系统:运行中
EN FR ES ZH
← 返回所有攻击
DEFENSE MEDIUM NEW

智能体图记忆的来源防御在构造上就是盲的

2026 年 6 月 10 日的一篇 arXiv 论文表明,针对 LLM 图记忆的来源检查无需伪造任何来源即可被绕过:一次不可信的结构写入会改变哪些已认证事实被选中,而信息流控制对此完全看不见。

2026-06-16 // 5 min affects: llm-agent-graph-memory, personalized-pagerank-retrieval, graph-rag-document-qa

这是什么?

2026 年 6 月 10 日,一篇题为 Selection Integrity for LLM Graph Memory 的论文(arXiv:2606.12290,cs.CR)对一种已悄然成为标准的防御范式提出了尖锐论断:随着智能体记忆从扁平的文档存储转向图结构,团队纷纷加入来源防御,以检查所检索记录的出处。论文指出,这整类防御在构造上就是盲的——无需伪造、冒充或篡改任何一条已认证来源即可被攻破。

这一结论之所以重要,是因为图记忆与记忆投毒如今已是智能体安全的核心,而来源/信息流控制(IFC)正是人们最先想到的防御手段。结论是:面对这一特定通道,忠实的 IFC 做出的判定与完全不设防逐字节相同

工作原理

攻击针对的是选择,而非内容。长期图记忆会在可写的图结构上运行一个全局选择步骤(排序器或检索器),决定哪些记录进入模型上下文。来源防御随后检查智能体所检索记录的出处——而每一条都是合法认证的。

缺口在于:一个能够写入结构(边、节点、链接)的不可信主体,无需注入任何虚假事实。结构写入改变了哪些已认证事实赢得 top-k,而被引用的证据始终保持完全认证。由于忠实的 IFC 检查的是读取方实际使用内容的出处(全部已认证),它会像放行诚实结果一样放行被改道的结果。

诚实图           →  选择  →  top-k = {已认证事实 A}     →  IFC:放行 ✓
+ 无来源的       →  选择  →  top-k = {已认证事实 B}     →  IFC:放行 ✓
  结构写入            (被改道)   (仍然完全认证)              (相同判定)

论文精确刻画了哪些选择器会被暴露:当某选择器的结构项能够将 top-k 成员资格中 Ω(1) 的份额重新分配、越过某个已选事实的边际时,该选择器便允许此通道存在。Personalized PageRank 可以——一次无来源写入会重新引导守恒的随机游走质量。固定于内容的重排序器则不能。Graphiti 的节点距离比 PageRank 更依赖结构,却保持免疫。作者强调,预测因子是可重新分配性,而非依赖程度:选择器使用多少结构,远不如不可信写入能否重新分配排序质量来得关键。他们在一般情形下证明了免疫情形,并在其所验证的瓶颈条件下证明了开放(可利用)情形。

在后果最严重的评估中,仅一次无来源结构写入,便在一个真实的多会话智能体记忆中悄然误导了499 次实时操作里的 28 次不可逆账本转账。忠实的 IFC 全部予以放行。

为何重要

这是架构层面的盲点,而非某个产品的缺陷。如果您通过检查所检索记录的出处来防御智能体记忆——这是投毒知识责任归因研究与更广泛的长期记忆安全文献的自然解读——您可能以为已经关上了门,而选择通道却依然敞开。当智能体在记忆所呈现内容的下游执行不可逆操作(支付、账本写入、删除)、且不可信内容能够触及图结构(共享的多会话记忆、协作知识图谱、智能体间记忆)时,影响最大。其前提条件——对结构的写权限——恰恰是多会话与多租户记忆设计所创造的条件。

防御

论文自身提出的修复是最清晰的缓解措施,并且可以推广。

  1. 在已认证子图上重新计算选择。 关闭该通道,会迫使任何来源防御在读取方被允许信任的那部分结构上重新运行选择步骤,而非事后检查来源。作者的 AuthSelect零过度拦截、2–3% 延迟实现这一点,因此成本方面的反对理由站不住脚。
  2. 审计选择器的可重新分配性。 自问:一次不可信的结构写入能否移动 top-k 成员资格中 Ω(1) 的份额?Personalized PageRank 类选择器会被暴露;固定于内容的重排序器与节点距离选择器则不会。请把可重新分配性——而非选择器”看上去有多结构化”——当作风险信号。
  3. 像管控内容一样管控结构写入。 多数抗投毒防御只审查注入的事实。请对边和链接施加同样的信任边界:谁可以向共享记忆添加结构,该结构是否可归因于可信主体?
  4. 让不可逆操作远离原始的记忆选择。 在智能体可以转移资金或删除数据之处,应在”记忆说了 X”与副作用之间要求一次确认或可信的重新推导——即把致命三要素的逻辑应用于记忆检索。

状态

项目参考日期备注
Selection Integrity for LLM Graph MemoryarXiv:2606.12290v12026-06-10图记忆的来源/IFC 防御对结构性选择重写盲视
暴露的选择器论文 §结果2026-06-10Personalized PageRank——无来源写入重新引导随机游走质量
免疫的选择器论文 §结果2026-06-10固定于内容的重排序器;Graphiti 的节点距离
提出的修复AuthSelect2026-06-10在已认证子图上重新计算选择;零过度拦截,2–3% 延迟

要点不是”来源防御没用”——而是对图记忆而言,所检索记录的来源是错误的检查点。真正重要的判定是选择,而选择必须在可信结构上重新计算,否则防御的其余部分只是在为错误的问题给出正确的答案。

Sources