系统:运行中
← 返回所有攻击
DEFENSE LOW NEW

上下文状态连续性:在智能体行动前校验其记忆

2026 年 7 月的一篇论文提出一种防御:在每次查询前重新计算并校验智能体工具状态与记忆的加密摘要,从而发现悄然改变其行为的工具投毒与记忆投毒。

2026-07-07 // 6 min affects: llm-agents, agent-frameworks, agent-memory, tool-augmented-agents

这是什么?

2026 年 7 月 2 日,研究者在 arXiv 上发布了 ElephantAgent: Contextual State Continuity in Agentic Systems。该论文针对一个多数智能体防御都忽视的问题:智能体的行为不仅由用户当前的查询驱动,还由一个累积的上下文状态驱动——它注册的工具、这些工具的描述,以及它在此前各轮中写入的记忆。如果这一状态中的任何部分被悄悄篡改,智能体仍会像什么都没发生那样继续运行。

近期关于工具投毒和记忆投毒的研究已勾勒出该威胁的形态:一个精心构造的恶意工具描述符,或一条被投毒的记忆条目,能够在注入很久之后仍然扭曲智能体的规划与执行,而在恶意行动发生的那一刻没有任何明显征兆。作者将其视为一个更深层的结构性缺口:智能体上下文中关键部分缺乏可校验的连续性。这是一篇防御性研究,而非攻击工具。

工作原理

该方案将上下文状态定义为智能体上下文中有界且对安全至关重要的子集——主要是其工具状态与记忆,而非整个提示历史。随后,防御借鉴了可信计算中的状态连续性系统的思路,并将其应用于这一不断演进的状态。

在处理每次查询之前,运行时会重新计算本地上下文状态的摘要,并将其与最新的已授权摘要进行比对。若不一致,说明状态发生了带外变更——它并非某次已授权转移的结果——智能体便可拒绝继续执行。

  查询 N 到达
      |
  重新计算 摘要(工具状态 + 记忆)
      |
  与最新的 已授权 摘要比对  --- 不一致 ---> 停止 / 审计
      |  一致
  执行,随后将新的已授权转移记入账本

两项机制支撑该方案。一个借助复制的可信硬件维护的、面向已授权状态转移的可线性化账本,使系统能够检测带外篡改,而不是仅仅对状态做哈希再心存侥幸。而由于攻击者也可能带内滥用状态——通过看似合法的路径写入被投毒的记忆——该设计还加入了历史可追溯性:一条有条件的事后审计线索,支持将智能体恢复到已知良好的先前状态。具体的协议名称、可信硬件假设,以及它所基于的先前状态连续性系统,均见于论文。

为何重要

如今多数智能体安全措施都盯错了时刻。护栏与输出过滤器审查当前输入与当前动作,但工具投毒与记忆投毒属于时间错位的攻击:载荷落在第 3 轮,损害在第 20 轮才显现,而到那时恶意内容看起来就像智能体自身可信的上下文。累积状态的完整性——而不仅是当前消息的完整性——正是此前缺失的属性。

把工具描述符与记忆视为带有可校验摘要的关键状态,将问题重新表述为熟悉的术语:这是完整性保护与防篡改,只不过应用于智能体框架当前未加保护的一个面。它与最小权限的工具隔离天然契合:连续性校验告诉你状态在未授权的情况下发生了变化,而隔离限制被攻陷的状态能触及什么。主要代价在于信任假设:该方法依赖复制的可信硬件与账本,其部署比提示层过滤器更为沉重。

防御

请将其视为一种值得评估的设计模式,而不仅是一篇待读的论文。

为智能体的记忆与工具注册表设立完整性边界。可超越任何具体实现的通用教训是:智能体所信任的工具,以及它回读的记忆,都是对安全至关重要的状态,对它们的未授权更改应当可被检测。哪怕只是对记忆写入与工具描述符变更做一份哈希链式审计日志,也能让你从盲目信任转向防篡改。

将已授权的转移与环境写入分开。投毒之所以奏效,是因为任何对记忆的写入都被当作合法。要求改变状态的操作走一条可记录、并且最好可校验的受控路径,从而让带外修改凸显出来。

保留一份支持回滚的审计线索。历史可追溯性只有在你能据此行动时才有用。对记忆与工具状态保留足够的溯源信息,以便识别被投毒的条目并恢复到已知良好的版本,而不是在毫无回退手段的情况下才发现已被攻陷。

不要撤除运行时控制。连续性校验能捕获带外篡改;但它本身无法判断一条已授权却是恶意的指令是否应当执行。请将其与输入溯源、工具选择约束以及运行时权限校验并用,不要把任何单一层当作充分保障。

状态

项目详情
披露学术预印本,arXiv,2026 年 7 月 2 日
类别针对上下文状态(工具/记忆)投毒的防御性协议
核心思想在每次查询前重新计算并校验工具状态 + 记忆的摘要
机制面向已授权转移的可线性化账本;用于事后审计/恢复的历史可追溯性
信任假设由复制的可信硬件维护已授权状态账本
提醒可检测带外篡改;带内的语义滥用仍需运行时权限控制

Sources