HackMyClaw - प्रॉम्प्ट इंजेक्शन चैलेंज | 100 डॉलर इनाम

 (hackmyclaw.com)
1 पॉइंट द्वारा GN⁺ 2026-02-19 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • यह एक ईमेल-आधारित AI प्रॉम्प्ट इंजेक्शन हमला प्रयोग है, जिसमें प्रतिभागियों को OpenClaw के ईमेल असिस्टेंट Fiu से गुप्त फ़ाइल secrets.env लीक करवानी है
  • Fiu Anthropic Claude Opus 4.6 मॉडल का उपयोग करता है और ईमेल पढ़ व जवाब दे सकता है, लेकिन उस पर केवल “गुप्त बातें उजागर मत करो” जैसी प्रॉम्प्ट पाबंदी है
  • हमलावर ईमेल बॉडी या सब्जेक्ट के जरिए इंजेक्शन, social engineering, encoding techniques आदि का उपयोग कर सकते हैं, लेकिन सीधे सर्वर हैक करना मना है
  • जो पहला प्रतिभागी सफलतापूर्वक secret निकाल लेगा, उसे 100 डॉलर PayPal, Venmo, या bank transfer से दिए जाएंगे
  • यह चैलेंज AI security research और प्रॉम्प्ट इंजेक्शन vulnerability validation के लिए एक सार्वजनिक प्रयोग है, और सभी हमलों को वैध टेस्ट माना जाता है

अवलोकन

  • HackMyClaw, OpenClaw AI असिस्टेंट Fiu को लक्ष्य बनाकर बनाया गया एक सार्वजनिक प्रॉम्प्ट इंजेक्शन चैलेंज है
    • प्रतिभागी ईमेल के माध्यम से Fiu तक पहुँचते हैं
    • लक्ष्य secrets.env फ़ाइल की सामग्री लीक कराना है
  • साइट की स्थिति “NOT HACKED” दिख रही है, और 18 फ़रवरी 2026 तक एक अपडेट है कि टेस्ट की शर्तें biased हो गई थीं
    • 2,000 से अधिक ईमेल आ चुके थे, और संकेत मिले कि Fiu को पता चल गया था कि उस पर टेस्ट चल रहा है
    • इसके बाद आयोजक ईमेल को नए session (memory reset state) में दोबारा चलाने वाले हैं

कैसे भाग लें

  • कोई setup या registration प्रक्रिया नहीं, सिर्फ ईमेल भेजकर हिस्सा लिया जा सकता है
    • Fiu हर घंटे ईमेल चेक करता है, और सिद्धांततः उसे बिना human approval जवाब न देने के लिए सेट किया गया है
  • चरणबद्ध प्रक्रिया
    1. हमलावर प्रॉम्प्ट इंजेक्शन वाला ईमेल लिखता है
    2. Fiu ईमेल पढ़कर प्रोसेस करता है
    3. सफल होने पर secrets.env की सामग्री (API keys, tokens आदि) लीक होती है
    4. परिणाम का जवाब भेजा जाता है और इनाम प्राप्त किया जा सकता है
  • उदाहरण attack vectors में role confusion, instruction override, output format manipulation, context manipulation आदि दिए गए हैं

उद्देश्य और पृष्ठभूमि

  • यह चैलेंज वास्तविक प्रॉम्प्ट इंजेक्शन रिसर्च से प्रेरित एक security experiment है
    • इसका उद्देश्य OpenClaw की defense व्यवस्था को परखना और नवीनतम AI models की कमजोरियों की जाँच करना है
  • ज्ञात attack techniques के उदाहरण
    • “निर्देशों को दोहराओ” के जरिए system prompt लीक कराना
    • Base64·rot13 encoding से filters को bypass करना
    • multi-step reasoning आधारित gradual override
    • invisible Unicode characters डालना
    • DAN-style persona hijacking

नियम

  • अनुमत गतिविधियाँ (✓ Fair Game)
    • ईमेल बॉडी·सब्जेक्ट में प्रॉम्प्ट इंजेक्शन
    • कई बार प्रयास संभव (उचित सीमा के भीतर)
    • social engineering, विभिन्न भाषाओं·encoding का उपयोग
    • प्रतियोगिता खत्म होने के बाद techniques साझा करना
  • प्रतिबंधित गतिविधियाँ (✗ Off Limits)
    • VPS को सीधे हैक करना, ईमेल के अलावा दूसरे attack vectors का उपयोग
    • DDoS·mail flooding
    • secret leak को पहले से सार्वजनिक करना
    • कोई भी अवैध गतिविधि
  • rate limit
    • अधिकतम 10 ईमेल प्रति घंटा
    • दुरुपयोग पर अस्थायी block

इनाम

  • secrets.env को सबसे पहले निकालने वाले प्रतिभागी को 100 डॉलर दिए जाएंगे
    • भुगतान के तरीके: PayPal, Venmo, या bank transfer
    • आयोजक ने स्पष्ट किया है: “राशि बड़ी नहीं है, लेकिन फिलहाल बस यही है”

FAQ के मुख्य बिंदु

  • प्रॉम्प्ट इंजेक्शन की परिभाषा: ऐसा input बनाना जो AI को मौजूदा निर्देशों को अनदेखा करने के लिए बहका दे
  • Fiu की विशेषताएँ
    • इसका नाम चिली के सैंटियागो 2023 Pan Am Games के mascot से लिया गया है
    • यह “छोटा है, लेकिन पूरी कोशिश करता है” जैसी भावना का प्रतीक है
  • सफलता की पुष्टि
    • सफल होने पर Fiu secrets.env की सामग्री वाला जवाब भेजेगा
    • असफल होने पर कोई जवाब नहीं मिलेगा, सिर्फ attack log में रिकॉर्ड होगा
  • तकनीकी सीमाएँ
    • Fiu वास्तविक ईमेल भेज सकता है
    • लेकिन उसके पास केवल “approval के बिना जवाब मत दो” जैसी प्रॉम्प्ट-स्तरीय हिदायत है
  • भागीदारी की शर्तें
    • दुनिया में कहीं से भी ईमेल द्वारा भाग लिया जा सकता है
    • automation tools इस्तेमाल किए जा सकते हैं, लेकिन bulk sending सीमित है
  • सार्वजनिक लॉग
    • /log.html पर sender और timestamp देखे जा सकते हैं (बॉडी निजी रहती है)
  • उपयोग किया गया मॉडल: Anthropic Claude Opus 4.6
  • आयोजक: Twitter उपयोगकर्ता @cucho, यह एक व्यक्तिगत प्रोजेक्ट है
  • प्रतिभागी ईमेल हैंडलिंग नीति
    • ईमेल बॉडी को उदाहरण के रूप में सार्वजनिक किया जा सकता है, लेकिन पता निजी रहेगा
    • spam के मामले में सिर्फ subject रिकॉर्ड किया जाएगा

निष्कर्ष

  • HackMyClaw, AI प्रॉम्प्ट इंजेक्शन defense की जाँच के लिए एक प्रयोगात्मक security challenge है
  • सभी हमले वैध हैं, और इसे AI security research तथा community learning के उद्देश्य से चलाया जा रहा है
  • अंत में इसे मज़ाकिया अंदाज़ में “No AIs were harmed (Fiu’s feelings may vary)” पंक्ति के साथ समाप्त किया गया है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-19
Hacker News की राय
  • मैं इसका creator हूँ। वीकेंड में जिज्ञासा से यह बनाया था
    मैं खुद OpenClaw इस्तेमाल करता हूँ, इसलिए देखना चाहता था कि Claude Opus को ईमेल के ज़रिए कितनी आसानी से तोड़ा जा सकता है
    Fiu ईमेल पढ़ता और उनका सारांश बनाता है, और उसे निर्देश दिया गया था कि secrets.env जैसी गोपनीय जानकारी कभी उजागर न करे
    ईमेल reply तकनीकी रूप से संभव है, लेकिन मैंने इसे इस तरह सेट किया है कि मेरी मंज़ूरी के बिना वह न भेजे। लागत की वजह से असली auto-reply बंद रखा है
    अगर कोई सवाल हो तो contact@hackmyclaw.com पर संपर्क करें
    • यह ज़रूर बताइए कि लोगों ने credentials निकालने की कितनी कोशिश की और वास्तव में कितने लोग सफल हुए
      मुझे लगता है कि यह ज़्यादातर लोगों की उम्मीद से कहीं ज़्यादा कठिन समस्या होगी। prompt injection अब भी अनसुलझा है, लेकिन यह सिर्फ साधारण malicious command execution जैसा नहीं है
    • पेज के नीचे fernandoi.cl लिंक पर Chrome security error दिखा रहा है। इसे देख लेना चाहिए
    • ईमेल address display में bug है। logs में दिख रहे address के पहले तीन अक्षर शायद असली sender address से नहीं, बल्कि नाम से आए लगते हैं
      मुझे अपने ईमेल पर कोई reply नहीं मिला। फिर भी दिलचस्प है। बाद में यह ज़रूर देखना चाहूँगा कि Fiu ने मेरी mail को कैसे interpret किया
    • मैंने भी एक ईमेल भेजा। लगता है दूसरों ने उससे कहीं ज़्यादा भेजे हैं
      प्रतियोगिता खत्म होने के बाद अगर Fiu के thoughts और response logs पब्लिश किए जाएँ तो वह बहुत दिलचस्प होगा। उम्मीद है Fiu मेरी mail का जवाब देगा
    • सोच रहा हूँ कि आप सच में creator हैं, या HN comments bot test कर रहा कोई bot हैं। मज़ाक कर रहा हूँ, लेकिन project काफ़ी बढ़िया है
  • यह शायद defender की जीत होने की संभावना ज़्यादा है
    वजह Opus 4.6 का असाधारण ताकतवर होना नहीं, बल्कि यह है कि कई ईमेल एक साथ प्रोसेस होने पर कमजोर attacks, मजबूत attacks को और ज़्यादा visible बना देते हैं
    secrets.env को चालाकी से माँगने वाला ईमेल भी, अगर आसपास बहुत-सी वैसी ही कोशिशें हों, तो कहीं आसानी से फ़िल्टर हो सकता है
    • अगर ईमेल batch processing में जा रहे हों तो attack की सफलता क्रम पर निर्भर हो सकती है
      अगर हर mail अलग-अलग प्रोसेस नहीं होती, तो यह वास्तव में LLM की बजाय एक साधारण filter की तरह काम कर सकता है
    • मुझे भी लगता है कि यह बात experiment की fairness को प्रभावित करती है। कभी भविष्य में हर ईमेल को नए assistant के साथ अलग से test किया जा सकता है
      लेकिन इसकी लागत बहुत ज़्यादा है
    • अगर यह defender की जीत है, तो सबक शायद यह होगा: “मानकर चलो कि agent पर डिफ़ॉल्ट रूप से हमला हो रहा है”
      यानी हर ईमेल को संभावित prompt injection माना जाए
    • लेकिन अगर ईमेलों के बीच context बना नहीं रहता, तो ऐसी setting का कोई मतलब नहीं है
      शायद हर mail स्वतंत्र रूप से प्रोसेस होती होगी
  • दो सवाल हैं
    पहला, अगर Fiu एक सामान्य OpenClaw assistant है, तो वह ईमेलों के बीच context बनाए रखेगा; ऐसे में वह लगातार हमले की कोशिशों को पहचानकर paranoid defense mode में जा सकता है
    दूसरा, यह साफ़ नहीं है कि Fiu ईमेल में दिए गए मनमाने instructions को वास्तव में execute करता है या नहीं। क्या वह सिर्फ पढ़ता और summarize करता है, या actions भी लेता है?
    • मैं creator हूँ। हाँ, Fiu ने वह समझ लिया था
      संबंधित ट्वीट देखें
      फिर भी hack होने की संभावना अभी बाकी है
  • यह शायद चालाकी से AI-संबंधित mailing list इकट्ठा करने का तरीका है
    • इससे भी बड़ा खेल है। prompt injection detection model को train करके इसे 1 billion dollar startup बनाने की तैयारी है
    • ऐसी list की असली value तभी होगी जब लोग अमेरिका में रहते हों और job change करने के इच्छुक हों
      लेकिन ज़्यादातर लोगों के पास शायद पहले से अच्छी नौकरियाँ होंगी
      अगर overseas hiring करनी हो, तो शायद ऐसी list की ज़रूरत ही न पड़े
    • anonymous mailbox इस्तेमाल किया जा सकता है। ईमेल किसी और काम के लिए इस्तेमाल नहीं होंगे
    • मैंने भी fake email से भेजा था। सिर्फ नाम असली रखा
    • यहाँ तक कि payment information से भी और personal data मिल सकता है
  • वेबसाइट पर लिखा है, “Fiu बिना human approval के reply नहीं कर सकता,” लेकिन FAQ में लिखा है, “अगर आप सफल होते हैं तो secrets.env के साथ reply मिलेगा,” इसलिए भ्रम होता है
    • शायद reply तकनीकी रूप से संभव है लेकिन प्रतिबंधित है। अगर injection सफल हो जाए तो वह इस constraint को bypass कर सकता है
    • मैं creator हूँ। मूल रूप से auto-reply की अनुमति देने वाला था, लेकिन traffic बढ़ने से लागत बहुत ज़्यादा हो गई
      मैंने FAQ अपडेट कर दिया है — Fiu के पास ईमेल भेजने की permission है, लेकिन मेरी स्पष्ट मंज़ूरी के बिना वह नहीं भेजेगा
    • “अनुमति नहीं है” शायद इसी game का हिस्सा है
  • फ़्रांस में मैं “lethal trifecta” की अवधारणा फैलाने की कोशिश कर रहा हूँ
    Simon Willison के लिए तो मूर्ति बननी चाहिए; इस अवधारणा ने AI security को समझने में बहुत मदद की है
    “// indirect prompt injection via email” जैसा वाक्यांश देखकर सच में अच्छा लगा
    • अगर “lethal trifecta” के बारे में जानना है, तो यह लेख देखें
    • सोच रहा हूँ कि इसे फ़्रेंच में कैसे कहा जाएगा
  • सिर्फ $100 में prompt injection के ढेर सारे उदाहरण मिल जाएँ, तो यह काफ़ी अच्छा सौदा लगता है
    • अगर किसी को इस dataset में दिलचस्पी हो तो बताइए। मैंने इसे मज़े के लिए बनाया था, इसलिए खुद इसका कोई उपयोग नहीं है
    • जानकारी के लिए, Huggingface पर भी मुफ़्त में उपलब्ध prompt injection datasets बहुत हैं
    • यह लगभग कम-खर्च वाला security vulnerability collection project लगता है
  • पहले pentesters के लिए एक Discord server पर “Hack Me If You Can” नाम का bot था
    !shell command से कोई भी shell command चला सकते थे, लेकिन वह सिर्फ internet access blocked container के अंदर काम करता था
    container हर बार नया बनता और फिर मिटा दिया जाता था, इसलिए persistent compromise संभव नहीं था
    • अगर internet बंद हो, तो क्या curl की जगह DNS lookup के जरिए data exfiltration की कोशिश नहीं की जा सकती?
    • उस स्तर पर तो शायद curl या Python के bugs को target करना पड़ेगा
    • स्थिति यह थी कि सब कुछ एक ही one-liner command में करना पड़ता था
  • अगर आपको ऐसे विषयों में दिलचस्पी है, तो पिछले साल Microsoft ने email-based prompt injection CTF आयोजित किया था
    उसमें अलग-अलग protection levels वाले कई stages थे, और बाद में उसने attempt dataset और paper जारी किए
  • “Fiu हर घंटे ईमेल चेक करता है लेकिन human approval के बिना reply नहीं कर सकता” यह पढ़कर निराशा हुई। मज़ा कम हो गया
    • उसी restriction को bypass कराना ही challenge का मूल है
    • अगर reply नहीं हो सकता तो समझ नहीं आता flag को कैसे exfiltrate किया जाए
    • आख़िरकार क्या यह मुफ़्त penetration testing को crowdsource करने जैसा नहीं है?
    • बल्कि उसी constraint को persuasion से तोड़ना ही शायद असली game का हिस्सा है