想象一下:有人给你的 AI 助理发来一封藏着恶意指令的邮件。它当时没有闯祸,却把指令记进了“长期笔记”;几天后,你让它处理另一项工作,这条旧指令又被翻出来,悄悄影响发邮件、改日历或推送代码。长期记忆原本是为了让 AI agent——能规划步骤并调用工具执行操作的系统——不必每次从头了解你,但错误也会因此跨任务留下。
论文提出攻击方法 GhostWriter:先通过不可信输入把隐藏内容写入记忆,再等待一次看似无关的正常任务将它调出。作者在五种 Agent 架构、四种大模型上的测试称,恶意内容平均约有 98% 能写入,约 60% 会在之后被激活。关键风险不只在于一次性的“提示注入”,而是攻击来源与出问题的操作可能隔了很久,更难追查。
作者还提出 AM-Sentry,在保存记忆时设规则,并在取用前再次筛查可疑指令;实验称它能显著压低攻击成功率,同时尽量保留 Agent 的正常能力。上述效果来自论文作者自测,实际系统中的风险仍取决于具体记忆机制和权限设置。