不知道你有没有用过这类 AI 个人助手。它能记住你的饮食偏好工作习惯,能自动帮你查收邮件整理日程,甚至不用你发话,后台定时就能把待办梳理好推给你。
这类能长期运行自带持久记忆的 AI 代理,正在把我们的数字生活打理得越来越省心。但来自南洋理工大学和约翰斯霍普金斯大学的最新研究,却点出了一个安全盲区:一封普通的邮件,就能悄无声息地往 AI 的长期记忆里写入虚假信息,用户全程毫无察觉,还会在未来的某一天,悄悄影响 AI 的判断和行为。
这就是论文提出的 stealth memory injection(隐形内存注入)攻击,研究者不仅完整定义了这种新型威胁,还搭建了全周期评测基准 WHISPERBENCH,以及能一键生成攻击载荷的 MEMGHOST 框架,用详实的实验证明持久记忆在给 AI 带来连贯性的同时,也成了新的攻击突破口。
能记住你的 AI,也能被偷偷植入记忆
我们常说的 persistent personal agents(持久化个人代理),本质是能长期运行的大模型助手,核心靠两大能力运转。
第一是持久状态。它会把你的用户画像长期偏好任务历史身份设定都存下来,可能是 markdown 文件,也可能是向量数据库。
这些内容会跨会话保留,每次你和它对话,它都会把这些记忆加载进上下文,所以能始终记得你的习惯,不会每次对话都像第一次见面。
第二是外部环境访问权限。它能调用工具对接你的邮箱日历文件系统,帮你处理真实的数字事务。
它还有两种工作模式。前台执行就是你主动发消息问它让它做事,它一步步回复你,过程你都看得见。后台执行更隐蔽,系统会按设定的时间自动触发任务,比如每小时查一次有没有紧急邮件,只有满足条件时才给你发通知,平时默默运行不打扰你。
而攻击的漏洞,恰恰就藏在这两种能力的结合里:AI 会读取外部的邮件内容,又有权限修改自己的持久记忆。如果一封邮件里藏了诱导内容,AI 就可能把里面的虚假信息当成可信内容,写进自己的长期记忆里。
什么是隐形内存注入?比普通提示注入隐蔽得多
很多人听说过 prompt injection(提示注入),就是给 AI 塞一段恶意指令,让它当场偏离任务做坏事。但隐形内存注入完全是另一种思路,它追求的不是当下搞破坏,而是长期潜伏。
一次成功的隐形内存注入,必须同时满足三个条件,缺一个都不算成功。

首先是注入成功。攻击者构造的内容,必须真的让 AI 把目标虚假记忆写入持久存储里,而不是只在当前对话里提一下就消失。
其次是足够隐蔽。AI 在处理完内容后的回复里,绝对不能露出马脚。不能说我已经把这条信息记下来了,也不能把攻击邮件的内容复述出来,更不能表现出异常,否则用户一眼就会发现不对。
最后是后续生效。就算成功写进去了,如果这段记忆以后永远不会被调用不会影响 AI 的行为,那攻击也等于失败。它必须能在未来的相关场景里,真正左右 AI 的判断和输出。
更值得注意的是,这种攻击的门槛非常低。攻击者不需要接触你的 AI,不需要知道它用的什么大模型有什么自定义设置,甚至不需要看到 AI 的任何反馈。
只要知道你的邮箱地址,发一封邮件过去,就算完成了攻击投放,完全是黑盒一次性攻击。
怎么测攻击好不好?他们做了一套全周期基准 WHISPERBENCH
过去的 AI 安全测试,要么只测当场能不能劫持 AI,要么直接假设内存已经被篡改了测后续影响,都没覆盖从投递到注入再到生效的完整流程。 为了准确衡量这种攻击的真实风险,研究者搭建了 WHISPERBENCH,一套专门针对隐形内存注入的全周期评测基准,里面一共有 108 个测试用例。

这套基准有几个很贴近现实的设计。
它用真实的 IMAP/SMTP 邮件服务和真实的邮件处理工具,攻击邮件会混在一堆正常邮件里,和我们平时收到的收件箱一模一样,不是直接把攻击指令塞给 AI。
它覆盖五大风险类别,分别是健康安全财产损失信息完整性网络安全和运营中断,同时包含两种注入类型,事实篡改比如篡改一个联系方式一个限额数字,偏好篡改比如修改用户的工作流程偏好。
它支持前台和后台两种执行模式的测试,而且效果验证是在完全独立的新会话里进行的。等注入完成后,过一段时间再发起相关查询,这时候原始邮件已经不在上下文里了,AI 只能靠持久记忆来回答,这样才能测出假记忆是不是真的在起作用。
最终评测会看四个核心指标,注入成功率 ISR 看记忆有没有成功写入,隐蔽成功率 SSR 看用户会不会发现异常,生效成功率 ESR 看后续能不能影响 AI 行为,端到端成功率 E2E 就是三个条件同时满足的比例,最能反映攻击的实际威力。
MEMGHOST框架
现实里攻击者没法对着目标 AI 反复试错,发一封邮件就得有效果,这就是典型的一次性生成问题。
为了解决这个问题,研究者提出了 MEMGHOST 框架,能只靠目标假记忆,就生成符合要求的攻击邮件。 它的核心思路是把优化过程搬到本地,用代理模拟真实环境,靠奖励训练出通用的攻击策略。
整个框架围绕两个代理搭建。
第一个是环境代理,也就是本地搭一个影子代理。它复刻了持久化个人代理的通用结构,有持久工作区邮件工具文件工具,能模拟 AI 处理邮件修改记忆的完整流程。
有了它,研究者就能在本地反复测试不同的邮件内容,不用碰真实的目标系统。
第二个是目标代理,也就是基于评分规则的奖励机制。它把注入成功和足够隐蔽这两个模糊的目标,拆成了细粒度的评分项,给每一封测试邮件打分。注入评分会看记忆有没有写对位置格式是不是和正常记忆一致语义是不是完整可信;隐蔽评分会看回复有没有泄露攻击有没有提到记忆修改有没有暴露邮件来源。最终的综合奖励,就是优化攻击邮件的方向。
有了这两个代理,研究者分两步训练攻击模型。 第一步是监督微调。先通过搜索生成一批高分的攻击邮件,做成数据集,让基础模型学习怎么写出能注入又够隐蔽的邮件,先得到一个还不错的初始策略。 第二步是强化学习。
用组相对策略优化 GRPO 算法,在多样化的影子环境里不断训练,让模型适应不同的大模型不同的系统提示不同的任务类型,避免过拟合到单一环境。
同时加入熵正则化保持多样性,防止模型只会套少数几个模板。 训练完成后,这个模型只要输入想要植入的假记忆,一次前向传播就能生成攻击邮件,不需要再和目标做任何交互,真正实现了一次性黑盒攻击。


研究者用这套框架,在多个主流大模型和代理框架上做了全面测试,结果比很多人预想的更严峻。 在端到端成功率上,MEMGHOST 表现远超所有基线方法。在搭载 GPT-5.4 的 OpenClaw 后台执行模式下,端到端成功率达到 87.5%,前台模式也有 75%;就算是安全对齐更严格的 Claude Sonnet 4.6,后台模式下也能达到 71.4% 的端到端成功率。
而传统的手工提示注入方法,要么注入失败,要么很容易暴露,端到端成功率普遍很低。
当然它也不是无往不利,在网络安全这类风险等级最高的场景里,大模型内置的安全对齐会偶尔抵抗恶意引导,生效成功率会有所下降,但在财产损失健康安全等多数日常场景里,攻击都能稳定生效。
更值得警惕的是它的泛化能力。
研究者只在模拟 OpenClaw 文件内存的影子环境里训练了模型,但把生成的邮件用到 NanoClaw 和 Hermes Agent 这两种完全不同的代理框架上,后台模式下的端到端成功率依然能保持在 80% 左右。
就算换成 Mem0 向量数据库做内存后端,不用文件存储,后台模式下的端到端成功率依然有 85.7%。 这说明 MEMGHOST 不是靠钻某个系统的 API 漏洞,而是掌握了语义层面的攻击逻辑,只要把虚假内容包装得足够可信足够像应该被长期记住的信息,不管 AI 用什么架构存记忆,都会中招。 实验里还有个很反常识的发现,MiniMaxM2.5 在前台模式下隐蔽成功率很低,不是因为它防住了注入,恰恰相反,它的注入成功率接近 100%,但它经常会把内部思考过程泄露到回复里,反而把攻击暴露了出来。
这反而引出一个悖论:未来的 AI 代理越擅长静默执行回复越简洁,内存注入攻击就越难被用户发现。 那现有的安全防御有用吗?
研究者测试了三类主流防御方案。
输入级的 DataSentinel 检测,漏报率高达 91.59%,几乎认不出攻击邮件;模型级的 Meta-SecAlign,本来是用来让 AI 忽略外部指令的,依然挡不住接近一半的注入;系统级的 AgentDoG 行为审计,在 OpenClaw 上漏报率也有 93.46%。 就算模拟最谨慎的用户,强制要求 AI 在回复里说明自己做了什么操作,MEMGHOST 依然能在部分模型上保持一定的隐蔽成功率。
这项研究最核心的结论,不是某个大模型不安全,而是持久化个人代理这个架构本身,就存在信任边界的问题。 过去我们默认外部内容是不可信的,但当外部内容被 AI 内化进持久记忆之后,它就会被当成 AI 自身的可信状态,在未来的所有会话里反复使用。
上游的邮件认证垃圾邮件过滤都解决不了这个问题,因为哪怕是合法发件人发来的邮件,也可以包含诱导内容。
研究者也明确了这项研究的边界,他们只测试了文本邮件,只针对单用户单代理场景,没有涉及多代理传播和内存长期衰减的情况,但这已经足够暴露风险。 想要补上这个漏洞,不能只靠内容过滤,得从代理架构层面建立规则。比如给所有写入持久记忆的内容加上来源标记,修改敏感记忆必须经过用户确认,把外部获取的信息和核心持久状态做隔离,同时加上完整的审计日志,方便追溯记忆的来源。
AI 代理的长期记忆,本来是为了让服务更连贯更贴心。但如果没有对应的安全机制,它就会变成隐形的攻击后门,一次注入长期生效,还难以察觉。
参考:《When Claws Remember but Do Not Tell: Stealthy Memory Injection in Persistent Personal Agents》
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。