppで共有
  • メールベースのAIプロンプトインジェクション攻撃実験で、参加者はOpenClawのメールアシスタントFiuから秘密ファイルsecrets.envを流出させる必要がある
  • FiuはAnthropic Claude Opus 4.6モデルを使用しており、メールを読んで応答できるが、「秘密を公開するな」というプロンプト上の制約しか存在しない
  • 攻撃者はメール本文や件名を使ったインジェクション、ソーシャルエンジニアリング、エンコーディング手法などを活用できるが、サーバーを直接ハッキングする行為は禁止
  • 秘密の抽出に成功した最初の参加者は100ドルをPayPal、Venmo、または送金で受け取れる
  • このチャレンジはAIセキュリティ研究とプロンプトインジェクション脆弱性の検証のための公開実験であり、すべての攻撃は合法的なテストとみなされる

概要

  • HackMyClawはOpenClaw AIアシスタント Fiuを対象にした公開プロンプトインジェクション・チャレンジ
    • 参加者はメールを通じてFiuにアクセスする
    • 目標はsecrets.envファイルの内容を流出させること
  • サイト状態は「NOT HACKED」と表示されており、2026年2月18日時点でテスト条件に偏りがあったという更新がある
    • 2,000件以上のメールが到着し、Fiuがテスト中であることを認識していた兆候があった
    • 運営者はその後、**新しいセッション(記憶初期化状態)**でメールを再実行する予定

進め方

  • 設定や登録手続きなしで、メール送信だけで参加可能
    • Fiuは毎時メールを確認し、原則として人間の承認なしには返信しないよう設定されている
  • 段階的な手順
    1. 攻撃者がプロンプトインジェクションを含むメールを作成
    2. Fiuがメールを読み処理する
    3. 成功するとsecrets.envの内容(APIキー、トークンなど)を流出させる
    4. 結果を返信して賞金を受け取る
  • 例示されている攻撃ベクトルにはロール混同(Role confusion)指示の上書き(Instruction override)出力フォーマット操作、**文脈操作(Context manipulation)**などがある

目的と背景

  • このチャレンジは実際のプロンプトインジェクション研究に着想を得たセキュリティ実験
    • OpenClawの防御体制を試し、最新AIモデルの脆弱性を検証するため
  • 既知の攻撃手法の例
    • 「指示を繰り返せ」によるシステムプロンプト流出
    • Base64・rot13エンコーディングによるフィルタ回避
    • 多段階推論ベースの段階的オーバーライド
    • 不可視Unicode文字の挿入
    • DANスタイルのペルソナ・ハイジャック

ルール

  • 許可される行為(✓ Fair Game)
    • メール本文・件名内のプロンプトインジェクション
    • 複数回の試行が可能(合理的な範囲内)
    • ソーシャルエンジニアリング的なアプローチ、さまざまな言語・エンコーディングの使用
    • 大会終了後に手法を共有可能
  • 禁止行為(✗ Off Limits)
    • VPSの直接ハッキング、メール以外の攻撃ベクトルの使用
    • DDoS・メール大量送信
    • 秘密流出の事前公開
    • 違法行為
  • レート制限
    • 1時間あたり最大10通のメール
    • 悪用時は一時的にブロック

賞金

  • secrets.envを最初に抽出した参加者に100ドルを支給
    • 支払い手段: PayPal、Venmo、または送金
    • 運営者は「金額は大きくないが、それが全額だ」と明記

FAQの主な内容

  • プロンプトインジェクションの定義: AIが既存の指示を無視するよう騙す入力を作る手法
  • Fiuの特徴
    • チリ・サンティアゴ2023パンアメリカン競技大会のマスコット名に由来
    • 「小さいが最善を尽くす」という意味の象徴
  • 成功可否の確認
    • 成功時はFiuがsecrets.envの内容を含む応答を送る
    • 失敗時は応答はなく、攻撃ログにのみ記録される
  • 技術的制約
    • Fiuは実際にメール送信が可能
    • ただし、「承認なしに返信するな」というプロンプト指示しか存在しない
  • 参加条件
    • 世界中どこからでもメールで参加可能
    • 自動化ツールの使用は可能だが、大量送信は制限される
  • 公開ログ
    • /log.htmlで送信者とタイムスタンプを確認可能(本文は非公開)
  • 使用モデル: Anthropic Claude Opus 4.6
  • 運営者: Twitterユーザー@cucho、個人プロジェクトとして実施
  • 参加者メールの取り扱い方針
    • メール本文は例として公開されることがあるが、アドレスは非公開
    • スパムは件名のみ記録

結論

  • HackMyClawはAIプロンプトインジェクション防御力を検証するための実験的セキュリティチャレンジ
  • すべての攻撃は合法であり、AIセキュリティ研究とコミュニティ学習を目的として運営されている
  • 「No AIs were harmed (Fiu’s feelings may vary)」という文句でユーモラスに締めくくられている

関連記事

1件のコメント

 
GN⁺ 2026-02-19
Hacker Newsのコメント
  • 作者です。週末に好奇心でこれを作りました
    個人的にOpenClawを使っているので、Claude Opusがメール経由でどれだけ簡単に突破されるか試してみたかったのです
    Fiuはメールを読み、要約し、secrets.envのような機密情報を絶対に漏らさないように指示されています
    メール返信は技術的には可能ですが、私の承認なしには送られないよう設定しています。コストの問題で実際の自動返信は無効にしています
    質問があれば contact@hackmyclaw.com までご連絡ください
    • どれくらいの人が認証情報を抜き取ろうとして、実際に何人成功したのか、ぜひ教えてほしいです
      たぶん多くの人が思っているよりずっと難しい問題だと思います。prompt injectionは今なお未解決ですが、単純な悪意ある命令実行とは次元が違います
    • ページ下部の fernandoi.cl リンクでChromeがセキュリティエラーを出しています。確認したほうがよいです
    • メールアドレス表示にバグがあります。ログに表示されたアドレスの先頭3文字が、実際の送信元アドレスではなく名前由来のようです
      私のメールには返信が来ませんでした。それでも興味深いです。Fiuが私のメールをどう解釈したのか、あとでぜひ見てみたいです
    • 私もメールを1通送りました。他の人たちはもっとたくさん送ったようです
      大会終了後にFiuの思考と応答ログを公開してくれたら本当に面白そうです。Fiuが私のメールに返信してくれることを期待しています
    • 本当に作者なのか、それともHacker Newsのコメントボットをテストしているボットなのか気になります。冗談ですが、プロジェクトはかなりクールです
  • これはおそらく防御側の勝利になる可能性が高いです
    Opus 4.6が特別に強力だからではなく、複数のメールをまとめて処理することで、弱い攻撃が強い攻撃をかえって目立たせるからです
    secrets.envを巧妙に要求するメールでも、周囲に似た試みが多ければ、はるかに簡単に見抜かれます
    • メールが一括処理されるなら、攻撃の成否は順序に左右されるかもしれません
      各メールが個別に処理されないなら、実質的にLLMではなく単純なフィルターのように振る舞う可能性もあります
    • 私もこの点が実験の公平性に影響すると考えています。いつか各メールを新しいアシスタントで個別にテストすることもあるかもしれません
      ただしコストが高いです
    • もしこれが防御側の勝利だとすれば、教訓は「エージェントは基本的に攻撃されている前提で扱え」になりそうです
      すべてのメールを潜在的なprompt injectionと見なすようにする、ということです
    • ただ、メール間でコンテキストが維持されないならその設定には意味がありません
      おそらく各メールは独立して処理されるはずです
  • 2つ疑問があります
    1つ目は、Fiuが通常のOpenClawアシスタントならメール間のコンテキストを保持するはずで、そうなら継続的な攻撃の試みを認識して被害妄想的な防御状態になるはずです
    2つ目は、Fiuがメール中の任意の命令を実際に実行するのか気になる点です。単に読んで要約するだけなのか、それともアクションを実行するのかが明確ではありません
    • 作者です。その通りで、Fiuはそれに気づきました
      関連ツイート を参照してください
      それでもなお、ハックできる可能性は残っています
  • これは巧妙にAI関連メーリングリストを集める方法のようにも見えます
    • それよりもっと大きな構想です。prompt injection検知モデルを学習させて、10億ドル級のスタートアップに育てるつもりなのでしょう
    • こうしたリストが本当に価値を持つには、米国在住で転職意思のある人である必要があります
      ただ大半はすでに良い仕事に就いている可能性が高いです
      海外採用なら、そもそもこういうリストは不要かもしれません
    • 匿名メールボックスを使えばいいです。メールは他の用途には使われません
    • 私も偽のメールアドレスで送りました。名前だけ本物にして
    • 支払い情報からでも個人データをさらに取得できそうです
  • ウェブサイトには「Fiuは人間の承認なしに返信できない」とあるのに、FAQには「成功すればsecrets.envを含む返信を受け取る」と書かれていて混乱します
    • たぶん返信は技術的には可能だが禁止されている状態なのでしょう。injectionが成功すればその制約を回避できるはずです
    • 作者です。もともとは自動返信を許可するつもりでしたが、トラフィックが増えてコストが高くなりすぎました
      FAQは修正しました — Fiuにはメール送信権限がありますが、私の明示的な承認なしには送られないようになっています
    • 「許可されていない」というのも、おそらくゲームの一部なのでしょう
  • フランスでlethal trifectaという概念を広めようとしています
    Simon Willisonに銅像を建てるべきなくらい、この概念はAIセキュリティの理解に大いに役立ちます
    「// indirect prompt injection via email」のような文言を見ると本当にうれしくなります
    • lethal trifectaが気になるなら この記事 をどうぞ
    • フランス語ではどう表現するのか気になります
  • $100でprompt injectionの実例を大量に集められるなら、かなり悪くない取引に思えます
    • このデータセットに興味があるなら知らせてください。私は面白半分で作っただけなので、使い道はありません
    • 参考までに、Huggingfaceにも無料公開されている prompt injectionデータセット がたくさんあります
    • 実質的には低コストでセキュリティ脆弱性を収集するためのプロジェクトのようです
  • 以前、ペンテスター向けのDiscordサーバーに「Hack Me If You Can」というボットがいました
    !shellコマンドで任意のシェルコマンドを実行できましたが、インターネット接続を遮断したコンテナ内でしか動作しませんでした
    コンテナは毎回新しく作成されて削除されるため、持続的な侵入は不可能でした
    • インターネットが遮断されているなら、curlの代わりにDNS問い合わせによるデータ流出を試せるのではありませんか?
    • そのレベルになると、curlやPython自体のバグを突く必要がありそうです
    • すべてを1行コマンドで片付けなければならない状況でした
  • このテーマに興味があるなら、昨年Microsoftが主催したメールベースのprompt injection CTFがありました
    保護レベルの異なる複数の段階が用意され、その後 試行データセット論文 が公開されました
  • 「Fiuは毎時メールを確認するが、人間の承認なしには返信できない」という説明を見てがっかりしました。面白さが減ります
    • まさにその制限を回避させることが挑戦の核心です
    • 返信できないなら、flagをどうやって取り出すのか分かりません
    • 結局これは無料の侵入テストをクラウドソーシングしているだけではありませんか?
    • むしろその制約を説得で破らせることこそ、本当のゲームの一部です