全部 🤖 模型 📦 开源 ⚖️ 监管 🤝 智能体 🔧 硬件 🏥 实践应用 💬 社区 🛡️ 安全 ✨ 趣闻
🟡 🛡️ 安全 发布于: · 3 分钟阅读 ·

arXiv:2605.15338 休眠记忆投毒:通过LLM智能体持久化记忆对GPT-5.5的攻击成功率达99.8%

arXiv:2605.15338 ↗

Editorial illustration: LLM agent memory store s dormantnim adversarial token-ima i wake-up trigger ikone.

「Hidden in Memory」是由Sidharth Pulipaka、Stanislau Hlebik、Leonidas Raghav、Sahar Abdelnabi、Vyas Raina、Ivaxi Sheth和Mario Fritz于2026年5月14日发布的arXiv论文,提出了针对有状态LLM智能体的延迟执行攻击。外部上下文(文档、网页)中的对抗性内容破坏智能体的持久化记忆——对GPT-5.5的成功率高达99.8%,对Kimi-K2.6达95%,被投毒记忆触发攻击者预期行为的概率为60%至89%。

🤖

本文由人工智能基于一手来源生成。

Sidharth Pulipaka、Stanislau Hlebik、Leonidas Raghav、Sahar Abdelnabi、Vyas Raina、Ivaxi Sheth和Mario Fritz于2026年5月14日在arXiv发布论文,提出休眠记忆投毒——一种新型攻击向量,通过利用LLM智能体的持久化记忆实施延迟执行攻击,攻击成功率触目惊心:GPT-5.5高达99.8%,Kimi-K2.6达95%

休眠记忆投毒究竟是什么?

经典LLM安全威胁——提示注入、越狱、上下文操控——存在一个根本局限:攻击仅在对抗性内容存在于上下文期间有效。一旦用户退出会话或清除上下文,攻击便告终止。

休眠记忆投毒彻底改变了这一威胁模型。当前有状态LLM助手(带记忆功能的ChatGPT、Claude Projects、Gemini个性化功能)跨多个会话持久化用户特定信息。论文证明,这种持久化记忆可通过伪造事实进行破坏,具体表现为:

  • 通过正常用户交互自动写入存储
  • 保持潜伏状态直至检索触发条件出现
  • 在后续会话中激活,当智能体为处理其他任务访问该记忆项时
  • 将后续对话引导至攻击者预期的方向

休眠记忆投毒与经典提示注入的本质区别在于:持久性。攻击可能在触发前潜伏数天甚至数周

攻击流水线的完整流程

论文详细评估了完整的攻击流水线

  1. 伪造内容写入——智能体处理的外部文档、网页或代码仓库中包含对抗性内容
  2. 记忆写入——智能体处理内容,将伪造的”事实”作为用户偏好、事实或上下文写入持久化记忆
  3. 潜伏期——写入与检索之间的间隔期
  4. 记忆检索——智能体在后续会话中为处理其他任务调用该记忆项
  5. 行为触发——被投毒的记忆影响智能体推理,触发攻击者预期的行为

该方法利用了用户与外部来源之间信任边界的漏洞。智能体将用户提供的所有内容视为可信,即使用户上传的外部文档包含恶意指令。

具体攻击成功率数据

论文在两个前沿模型上给出了精确指标:

模型记忆投毒成功率攻击者预期行为触发率
GPT-5.599.8%成功检索中占60%至89%
Kimi-K2.695%成功检索中占60%至89%

GPT-5.5的数据尤为触目惊心——99.8%意味着若攻击者了解智能体结构,几乎可以确保记忆被破坏。经过顶级对齐训练的前沿模型面对这一攻击向量几乎毫无防御能力

第二个指标——60%至89%的行为触发率——表明成功的记忆破坏在大多数情况下都能转化为可执行的攻击。这不是理论威胁——这是具有真实影响的生产级攻击向量。

为何记忆投毒难以检测?

防御难度源于以下几个因素:

  • 记忆写入是正常操作——智能体在用户交互过程中持续写入记忆项
  • 无异常信号——对抗性记忆项与任何普通用户事实别无二致
  • 需跨会话评估——单会话监控无法检测到攻击,因为触发在后续才发生
  • 归因困难——当攻击触发时,追溯到原始对抗性来源是复杂的事后取证任务

这需要端到端记忆流水线审计,而非单点安全控制。

对生产LLM部署的影响

研究结论对部署具有记忆功能LLM智能体的组织具有关键影响:

  • 带记忆功能的ChatGPT Enterprise——若员工上传来自未经验证来源的文档,存在潜在风险
  • Claude Projects——被入侵的项目可能破坏跨项目记忆
  • 以向量数据库作为长期记忆的自定义智能体部署——攻击面巨大
  • 具有共享记忆的多用户系统——一个被入侵的用户可能影响所有人

论文隐含的防御优先级:

  • 记忆来源溯源——追踪每个记忆项至原始来源
  • 记忆写入前的对抗性内容扫描
  • 检索异常检测——标记异常记忆访问模式
  • 记忆过期策略——自动清理旧记忆项

在2026年智能体安全格局中的定位

本论文契合2026年5月智能体安全研究的爆发性浪潮:

  • arXiv FATE(5月12日)——通过形式化技术将攻击减少33.5%
  • arXiv History Anchors(5月13日)——通过历史操控实现91%至98%的不安全偏移
  • arXiv Sycophantic Consensus(5月15日)——对齐失效模式
  • Microsoft AI Delegation(5月15日)——可靠性下降19%至34%
  • arXiv Compositional Jailbreaking(5月15日)——变异链协同效应

趋势已然明朗:2026年是智能体系统从「实验性能力」转变为「生产级攻击面」的关键一年。主流RLHF和安全训练为聊天机器人用例提供的安全保障,对于具有持久记忆的有状态智能体而言远远不够。

休眠记忆投毒很可能是2026年5月最重要的安全论文,原因在于两个数字99.8%和跨多会话的持久性。在攻击者将这些结果复现于真实部署之前,业界必须认真重新审视LLM记忆系统架构。

常见问题

休眠记忆投毒具体指什么?
经典提示注入攻击仅在对抗性内容存在于上下文期间有效——而休眠记忆投毒通过将伪造事实写入长期记忆存储来破坏智能体的持久化记忆;攻击跨多个会话保持潜伏状态,待智能体后续访问该记忆项处理其他任务时才激活,这与无法持久化的提示注入存在本质区别。
具体的攻击成功率数据是多少?
GPT-5.5:投毒成功率99.8%;Kimi-K2.6:成功率95%;在成功检索到的被投毒记忆中,攻击者预期行为的触发率为60%至89%;攻击流水线已完整评估——从写入存储的伪造内容,到后续检索,再到对后续对话的操控。

来源

分享: 𝕏 X in LinkedIn f Facebook

相关新闻

🟡 2026-05-20

arXiv:2605.18414:提示词无法保护——带ABAC的MCP代理实现0%未授权工具调用
🟡 2026-05-20

CNCF Prempti:为AI编程智能体提供策略执行与可视化能力
🟡 2026-05-20

IBM:Project Glasswing为企业带来最先进的AI驱动安全组合
← 返回首页