研究显示内存攻击可劫持人工智能代理转移加密资产

。普林斯顿大学的研究人员发现，一旦攻击者编辑了代理存储的上下文，受托进行加密钱包和智能合约操作的大型语言模型代理就会被劫持，研究小组将这一弱点称为 "内存中毒"。

他们的研究https://arxiv.org/pdf/2503.16248认为，一旦恶意文本悄悄进入代理的向量存储或数据库，目前的防御措施（主要是提示过滤器）就无能为力了。在实验中，埋藏在内存中的简短注入始终能覆盖那些如果以直接提示方式到达就能阻止相同文本的防护网。

研究小组在 ElizaOS 上验证了这种攻击，ElizaOS 是一个开源框架，其钱包代理根据区块链指令行事。在对共享内存下毒后，研究人员让这些代理签署了未经授权的智能合约调用，并将加密资产转移到攻击者控制的地址，证明了捏造的上下文会转化为真实的经济损失。

由于 ElizaOS 允许许多用户共享一个对话历史记录，因此一个被攻击的会话会玷污触及相同内存的所有其他会话。论文警告说，任何多用户部署的自主 LLM 代理都会继承这种横向移动风险，除非内存是隔离或可验证的。

作者建议将记忆作为仅附加的记录处理，对每个条目进行加密签名，并通过外部规则引擎而不是信任模型自身的推理来路由高风险操作--支付和合同审批。在这些措施成为标准之前，把真金白银交给自主代理仍是一场赌博。