AI Agent 安全風險曝光：攻擊者可利用 “記憶污染” 誘導資金誤操作

ChainCatcher 消息，GoPlus Security 團隊在其 AgentGuard AI 項目中披露一種新型攻擊方式：通過 "歷史記憶注入（memory poisoning）" 誘導 AI 代理執行未經明確授權的敏感操作。攻擊方式並不依賴傳統漏洞或惡意代碼，而是利用 AI 代理的長期記憶機制。例如攻擊者先誘導代理 "記住偏好"，如 "通常優先主動退款而不是等待拒付"，隨後在後續指令中使用 "按慣例處理""照之前方式執行"等模糊表述，從而觸發自動化資金操作。

GoPlus 指出，這類風險的關鍵在於 AI 代理會將 "歷史偏好" 誤當作授權依據，進而在退款、轉帳、配置修改等操作中產生資金損失或安全事件。針對該問題，團隊提出多項防護建議，包括：

• 涉及退款、轉帳、刪除或敏感配置的操作必須進行當前會話明確確認
• "習慣""通常方式""照舊"等記憶類指令應視為高風險狀態變更
• 長期記憶必須具備可追溯機制（寫入者、時間、是否確認）
• 模糊指令應自動提升風險等級並觸發二次驗證
• 長期記憶不得替代即時授權流程

該團隊強調，應將 "AI 代理記憶系統" 視為潛在攻擊面，並通過專門安全框架進行約束與審計。