系统:运行中
← 返回所有攻击
DEFENSE MEDIUM NEW

仅凭工具调用日志检测智能体记忆投毒

2026 年 6 月的一项研究表明,记忆通道投毒会在智能体的工具调用轨迹中留下取证指纹——一种「先 recall 后 send」的模式,无需触及记忆、模型权重或消息内容即可检测。

2026-07-16 // 6 min affects: llm-agents, persistent-memory-agents, langchain, langgraph, openai-assistants

这是什么?

当一个 LLM 智能体保留持久化记忆时,攻击者可以在一次会话中往记忆里植入恶意指令,并让它在很久之后的另一次会话中触发。这种「记忆通道投毒」很难被发现:输入过滤器和检索层检查从不查看触发会话,而智能体是通过自己被授权的写入路径来保存这条恶意规则的,因此在写入时看不出任何异常。

2026 年 6 月 30 日发表于 arXiv 的一篇论文(Forensic Trajectory Signatures for Agent Memory Poisoning Detection)为防御方提供了一个有用的观察:即便投毒本身不可见,攻击的执行却并非如此。当被投毒的智能体最终采取行动时,它必须先取回攻击者存下的数据才能使用——而这次取回会出现在工具调用日志中。作者借用了经典端点检测的思路:正如基于主机的 IDS 无需读取进程内存、仅凭系统调用序列即可发现入侵,智能体的工具调用轨迹也能在不检查记忆存储、模型权重或任何消息内容的情况下暴露一次记忆通道攻击。

工作原理

该研究聚焦于一种延迟触发的数据外泄攻击。一份恶意的「合规」文档经由 RAG 被检索到,智能体顺从地把一条路由规则(一个由攻击者控制的目标地址)保存进持久化记忆,随后在一次后续会话中回忆起这条规则,并把数据发送给攻击者。

关键的结构性要点在于:目标地址是作为记忆的存储的,而非键。列出记忆只返回键名,因此为了知道该把数据发往何处,智能体必须先调用 recall(回忆)操作,再调用 send(发送)操作。良性会话——或防御成功拦截攻击的会话——会跳过这次取回,直接起草消息。由此产生了作者称之为 recall-before-send 的行为不变量:在数据集中每一次成功的攻击会话里,第一次 recall 都严格先于第一次 send,无一例外。

仅这一条规则应用于触发会话日志,就已能以约 0.96 的曲线下面积(AUC)区分成功攻击与非攻击。一个基于约十九个轨迹特征(调用次数、工具对之间的转移、入口点)的小型分类器把该值提升到约 0.99——而且重要的是,该信号是过度决定的:去掉所有与 recall 相关的特征后分数几乎不变,因为取回规则会引发一连串下游动作(第二次起草、一次额外发送),这些同样会在其他特征上留下印记。该签名在九个从 7B 到 120B 参数的开源模型上均成立,并可在无需重新训练的情况下迁移到前沿模型。我们描述的是检测机制,而非攻击配方。

为何重要

记忆投毒是最难预防的智能体威胁之一——同一作者的相关工作发现,面对这种延迟触发攻击,六类防御中有五类失效,因为它们大多甚至无法观测到相关攻击面。一种只需工具调用日志的检测方法之所以吸引人,正是因为这些日志已由 LangChain、LangGraph、OpenAI Assistants 以及 Anthropic 的工具调用等生产框架自动产生。无需检查记忆、无需访问模型内部、无需额外推理——其运维门槛远低于那些要求修改记忆存储或读取激活值的防御。

该方法还有助于归因。一次把目标地址携带在当前提示中的提示注入攻击需要记忆回忆,因此会产生不同的轨迹。这使事件响应人员仅凭操作日志就能把记忆通道攻击与普通提示注入区分开来——在还原智能体做了什么、为什么这么做时,这是一条真正有用的取证边界。

防御

应将其视为对预防的补充,而非替代。

  • 为每次工具调用记录带时间戳的日志。 整个方法都假设有序、带时间戳的工具调用日志。请确保记忆读取、起草和发送都被捕获;绕过工具层的取回(内部缓存、隐式上下文注入)不会留下签名。
  • 对 recall-before-send 告警。 标记那些记忆回忆先于一次指向异常目标的对外动作的触发会话。它成本低、无需访问模型,仅凭自身就能捕获主导模式。
  • 分两层进行检测。 前缀分类器可在发送完成前实时标记可疑会话(精度略有下降),并辅以全会话分类器用于事后取证审计。
  • 保留结构性预防。 检测并不能阻止攻击。在工具层限制记忆取回(使智能体无法悄悄回忆攻击者控制的路由数据)仍是最稳固的结构性控制;再配合对记忆写入的溯源。
  • 按模型校准。 频繁调用 recall 以自我核对的推理模型会抬高误报。请按部署逐一调整阈值,并将回忆习惯异常的模型排除在共享阈值之外。

状态

项目
类别记忆通道投毒的取证检测(防御)
信号触发会话中的「recall-before-send」工具调用不变量
所需输入仅工具调用日志——不含记忆、权重或消息内容
报告准确率~0.96 AUC(单条规则)至 ~0.99(完整分类器);可从 7B 泛化到 120B 及前沿模型
已知盲点无需记忆回忆即可外泄的隐式绕过攻击
披露时间2026 年 6 月 30 日(研究论文)

关键日期:2026 年 6 月 30 日——轨迹签名检测论文(arXiv 2606.30566),建立在 2026 年 6 月一项机制性研究之上,该研究发现面对延迟触发的记忆攻击大多数防御均告失效。2026 年 6 月的相关工作系统化了记忆投毒的写入通道(MPBench,arXiv 2606.04329)与跨会话存储型提示注入(arXiv 2606.04425);持久化控制攻击在 2026 年更早时已被展示(Zombie Agents,arXiv 2602.15654)。所引用的模型名称均为源论文中所报告者。

Sources