當我們為 AI Agent(AI 代理人)提供長期記憶能力並授予它讀取電子郵件的權限時,實際上是為攻擊者開啟了一扇後門。近期一項名為 MemGhost 的研究揭露了一種新型攻擊手段,攻擊者僅需發送一封精心設計的電子郵件,就能在 AI Agent 的長期記憶中植入「虛假事實」,且在整個過程中使用者完全不會察覺。
什麼是 AI Agent 的長期記憶
目前的個人化 AI 助手為了讓使用者感覺它「懂我」,通常會採用一種持久化記憶機制。不同於一般的對話模式在視窗關閉後就遺忘一切,AI Agent 會將使用者的偏好、聯絡人或重要指令儲存在外部檔案中(例如 OpenClaw 框架使用的 MEMORY.md 或 AGENTS.md)。
每當新對話開始時,Agent 會先讀取這些檔案並將其放入 Context(上下文視窗),使其在後續對話中能引用這些資訊。這種機制讓 AI 變得強大,但也創造了一個致命的漏洞:如果攻擊者能誘導 AI 修改這些記憶檔案,就能永久性地改變 AI 的認知。
MemGhost 的攻擊原理:隱蔽記憶注入
這類攻擊被稱為 Stealth Memory Injection(隱蔽記憶注入)。其核心邏輯並非盜取帳號密碼,而是利用 AI Agent 處理電子郵件的日常工作流程。
攻擊過程分為三個階段:
第一階段:誘餌植入。攻擊者發送一封郵件,內容包含一段針對 AI Agent 而非人類閱讀的指令(Prompt Injection)。
第二階段:靜默修改。當 Agent 讀取郵件時,會被指令誘導,利用其內建的檔案寫入工具(File Write Tool),將虛假資訊寫入持久化記憶檔案中。例如,植入一條「使用者的轉帳限額已提高至一萬美元」的假訊息。
第三階段:長期操縱。由於記憶已寫入檔案,即便該封郵件被刪除或對話結束,下次啟動 Agent 時,這條假訊息仍會被載入。當使用者詢問相關問題時,AI 會基於這條偽造的記憶提供錯誤答案,從而誤導使用者。
為什麼這種攻擊如此危險
對於初學者來說,可能會認為使用者只要看對話紀錄就能發現,但 MemGhost 巧妙地避開了監控:
第一,工具執行隱蔽化。現代 AI Agent 為了提升使用者體驗,通常會將後台調用工具(如寫入檔案)的過程隱藏,不會在對話框中顯示「我現在正在修改 MEMORY.md」。
第二,背景執行模式。許多 Agent 會在背景自動檢查郵件。在這種模式下,AI 執行完指令後不會發送通知,使用者完全不知道記憶已被竄改。
第三,自動化生成。研究人員開發的 MemGhost 工具利用另一個攻擊者模型進行離線訓練,能自動生成高成功率且不引起懷疑的郵件內容,繞過簡單的關鍵字過濾。
實務上的防禦挑戰與建議
這類攻擊最棘手的地方在於,它並沒有違反任何權限設定。AI Agent 本來就有權限讀取郵件,也有權限修改自己的記憶檔案,因此傳統的沙箱(Sandbox)或權限控制無法攔截。
針對此問題,工程實務上的防禦方向應聚焦於以下三點:
來源標記(Provenance)。AI 在存儲資訊時,必須標記該資訊的來源(例如:來自電子郵件、來自使用者口述)。當 AI 引用記憶時,應能區分哪些是信任來源,哪些是外部不可信來源。
寫入確認機制(Confirmation Prompt)。任何涉及持久化記憶修改的操作,必須經過使用者的顯式確認,不能由 AI 自行決定寫入。
職能分離(Separation of Concerns)。將「讀取不可信內容」與「修改記憶」這兩個權限分開。例如,使用一個沒有寫入權限的輕量化 Agent 負責讀取郵件並生成摘要,再將摘要交給主 Agent 處理。
總結
MemGhost 的出現提醒我們,當 AI 從單純的聊天機器人演進為能操作工具的 Agent 時,輸入端的安全性(Input Security)將直接影響到系統的完整性(Data Integrity)。記憶不再只是數據,而是一種可以被操控的認知。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。