AI 代理,一些管理着数百万美元的加密资产,容易受到一种新的无法检测的攻击,该攻击可以操纵它们的记忆,从而使恶意行为者能够进行未经授权的转账。
这是普林斯顿大学和哨兵基金会研究人员最近的一项研究得出的结论,该研究声称在专注于加密的 AI 代理中发现了漏洞,例如那些使用流行的 ElizaOS 框架的代理。
根据联合作者、普林斯顿大学研究生阿塔尔夫·帕特兰的说法,ElizaOS 的流行使其成为研究的完美选择。
"ElizaOS 是一个流行的基于 Web3 的代理,在 GitHub 上有大约 15,000 颗星,所以使用广泛,"帕特兰告诉 Decrypt。"这样一个广泛使用的代理存在漏洞,这让我们想进一步探索。"
最初以 ai16z 发布,Eliza 实验室于 2024 年 10 月启动了该项目。这是一个用于创建与区块链交互和操作的 AI 代理的开源框架。该平台于 2025 年 1 月更名为 ElizaOS。
AI 代理是一种自主软件程序,旨在感知其环境、处理信息并采取行动以实现特定目标,无需人类交互。根据研究,这些广泛用于自动化区块链平台上财务任务的代理可以通过"记忆注入"被欺骗——这是一种将恶意指令嵌入代理持久性记忆的新型攻击向量。
"Eliza 有一个记忆存储,我们尝试通过他人在另一个社交媒体平台上进行注入来输入虚假记忆,"帕特兰说。
研究发现,依赖社交媒体情绪的 AI 代理尤其容易被操纵。
攻击者可以使用虚假账户和协调的帖子,即所谓的女性歇斯底里攻击,来欺骗代理做出交易决策。
"攻击者可以通过在 X 或 Discord 等平台上创建多个虚假账户来执行女性歇斯底里攻击,以操纵市场情绪,"研究报告称。"通过协调发布虚假夸大代币价值的帖子,攻击者可以欺骗代理以人为高价购买被'拉高'的代币,然后攻击者出售其持有的代币并使代币价值崩溃。"
记忆注入是一种攻击,恶意数据被插入 AI 代理的存储记忆中,导致代理在未来的交互中回忆并根据虚假信息采取行动,而且通常不会检测到任何异常。
帕特兰表示,虽然这些攻击并不直接针对区块链,但团队探索了 ElizaOS 的全部功能以模拟真实世界的攻击。
"最大的挑战是找出要利用的功能。我们本可以只进行简单的转账,但我们希望更加真实,所以查看了 ElizaOS 提供的所有功能,"他解释道。"由于有大量插件,它具有广泛的功能,因此探索尽可能多的功能以使攻击更加真实很重要。"
帕特兰说,研究结果已与 Eliza 实验室分享,讨论正在进行中。在对 ElizaOS 成功进行记忆注入攻击后,团队开发了一个正式的基准测试框架,以评估其他 AI 代理是否存在类似漏洞。
与哨兵基金会合作,普林斯顿研究人员开发了 CrAIBench,这是一个衡量 AI 代理对上下文操纵的抵抗力的基准。CrAIBench 评估攻击和防御策略,重点关注安全提示、推理模型和对齐技术。
帕特兰表示,这项研究的一个关键收获是,防御记忆注入需要在多个层面进行改进。
"除了改进记忆系统,我们还需要改进语言模型本身,以更好地区分恶意内容和用户的实际意图,"他说。"防御需要双管齐下——加强记忆访问机制并增强模型。"
Eliza 实验室尚未对 Decrypt 的置评请求做出回应。
编辑:Sebastian Sinclair
