系统:运行中
← 返回所有攻击
DEFENSE MEDIUM NEW

记忆洗白:击穿基于内容与基于来源链的智能体记忆防御

2026 年 6 月的一篇论文证明,任何将记忆项权威性建立在其内容或派生历史之上的防御都可被洗白——只有在写入时绑定来源,才能阻止智能体记忆投毒。

2026-07-02 // 6 min affects: llm-agents, agent-memory, rag-pipelines, multi-agent-systems

What is this?

2026 年 6 月的一篇 arXiv 论文直面一个多数智能体记忆防御悄然回避的问题:攻击者并不需要让某个记忆项持续显得恶意,它才会被信任。 LLM 智能体越来越多地在会话之间保留长期记忆,而这种持久性制造了一种延迟触发的脆弱性——在一次会话中存入的不可信内容,可以在很久之后的另一次会话中左右一次后果严重的工具调用,此时最初的注入早已滚出任何上下文窗口。该论文的贡献并非又一个过滤器,而是一项由八个前沿模型上的实验支撑的证明:一整现有防御在本质上是不成立的;并精确地给出了正确防御应当改为做什么。

其核心新概念是洗白(laundering)。以往的防御按两种信号之一来分配记忆项的权威性:其内容(文本是否像指令、分类器是否标记它?)或其派生历史(来源链如何描述其出处?)。论文表明这两种信号都是可篡改的——攻击者可以让不可信的来源经由智能体自身的机制被”洗净”。

How it works

论文对可篡改性进行了形式化,并识别出三条洗白路径,它们都不需要漏洞载荷,而是滥用被视为可信的、寻常的智能体行为:

  1. 摘要洗白。 智能体读取攻击者控制的内容,并将摘要写入记忆。该摘要此时带着智能体自身的语气与”由我生成”的来源链,尽管其实质来自不可信来源。
  2. 可信工具回显。 不可信文本经由智能体所信任的工具(搜索结果、检索命中、API 响应)回传,于是来源链记录的是一个可信的中间环节,而非真正的来源。
  3. 伪造互证。 攻击者在多个来源中植入同一条论断,使”多来源一致”这类朴素启发式把它提升为高置信度。

从这些机制出发,论文推导出一条简短的结论链。第一,任何基于内容或来源链的防御在洗白面前都不成立——若权威性源自这两种信号之一,洗白便能伪造它。第二,写入时绑定来源是必要的:记忆项的真实来源必须在写入的那一刻以防篡改的方式记录下来,因为任何事后推断出的来源都可被改写。第三,不可篡改、绑定来源的权威性,配合抗女巫(Sybil)的互证门控提升,是充分的:在写入时绑定来源;让派生项继承其输入的权威性,而非制造新的权威性;仅当独立且不可伪造的来源相互印证时,才将某项提升到可执行的信任级别。

实现这一点的构造 TMA-NM(Tamper-evident Memory Authority, Non-Malleable)将不可篡改的信息流控制应用于智能体记忆。在八个前沿模型上,所报告的数字十分鲜明:现有防御在洗白攻击下的成功率高达 68%,而 TMA-NM 在直接攻击与洗白攻击上均达到 0% 的攻击成功率

Why it matters

今年发表的多数记忆安全工作——从 SMSR 认证防御论文、到记忆投毒攻击的系统性研究、再到关于记忆主权的综述——都聚焦于捕获恶意写入,或对有限数量的中毒条目认证鲁棒性。洗白是一种不同的威胁模型:当中毒条目被信任时,它已不再恶意,因为智能体自己把它改写成了干净的东西。这正是基于分类器或来源链的防护在此处表现不佳的原因,也是该结果得以推广、而非只针对单一产品的原因。

对任何部署持久记忆智能体的人而言,实际的警示是:脆弱之处不在检索,而在权威性。 如果你的架构允许一段摘要、一次工具回显或一群相似来源把内容提升到足以触发支付、发送邮件或修改代码的级别,那么无论你的输入过滤器多么优秀,你都存在一个洗白面。

Defenses

论文的证明可转化为一份具体清单:

  1. 在写入时绑定来源。 在每个记忆项写入时记录其真实来源,采用防篡改的溯源(签名或 HMAC),使来源无法在事后被重新归属。
  2. 让派生项继承权威性,而非铸造权威性。 摘要、嵌入或改写都应带有其输入中最低的信任级别。绝不要让”智能体改写了内容”这一动作抬高该内容的权威性。
  3. 将检索与权威性分离。 检索一段记忆没有问题;对其采取行动才是需要门控的一步。将高影响的工具调用绑定到来源权威性,而非绑定到该项是否被检索到。
  4. 提升前要求抗女巫的互证。 在把一段记忆提升到可执行级别之前,要求攻击者难以低成本伪造的独立来源——而不是对文本相似条目的计数。
  5. 对洗白路径而非仅对直接注入做红队测试。 检验在你的系统中,摘要、可信工具回显与伪造互证是否能把不可信来源洗成可信来源。直接注入的测试集会漏掉这一点。
  6. 记录写入以备取证。 防篡改的写入日志意味着:即便你今天信任的某个防御,日后若发现洗白,也仍留有可审计的痕迹。

Status

项目参考日期说明
不可篡改记忆权威性论文arXiv:2606.243222026-06形式化洗白;证明写入时绑定来源在配合互证门控提升下为必要且充分
所报告基准同一论文2026-068 个前沿模型;现有防御洗白成功率高达 68%;TMA-NM 在直接与洗白攻击上均为 0%
相关认证防御arXiv:2606.12703(SMSR)2026-06签名溯源 + 平滑检索;对多会话投毒提供认证
攻击分类法arXiv:2606.043292026-06LLM 智能体记忆投毒攻击的系统性研究
生命周期综述arXiv:2604.165482026-04覆盖整个记忆生命周期的长期记忆安全

正确的结论并非”这里有一个更好的记忆过滤器”,而是:记忆项的信任必须锚定在它到达时的出处上——此后智能体所做的任何事都不应能够移动它。 任何在事后依据文本或其叙述来判断权威性的防御,按此结果都是可被洗白的。

Sources