AI Agent 安全风险曝光：攻击者可利用 “记忆污染” 诱导资金误操作

ChainCatcher 消息，GoPlus Security 团队在其 AgentGuard AI 项目中披露一种新型攻击方式：通过 “历史记忆注入（memory poisoning）” 诱导 AI 代理执行未经明确授权的敏感操作。攻击方式并不依赖传统漏洞或恶意代码，而是利用 AI 代理的长期记忆机制。例如攻击者先诱导代理 “记住偏好”，如 “通常优先主动退款而不是等待拒付”，随后在后续指令中使用 “按惯例处理”“照之前方式执行”等模糊表述，从而触发自动化资金操作。

GoPlus 指出，这类风险的关键在于 AI 代理会将 “历史偏好” 误当作授权依据，进而在退款、转账、配置修改等操作中产生资金损失或安全事件。针对该问题，团队提出多项防护建议，包括：

• 涉及退款、转账、删除或敏感配置的操作必须进行当前会话显式确认
• “习惯”“通常方式”“照旧”等记忆类指令应视为高风险状态变更
• 长期记忆必须具备可追溯机制（写入者、时间、是否确认）
• 模糊指令应自动提升风险等级并触发二次验证
• 长期记忆不得替代实时授权流程

该团队强调，应将 “AI 代理记忆系统” 视为潜在攻击面，并通过专门安全框架进行约束与审计。