系统:运行中
← 返回所有攻击
AGENTS MEDIUM NEW

GhostWriter:用一封普通邮件毒化个人 AI 智能体的记忆

2026 年 7 月的一篇论文表明,攻击者可将隐藏指令埋入一封平常的邮件,让助理智能体将其存为记忆,并在数天后被执行——同时给出了可以阻断它的防御方案。

2026-07-10 // 7 min affects: llm-agents, memory-agents, email-assistants, rag-pipelines

这是什么?

2026 年 7 月 6 日,研究者发布了一篇论文(arXiv 预印本,cs.CR),描述了一种名为 GhostWriter 的攻击,它毒化配备工具的个人助理智能体的长期记忆——就是那种会监视你的收件箱、管理日程、代你起草邮件的智能体。新意不在于记忆可以被毒化,此前的工作已经证明了这一点;新意在于入口。以往的攻击假设对手能够直接触及记忆存储、或用自己的提示词驱动智能体,而 GhostWriter 所需的,不过是向受害者发送一封邮件的能力。

论文指出了一条随着智能体获得持久记忆而不断扩大的缺口。为避免上下文窗口越来越大,带记忆的智能体会保存它所看到的内容——摘要、抽取出的事实、有用的工作流——之后再按语义相似度检索。几乎所有系统都照单全收,对写入的内容不做任何安全检查。这种「先记下来、从不追问」的设计正是漏洞所在。作者测得平均注入率约为 98%、平均激活率约为 60%,覆盖建立在四个不同模型家族之上的五个前沿记忆智能体。这是一篇防御性、面向攻击类别的文章,不含任何可运行的漏洞利用。

工作原理

GhostWriter 分两个阶段进行,而两阶段之间的时间差正是其危险所在。

注入阶段,攻击者撰写一封看似平常的邮件——一份会议记录、一条「我的联系方式变了」的消息——并在其中埋入一条与某个合理未来任务相契合的指令。当邮件抵达收件箱时,智能体会自动将其摄取并写入长期记忆,打上便于日后检索的标签。整个过程无需用户操作,也不会出现任何肉眼可见的异常。

激活阶段,被毒化的记忆保持休眠,直到用户发出一个普通请求——「把更新发给客户」「安排一次评审」。检索步骤会将语义相近的记忆调入上下文,其中就包括那条毒化记忆;智能体将自身记忆视为可信,于是执行被植入的指令:添加一个隐藏收件人、把消息改发到攻击者控制的地址,或泄露项目细节。

为提高检索的可靠性,攻击者可以在纯黑盒环境下优化载荷。他利用一个公开邮件语料(论文使用 Enron 数据集)并将其按主题聚类,改写消息使其嵌入向量更接近用户可能输入的措辞,反复迭代直到相似度分数超过阈值。对手始终不触碰智能体的模型或检索逻辑——只触碰他所发送的内容。论文将攻击目标归为四类:完整性破坏、敏感信息泄露、隐蔽外泄、越权行动。贯穿始终的根本诱因,是缺乏面向安全的记忆治理;作者指出,传统的垃圾邮件过滤无济于事,因为一封有针对性且语义合法的消息——与商业邮件诈骗(BEC)同出一辙的手法——能够绕过聚合式分类器。

为何重要

影响半径就是智能体所掌握的工具集合。一个能发送消息的邮件与日程助理可被诱导去做外泄;一个拥有仓库访问权的编码助理则是更严重的目标。与一次性提示注入相比,有两点让问题更糟。其一是持久性:单条注入记忆可跨会话存活,攻击者只需付出一次代价,陷阱便一直等待。其二是信任洗白:一旦攻击者的文本进入记忆存储,智能体便不再将其视为不可信输入,而当作自己的回忆来对待。这种攻击也契合现实中的对手——一位了解你项目的内部联系人,或仅凭你的 LinkedIn 和公司页面行事的外部第三方——无需任何账户被攻破。它是 OWASP 提示注入指南 所列风险在记忆层的一个具体实例。

防御

论文为该攻击配套提出了一种防御方案 AM-Sentry,即便你从不采用这一具体系统,其结构本身就是实用的启示。原则是:将记忆层作为安全边界来治理,在写入与读取两端都加以把控。

  • 筛选写入记忆的内容。 不要持久化每一条被摄取的条目。让每个候选项通过一项在准入前对其打分的策略——论文中的评判器对来源、可信度、类型与效用进行评估,只准入既有用低风险的条目。
  • 显式建模来源信任。 按来源为记忆加权:用户的直接陈述优于内部邮件,内部邮件又优于来自未知外部发件人的消息。来自不可信来源的指令,不应成为持久记忆。
  • 在检索时再次筛选。 在被检索的记忆进入模型上下文之前,让它们通过一个剥离隐藏指令的过滤器——这是第二道关卡,用以拦截绕过写入策略的内容。
  • 区分事实与指令。 将存储的「当 Y 时做 X」工作流视为远比存储的事实更敏感,因为真正改变行为的正是指令。
  • 对不可逆操作保留人工确认环节。 在智能体转账、外发机密材料或添加外部收件人之前要求确认——这些正是上述攻击目标最终所需的动作。
  • 记录每一次记忆写入。 一份关于「何物写入记忆、来自何种来源」的持久审计轨迹,正是让被毒化条目在事后可被追查的关键。

作者表示,AM-Sentry 大幅降低了 GhostWriter 的成功率,同时保留了智能体的大部分效用——这说明此处安全与效用之间的取舍是有利的,而非二者只能取其一。

状态

项目
披露arXiv 预印本(cs.CR),2026 年 7 月 6 日
攻击GhostWriter——经由不可信工具输入进行的间接长期记忆毒化
实测影响注入率约 98%;平均激活率约 60%
测试范围5 个记忆智能体,覆盖 4 个模型家族
提出的防御AM-Sentry(写入策略 + 检索筛选)
根本原因缺乏面向安全的记忆治理

关键日期:2026 年 7 月 6 日——GhostWriter 与 AM-Sentry 预印本发布。该工作建立在早期记忆毒化研究(AgentPoison、MINJA)之上,而后者假设对手拥有更强的访问权限。

Sources