Nowości
Naukowcy pokazują MemGhost, atak podrzucający fałszywą pamięć agentom AI przez jeden e-mail

Spis treści
Grupa badaczy bezpieczeństwa opisała nowy atak o nazwie MemGhost, który pozwala jednym, pozornie zwykłym e-mailem wszczepić agentowi AI fałszywe wspomnienie zapisywane trwale w jego pamięci długoterminowej. Ofiara nie widzi w odpowiedzi agenta żadnego śladu manipulacji, a spreparowana informacja wpływa na decyzje asystenta w kolejnych, zupełnie niepowiązanych sesjach.
Jak działa atak
Mechanizm jest prosty w założeniu i groźny w skutkach. Atakujący wysyła e-mail do skrzynki, którą monitoruje agent AI działający w imieniu użytkownika. Agent, przetwarzając wiadomość, zapisuje zawartą w niej fałszywą informację we własnych plikach pamięci, po czym odsyła użytkownikowi odpowiedź, która niczym nie zdradza, że coś się zmieniło. Dopiero w kolejnej, pozornie niezwiązanej sesji podrzucone wspomnienie zaczyna wpływać na to, co agent robi lub radzi.
MemGhost nie jest zwykłym wstrzyknięciem polecenia, znanym od dawna z ataków typu prompt injection. Badacze sformułowali problem jako generowanie jednorazowego ładunku, gdzie celem jest wywołanie trwałego zapisu w pamięci przy jednoczesnym zachowaniu odpowiedzi widocznej dla użytkownika jako całkowicie niepodejrzana. Do wygenerowania takich e-maili zespół zbudował własne narzędzie oparte na uczeniu przez wzmacnianie, które optymalizuje treść ataku w środowisku testowym, zanim trafi ona do docelowego agenta.
Do oceny skali problemu badacze stworzyli benchmark WhisperBench, obejmujący 108 przypadków testowych. Sprawdza on trzy etapy pełnego cyklu ataku: czy ładunek dostarczony na poziomie skrzynki pocztowej zostaje przyjęty do pamięci agenta, czy to przyjęcie jest w ogóle widoczne dla użytkownika, oraz czy podrzucony stan zmienia zachowanie agenta w kolejnej sesji.
Skala problemu
Testy objęły kilka popularnych platform agentowych, ze szczególnym uwzględnieniem otwartoźródłowego OpenClaw, który w niecałe pięć miesięcy stał się jednym z najczęściej gwiazdkowanych repozytoriów na GitHubie. W trybie działania w tle, gdy użytkownik nie widzi na bieżąco każdej odpowiedzi agenta, skuteczność ataku wobec OpenClaw opartego na GPT-5.4 sięgnęła 87,5 procent. Wobec agentów zbudowanych na Claude Code SDK z modelem Sonnet 4.6 było to 71,4 procent, a w innych sprawdzonych frameworkach wyniki przekraczały 80 procent.
Filtry wejściowe, standardowo stosowane jako pierwsza linia obrony przed złośliwą treścią, przepuściły ładunek MemGhost w ponad 90 procentach prób. Nawet modele dodatkowo wzmocnione pod kątem bezpieczeństwa nadal wykonywały podrzucone instrukcje w około połowie testów. Jako przykład realnego ryzyka badacze podają scenariusz, w którym agent finansowy zapamiętuje fałszywą informację, że dzienny limit przelewów Zelle użytkownika został podniesiony do 10 tysięcy dolarów, co w praktyce otwiera drogę do wyprowadzenia znacznie większych kwot niż zakładał sam użytkownik.
Trwała pamięć potrafi zamienić zwykłe przetwarzanie zewnętrznej treści w praktyczną drogę do długoterminowego przejęcia agenta - zespół badawczy MemGhost, arXiv
Reakcja twórców OpenClaw
Zespół stojący za OpenClaw potwierdził ustalenia badaczy. W odpowiedzi zarekomendował rozdzielenie funkcji czytania poczty od reszty agenta, tak by wiadomości trafiały najpierw do osobnego agenta odczytu, pozbawionego dostępu do pamięci głównego asystenta, a dopiero przefiltrowane trafiały dalej. Dodatkowo zalecono wprowadzenie kontroli zapisu do pamięci oraz rejestrowania w logach każdej zmiany, jaką agent w niej wprowadza.
To rozwiązanie nie usuwa problemu całkowicie, ale ogranicza pole rażenia, jeśli atak jednak przejdzie przez pierwszy filtr. Badacze zwracają uwagę, że klasyczne zabezpieczenia budowane z myślą o pojedynczej, jednorazowej odpowiedzi modelu nie sprawdzają się wobec agentów, które same decydują, co zapisać na stałe i kiedy z tego zapisu skorzystać.
Szerszy kontekst zagrożeń
MemGhost wpisuje się w rosnącą listę technik atakujących nie sam model językowy, lecz całe środowisko, w którym działa agent AI, od fałszywych stron internetowych po złośliwe załączniki i luki w narzędziach programistycznych. Organizacja OWASP sklasyfikowała w tym roku zatruwanie pamięci i kontekstu jako osobną kategorię ryzyka, oznaczoną ASI06, w swoim rankingu dziesięciu najpoważniejszych zagrożeń dla agentowej sztucznej inteligencji.
Odróżnia to MemGhost od wcześniej opisywanych ataków na asystentów kodujących, które zwykle wykorzystywały pojedynczą interakcję do wymuszenia jednego złośliwego działania. Tu efekt jest rozciągnięty w czasie, agent może działać poprawnie przez wiele dni, zanim podrzucone wspomnienie ujawni się w decyzji dotyczącej finansów, zdrowia albo bezpieczeństwa systemu, do którego ma dostęp.
Co to oznacza dla użytkowników
Dla firm i osób prywatnych, które podłączają agentów AI do skrzynki pocztowej, kalendarza czy komunikatorów, wnioski są konkretne. Warto sprawdzić, czy dany agent rozdziela odczyt zewnętrznej korespondencji od zapisu do pamięci długoterminowej, oraz czy prowadzi widoczny dla użytkownika dziennik zmian w tej pamięci. Sam brak ostrzeżenia w odpowiedzi agenta, jak pokazuje MemGhost, nie oznacza, że nic się nie wydarzyło.
Autorzy pracy podkreślają, że problem dotyczy architektury pamięci jako takiej, a nie pojedynczego produktu, więc kolejne warianty ataku można się spodziewać wobec innych platform agentowych, w miarę jak coraz więcej firm i użytkowników indywidualnych przechodzi z prostych chatbotów na agentów działających w tle, bez stałego nadzoru człowieka nad każdą odpowiedzią.
Źródła: When Claws Remember but Do Not Tell (arxiv.org), The Hacker News (thehackernews.com), Mayhem Security (mayhemcode.com)


