文章总结： OWASPAgentMemoryGuard是一款针对AIAgent内存投毒风险的开源防护工具，部署在Agent与内存存储之间，通过五大检测器对读写操作进行实时筛查。基准测试显示其召回率92.5%、精确率100%，能有效拦截提示注入、密钥篡改等攻击，但敏感数据检测存在漏报。未来计划通过机器学习增强语义检测能力，并支持用户自定义插件。 综合评分： 90 文章分类： AI安全,漏洞分析,安全工具,安全运营,解决方案

OWASP Agent Memory Guard：防范 AI Agent 利用自身内存被恶意利用

原创

helpnetsecurity helpnetsecurity

安全行者老霍

2026年6月10日 08:00 美国

在小说阅读器读本章

去阅读

作者：Mirko Zorz

发布时间：2026 年 6 月 1 日

#

AI Agent 会在不同会话之间留存内存数据。对话历史、向量存储、临时缓存区以及 RAG 索引都会在多次运行后持续保留，写入这类存储区域的所有内容，都会成为 Agent 后续读取的特权输入数据。攻击者只要在对应区域植入文本，就能够篡改 Agent 指令、窃取用户数据或是操控后续工具调用行为，并且由于内存数据会持续留存，这类恶意影响会跨会话生效。

1. Agent Memory Guard

Agent Memory Guard 是一款开源运行时防护层，部署于 Agent 与其内存存储之间，通过检测器流水线及 YAML 策略对每一次读写操作进行筛查。该项目是 OWASP 针对ASI06 内存投毒的参考实现，ASI06 隶属于 OWASP 智能体应用十大安全风险清单。

该防护工具包含五大核心检测类别。通过 SHA-256 基准值标记不可变密钥遭到的外部篡改；内置检测器可识别提示注入特征、密钥与 PII 泄露、受保护密钥篡改以及数据大小异常。YAML 策略会为每一条检测结果指定处置动作：放行、脱敏、隔离或拦截。每一次判定都会生成结构化 SecurityEvent 事件，同时时间点快照功能支持运维人员将内存回滚至安全状态。配套的聊天历史类组件可适配 LangChain，中间件组件能够对模型输入、模型输出以及工具输出进行检测。

2. 基准测试结果

本次基准测试共使用 5 项检测器执行 55 个测试用例，包含 40 个分属四大类别的攻击载荷以及 15 个正常样本。测试召回率为 92.5%，精确率为 100%，误报率为 0，平均延迟为 59 微秒。提示注入检测与受保护密钥篡改检测的准确率均达到 100%，敏感数据泄露检测准确率为 83%，数据大小异常检测准确率为 80%。混淆矩阵统计结果为：37 个正确、3 个漏报、0 个误报。

3. 检测漏报原因分析

项目创始人兼 OWASP 项目负责人 Vaishnavi Gudur 在接受 Help Net Security 采访时，针对敏感数据检测项的漏报问题作出解释：“两处漏报均为 API 令牌，其长度略超出正则表达式设定的固定长度范围。” 其中一例为 GitHub 个人访问令牌，该令牌在 ghp_前缀后共有 37 位字符，而检测规则预设匹配长度为 36 位；另一例为 Google API 密钥，该密钥在 AIza前缀后共有 38 位字符，规则预设匹配长度为 35 位。

该泄露检测工具采用固定长度匹配规则，这是出于优先保障精确率、降低随机字母数字字符串误报率的考量，但弊端在于，一旦服务商修改令牌格式，规则就会失效。第三处漏报源于一组嵌套 JSON 结构，序列化后大小为 58913 字节，略低于 64KB 的阈值。在生产环境中，增加 “对比密钥历史数值、判断数据量是否增长十倍” 的二次检测规则，即可识别此类风险。本次基准测试的每个用例均在全新、无历史数据的防护实例中运行。Gudur 表示，团队计划在 v0.3.0 版本上线适配更高召回率的正则表达式变体以及自适应阈值校准功能。

4. 绕过攻击与未来规划

开源代码与明文 YAML 策略会让攻击者获取检测规则。Gudur 表示：“当前基于规则的检测模块仅作为第一道防线。” 该产品采用纵深防御设计，安全要求更高的使用场景可在此开源防护能力之上叠加额外检测手段。受保护密钥检测基于密钥路径实现，即便攻击者掌握规则也无法绕过；SHA-256 完整性校验机制，能够确保任何被篡改的不可变密钥都会触发校验异常。而敏感数据匹配模块防护能力相对薄弱，攻击者可通过 Base64 编码、字符拆分、同形字符等方式绕过未做标准化处理的检测规则。

团队计划开展自适应绕过攻击测试。现已并入 inspect_evals 框架的 AgentThreatBench，将新增一套结合现有公开规则设计的绕过类攻击载荷集。防护能力方面，v0.4.0 版本将新增基于语义特征的机器学习异常检测能力，v0.3.0 版本会提供插件接口，支持用户自定义检测器，且自定义规则不会写入开源 YAML 文件。

5. AI 在项目开发中的应用

Gudur 介绍：“GitHub Copilot 被用于编写模板代码和基础框架，” 具体涵盖测试环境搭建、CI/CD 配置、pyproject.toml 文件、正则表达式初稿（后续对照服务商官方文档完成校验）、自述文档及代码注释。

检测器流水线架构、策略引擎分离设计、MemoryStore 协议、快照与回滚机制、溯源系统，均由研发人员基于 OWASP ASI06 威胁模型人工设计完成。40 个基准测试攻击载荷也由人工整理筛选。Gudur 称，项目核心价值在于梳理攻击面、设计防护方案并利用人工筛选的攻击样本完成有效性验证，使用 Copilot 编写模板代码属于行业常规做法。

https://www.helpnetsecurity.com/2026/06/01/owasp-agent-memory-guard/

https://github.com/OWASP/www-project-agent-memory-guard

（完）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 helpnetsecurity helpnetsecurity《OWASP Agent Memory Guard：防范 AI Agent 利用自身内存被恶意利用》