ShadowMerge：通过关系碰撞投毒基于图的智能体记忆

这是什么？

ShadowMerge（arXiv 2605.09033，Luo 等，2026 年 5 月 9 日首次发布，5 月 15 日修订）是一种针对基于图的智能体记忆的投毒攻击。越来越多的智能体架构不再以扁平文本存储过往交互，而是将其保存为由实体和关系构成的知识图谱——Mem0 等框架正是借此支持结构化的长期回忆与多跳推理。ShadowMerge 的观点是：这种图结构不仅是一项功能，更是一处新的投毒面。作者在 Mem0 上评估了该攻击，表示已向受影响的图记忆厂商进行了负责任的披露，并开源了代码。

工作原理

早期的记忆投毒工作，如 AgentPoison（Chen 等，NeurIPS 2024），针对的是扁平记录：注入一条恶意实例，使其被检索。面对图记忆，这种做法往往失败，因为一条敌意关系在影响智能体之前，必须通过三道关卡。ShadowMerge 描述的是这些关卡为何能被绕过——没有可运行的利用载荷。

关卡              一条投毒关系必须做到的事
----------------  --------------------------------------------------------
抽取(Extraction)  被记忆流水线解析为一条存储下来的关系
合并(Merge)       落入目标锚点的邻域(而非孤立节点)
检索(Retrieval)   在受害者后续查询时被选为证据

核心洞见是一种关系通道碰撞（relation-channel conflict）。一条投毒关系可以与合法证据共享相同的查询激活锚点（查询点亮的那个实体）和相同的规范化关系通道（系统据以合并的归一化关系类型），却携带矛盾的取值。作者的 AIR 流水线把这种冲突表述为一次普通交互，于是记忆系统会自行抽取它、把它合并到真实证据旁边，并在之后检索它。关键在于：这只需要仅查询的、普通交互式的访问权限——无需向语料库插入文档，也无需修改图索引。

在 Mem0 上，跨 PubMedQA、WebShop 与 ToolEmu，作者报告了 93.8% 的平均攻击成功率，比最佳基线绝对提升 50.3 个百分点，而对无关的良性任务影响可忽略。其防御分析发现，代表性的输入侧防御不足以阻止它。

为何重要

图记忆之所以被采用，正是为了高价值、长跨度的推理，而这恰是一个被悄然篡改的”事实”危害最大的地方。两点特性使该攻击难以防御。其一，访问门槛很低：只需能够正常交互的攻击者即可植入毒物，无需对语料库或索引拥有写权限。其二，由于毒物依附于与真实证据相同的锚点和通道，逐条审计记忆条目往往会漏掉它——恶意关系只有放在它所矛盾的合法关系旁边时才显得可疑。

需要诚实说明的限制：这些是单篇论文的数据，在单一框架（Mem0）和三个研究基准上测得，成功率会因配置而异。厂商已在负责任披露的框架下被告知：请将具体数字视为研究结果，而非适用于你部署环境的普适常数。

防御

1. 不要孤立地审计记忆条目。 A-MemGuard（Wei 等，arXiv 2510.02373）将此具体化：基于共识的验证比较从多条相关记忆推导出的推理路径，双记忆结构则把检测到的失败提炼为”教训”，在未来行动前先行查阅。作者报告在效用代价极小的情况下将攻击成功率削减了 95% 以上。
2. 将合并步骤视为信任边界。 当一条新关系在相同锚点与相同通道上与现有高置信证据相矛盾时，应将其标记以供审查，而非默默合并或覆盖。
3. 为每条关系保留来源。 记录每条边由哪次交互或哪个来源产生，按来源可信度加权，并在检索时优先采用经过佐证的关系。
4. 提高写入事实的门槛。 不要让单次普通交互就能在图中确立一个持久事实；在一条关系成为高置信长期记忆之前，要求有佐证。
5. 在你自己的技术栈上重新测试。 此处已证明输入侧过滤不足以应对关系通道碰撞——在依赖单一层防护之前，请专门针对这一攻击类别进行测量。

状态

项目	参考	日期	备注
ShadowMerge	arXiv 2605.09033	2026-05-09（05-15 修订）	通过通道碰撞投毒图记忆；在 Mem0 上评估；负责任披露，已开源
A-MemGuard	arXiv 2510.02373	2025-10	主动式记忆防御：共识验证 + 双记忆”教训”
AgentPoison	项目页面	NeurIPS 2024	先前工作：对扁平智能体记忆 / RAG 知识库的后门投毒

这里的转变是观念性的：图记忆本应让回忆更结构化，因而更安全。ShadowMerge 表明，结构可以反噬自身——一个谎言，越是紧贴它所矛盾的真相，就越令人信服。