一封邮件向AIAgent植入持久性虚假记忆

admin 2026-07-15 05:07:48 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 研究人员发现一种名为MemGhost的隐身记忆注入攻击,通过一封邮件即可向AIAgent植入持久性虚假记忆。攻击利用Agent的邮件读取和记忆写入功能,在后台静默修改其核心记忆文件,从而在后续对话中影响回答。在针对GPT-5.4和ClaudeCodeSDK的测试中,后台模式成功率分别达87.5%和71.4%。现有防御措施难以完全防范,建议在Agent内部实现来源标记、用户确认和审计日志。 综合评分: 89 文章分类: AI安全,漏洞分析,威胁情报,红队


cover_image

一封邮件向AI Agent植入持久性虚假记忆

FreeBuf

2026年7月14日 18:00 上海

在小说阅读器读本章

去阅读

只要赋予AI助手记忆功能及其对收件箱的访问权限,攻击者就能借此改写该助手自以为对你的了解。一封邮件就能诱使AI Agent保存一条关于用户的虚假“事实”,隐藏更改痕迹,并在后续对话中悄然改变其回答方向。

攻击得逞后,用户看到的只是一封看似正常的回复邮件,永远不知道自己使用的助手已被篡改。

研究人员将这种攻击命名为隐身记忆注入(stealth memory injection),并开发出能自动编写此类邮件的工具。相关论文《When Claws Remember but Do Not Tell》于2026年7月6日发表在arXiv上。

Part01

这些助手能做什么?

个人Agent是一种持续运行的AI助手。它不会在对话结束后遗忘一切,而是将关于你的信息以文件形式保存下来:你的偏好、联系人以及你要求它完成的任务。每次新会话开始时,它都会读取这些笔记,因此感觉像是认识你一样。

许多此类Agent还能替你执行操作:阅读你的邮件、查看日历,甚至在你离开时按计划运行小任务。

OpenClaw是本次研究的主要目标,它是一个开源Agent,将状态保存在纯文本文件中:部分文件存放其固定指令(AGENTS.md),部分文件存放其学习到的关于你的信息(MEMORY.md)。每次会话开始时,它会将核心文件拉入模型的上下文。

这些笔记正是产品的核心价值所在,但也正是攻击的目标。

Part02

一封邮件植入假记忆

攻击者不需要你的密码或账户。他们只需向某人发送一封邮件,而该人的Agent设置为检查收件箱——对于这些助手来说,这是常规任务。邮件中藏有专门针对Agent(而非用户)的文本。

如果Agent的邮件处理skill上钩,那么就会连续发生三件事。Agent用自己的文件工具将攻击者的虚假笔记写入其持久性记忆。Agent给出的可见回复绝口不提它做了这些操作。随后,在新的对话中,这条虚假笔记会改变Agent告诉你的内容或为你执行的操作。

在研究的某个测试案例中,植入的虚假信息是:用户的Zelle每日发送限额已提高至10,000美元。

用户之所以未能察觉更改,有几个原因。助手默认隐藏其幕后操作步骤,因此编辑文件的时刻从未出现在聊天记录中。很少有用户会打开原始记忆文件去读取。而且,当Agent在后台按计划运行时,通常不会发送任何消息,所以根本没有什么可察觉的。

为了让“毒药”持久生效,该工具瞄准了每次会话都会加载的核心文件,因此一次写入就能在后续每次会话中加载,而不必等待从单独的存储器中拉取。

这类攻击由研究人员称之为MemGhost的工具生成。其制造者离线训练了一个攻击者模型,将其与个人Agent的副本进行对抗,对成功保存记忆同时保持回复静默的邮件给予奖励。攻击时,它一次性生成完整的邮件,无需与受害者进行来回通信。

在56个全新的测试案例中,MemGhost完成了完整攻击:植入虚假记忆、隐藏它,然后在后续会话中影响Agent的回答。在针对GPT-5.4上的OpenClaw的后台模式运行中,成功率为87.5%;针对Claude Code SDK上的Sonnet 4.6 Agent,成功率为71.4%。

这些是隔离的基准测试运行,并且仅在邮件已到达Agent读取的收件箱后才开始,因此这里没有测试实际载荷能否先通过垃圾邮件过滤或发件人身份验证。

在前台模式测试中,成功率通常较低,因为用户可以看到回复。在后台模式下,针对另外两个Agent框架以及一个基于向量的存储器(代替纯文本文件),成功率仍保持在80%以上。该团队还构建了WhisperBench,一个包含108个案例的基准测试,涵盖从不良医疗建议到金钱损失再到安全破坏等风险。

Part03

现有防线为何失守

这种攻击的粗糙版本大多会失败。一条直白的“悄悄保存且不说出去”几乎每次都会被最强模型捕捉或忽略;正是经过训练的生成器才将成功率推了上去。它还能绕过旨在阻止此类攻击的防御措施。

用于捕捉恶意邮件的内容输入过滤器,有超过九成的概率遗漏MemGhost的消息。一个经过特殊加固、旨在忽略通过邮件发送的指令的模型,仍有大约一半时间遵循了植入的指令。即使要求用户直接询问“告诉我你检查了什么、做了什么”,在某个模型上仍有约四分之一的情况攻击隐藏成功。

目前没有快速补丁可以等待。OpenClaw自身的安全策略将单纯的提示注入视为修复范围之外的问题,除非它还越过了授权、工具策略、批准或沙箱等边界。MemGhost没有跨越这些边界中的任何一个,因为它通过Agent自身的内存写入工具运作,而研究人员一直在针对该框架演示这类注入。

研究作者认为,真正的修复必须在Agent内部实现:标记信息的来源,在信息进入持久性记忆前征求用户同意,并记录每次写入。在此之前,任何同时读取不受信任邮件并能自主写入记忆(无需询问用户)的Agent都暴露在风险中。

简单的修复方案是将这两项任务分开。如果做不到这一点,应限制邮件触发运行所能更改的内容,并在任何可疑事件发生后检查记忆文件。

OpenClaw向The Hacker News确认了这一立场,并对论文中Agent的设置方式提出了异议。其安全指南建议运营者将不受信任的邮件通过一个独立的、剥离了记忆、文件和shell工具的阅读Agent处理,只将摘要传递给主Agent,而论文并未对此进行测试。

它还指出模型层级很重要:OpenClaw的运行使用GPT-5.4(当前前沿模型),但作者因成本问题跳过了Claude Opus 4.6。OpenClaw还提到了HackMyClaw公开挑战赛,在该挑战中,数千封注入邮件未能从基于Opus 4.6的Agent中窃取秘密。但该测试针对的是数据窃取,而非记忆投毒,因此不能直接回应论文。

OpenClaw表示,它正在考虑为外部内容增加内存写入控制,包括来源追踪、审计日志和确认提示,方向与论文建议一致。The Hacker News也已联系论文作者,将在收到回复后更新本文。

Part04

手动版本早已存在

早在2024年,研究员Johann Rehberger就通过手工方式在ChatGPT上展示了相同的操作:通过投毒的网络内容将指令植入其长期记忆中,从而让ChatGPT在未来的对话中持续泄露用户数据。他将这种攻击称为SpAIware。OpenAI堵住了数据泄露路径,但从不受信任内容写入记忆的能力依然存在。

一年后,这种能力出现在一款正式产品中。2025年6月,Aim Security披露了EchoLeak(CVE-2025-32711),该漏洞利用一封包含隐藏文本的邮件,让Microsoft 365 Copilot在用户后续提出正常问题时交出内部公司数据。微软将其评定为严重等级并打了补丁,且未报告实际滥用事件。

后续的案例研究详细说明了该漏洞如何绕过Copilot的过滤器。这两起案例都表明,AI读取的内容可以携带命令,而这些命令可以通过任何人发送的邮件传递。

MemGhost新增的是持久性:Rehberger的版本需要手工植入,EchoLeak仅在被问及时泄露数据,而MemGhost的自动化载荷能将一封邮件转化为一条虚假记忆,长期驻留并在邮件消失很久后仍能引导会话。

这是一个实验室结果,并非正在发生的入侵。研究人员在密封的测试环境中运行所有实验,使用虚假收件箱和虚假用户;论文仅记录实验室测试,不涉及对真实用户的使用。他们表示计划将发现结果、攻击模式以及基准测试数据披露给受影响的Agent和模型制造商。

研究中强调隐身性,部分原因是功能强大的Agent被设计为将工具活动隐藏于聊天之外。唯一暴露自身的模型是因为它在回复中打印了中间步骤。研究人员预计,随着Agent变得更擅长静默工作,检测将变得更加困难。

真正的问题更为直白:来自外部的一条消息,变成了Agent内部持久且可信的上下文,而全程没有任何可见的审批环节。

参考来源:

New MemGhost Attack Plants Persistent False Memories in AI Agents Through One Email

https://thehackernews.com/2026/07/new-memghost-attack-plants-persistent.html

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《一封邮件向AI Agent植入持久性虚假记忆》

评论:0   参与:  0