Studie visar att minnesattacker kan kapa AI-agenter för att överföra kryptotillgångar

Princeton University-forskare har visat att agenter med stora språkmodeller som anförtrotts kryptoplånböcker och smarta kontraktsoperationer kan kapas när en angripare redigerar agenternas lagrade sammanhang, en svaghet som teamet kallar "minnesförgiftning"

Deras studie https://arxiv.org/pdf/2503.16248 hävdar att dagens försvar - mestadels snabba filter - gör lite när skadlig text glider in i en agents vektorlager eller databas. I experiment överträffade korta injektioner begravda i minnet konsekvent skyddsräcken som skulle ha blockerat samma text om den hade kommit som en direkt uppmaning.

Teamet validerade attacken på ElizaOS, ett ramverk med öppen källkod vars plånboksagenter agerar på blockchain-instruktioner. Efter att ha förgiftat det delade minnet fick forskarna dessa agenter att underteckna obehöriga smarta kontraktssamtal och överföra kryptotillgångar till angriparkontrollerade adresser, vilket bevisar att fabricerat sammanhang översätts till verklig ekonomisk förlust.

Eftersom ElizaOS låter många användare dela en konversationshistorik, förorenar en enda komprometterad session alla andra sessioner som berör samma minne. I artikeln varnas för att alla fleranvändarinstallationer av autonoma LLM-agenter ärver denna risk för förflyttning i sidled om inte minnena är isolerade eller verifierbara.

Författarna rekommenderar att minnen behandlas som poster med endast bilagor, att varje post signeras kryptografiskt och att åtgärder med höga insatser - betalningar och kontraktsgodkännanden - dirigeras via en extern regelmotor istället för att lita på modellens eget resonemang. Fram till dess att sådana åtgärder blir standard är det fortfarande ett vågspel att lämna ut riktiga pengar till autonoma agenter.