照片中的休眠触发器:投毒推荐智能体的记忆
2026 年 4 月的一篇论文表明,上传给推荐智能体的一张照片可以藏入休眠触发器,随后在无需提示注入的情况下劫持其规划。一种双过程防御把成功率从约 85% 降到约 10%。
这是什么?
推荐系统正从静态排序模型转向智能体式推荐器:即维护每位用户长期记忆、并能自主规划多步任务(比较商品、拟定候选清单、预订服务)的大型多模态模型。香港城市大学的钱嘉宸(Jiachen Qian)于 2026 年 4 月 18 日在 arXiv 发表的一篇预印本指出,这种长期记忆同样是一个持久的攻击面。这篇题为 Visual Inception 的论文证明,用户上传的一张图像——一张普通的生活照——可以携带隐藏的触发器,潜伏在智能体的记忆库中,随后把其推理引向攻击者设定的目标。该工作的特别之处在于,它针对的是智能体的规划阶段,而非单次的分类错误,并且完全不需要提示注入。
工作原理
传统的多模态攻击追求即时的错误输出,Visual Inception 追求的是延迟的错误。攻击者对上传图像施加扰动,使其存储表示与某个目标概念(例如某类商品或某个具体卖家)相耦合,而在人眼看来图像并无变化。这条被投毒的条目会像任何其他交互一样写入智能体的长期记忆。此时什么都不会发生;论文将这类条目称为休眠智能体。之后,当用户提出一个无关的推荐请求、智能体检索相关记忆来规划回应时,被投毒的记忆重新进入上下文,悄然把推理链偏向攻击者设定的结果,例如推销高利润商品。作者将该攻击形式化为对未来检索概率的优化,并指出该触发器可在不同检索编码器之间迁移。在作者称为 ShopBench-Agent 的模拟电商智能体基准上,攻击达到约 85% 的目标命中率(Goal-Hit Rate)。这里不复现任何可利用的载荷;机制本身比任何单一触发器更重要。
为什么重要
危险之处在于持久性。提示注入只存活一个回合;而被投毒的记忆可以影响此后每一次检索到它的会话。由于操纵发生在检索与规划的循环内部,智能体可见的输出看起来可能完全合理——日志里没有明显的恶意指令可供识别。在商业推荐系统中,这是一条通往悄然操纵排序、未披露商品推广以及侵蚀用户信任的路径;论文指出,当记忆在用户之间或全平台范围内共享时,风险会进一步放大。它也印证了 2026 年其他近期研究中关于 Web 智能体与推荐模型多模态记忆投毒的一个共同主题:纯文本的护栏无法拦截从图像进入的触发器。
防御
同一篇论文提出了 CognitiveGuard,一种松散地借鉴人类快慢认知的两阶段防御。系统 1 感知净化器采用基于扩散的净化,在图像写入记忆之前先行清洗,在上传时就破坏对抗扰动。系统 2 推理校验器在规划阶段执行反事实一致性检查,标记出某条检索到的记忆对智能体决策产生不成比例、无法解释的影响的情况。作者称,这可将攻击成功率降至约 10%——即约 90% 的下降——其可配置的时延成本从轻量模式约 1.5 秒到完整顺序校验约 6.5 秒不等,且在其设置下没有可测量的质量损失。除这一具体系统外,防御要点是通用的:把记忆写入视为权限边界,而非被动日志;在存储前对多模态内容进行净化与重新编码;为每条记忆条目附加来源信息,以便检索时权衡其可信度;并监控那些对规划结果产生不成比例影响的记忆。相关数字来自一篇单作者、基于单一模拟环境的预印本,因此在被独立复现之前,应将其视为方向性的参考,而非经过生产验证的结论。
状态
| 项目 | 详情 |
|---|---|
| 发表 | arXiv 预印本,2026 年 4 月 18 日提交(v1) |
| 攻击面 | 智能体式推荐器的长期记忆 / RAG 记忆库 |
| 评测 | ShopBench-Agent 模拟电商环境 |
| 报告结果 | 目标命中率约 85%;CognitiveGuard 降至约 10% |
| 真实世界利用 | 未见报告;仅为研究演示 |