AI 代理,一些管理著數百萬美元的加密資產,容易受到一種新的無法檢測的攻擊,該攻擊可以操縱它們的記憶,從而使惡意行為者能夠進行未經授權的轉賬。
這是普林斯頓大學和哨兵基金會研究人員最近的一項研究得出的結論,該研究聲稱在專注於加密的 AI 代理中發現了漏洞,例如那些使用流行的 ElizaOS 框架的代理。
根據聯合作者、普林斯頓大學研究生阿塔爾夫·帕特蘭的說法,ElizaOS 的流行使其成為研究的完美選擇。
"ElizaOS 是一個流行的基於 Web3 的代理,在 GitHub 上有大約 15,000 顆星,所以使用廣泛,"帕特蘭告訴 Decrypt。"這樣一個廣泛使用的代理存在漏洞,這讓我們想進一步探索。"
最初以 ai16z 釋出,Eliza 實驗室於 2024 年 10 月啟動了該專案。這是一個用於建立與區塊鏈互動和操作的 AI 代理的開源框架。該平臺於 2025 年 1 月更名為 ElizaOS。
AI 代理是一種自主軟體程式,旨在感知其環境、處理資訊並採取行動以實現特定目標,無需人類互動。根據研究,這些廣泛用於自動化區塊鏈平臺上財務任務的代理可以透過"記憶注入"被欺騙——這是一種將惡意指令嵌入代理永續性記憶的新型攻擊向量。
"Eliza 有一個記憶儲存,我們嘗試透過他人在另一個社交媒體平臺上進行注入來輸入虛假記憶,"帕特蘭說。
研究發現,依賴社交媒體情緒的 AI 代理尤其容易被操縱。
攻擊者可以使用虛假賬戶和協調的帖子,即所謂的女性歇斯底里攻擊,來欺騙代理做出交易決策。
"攻擊者可以透過在 X 或 Discord 等平臺上建立多個虛假賬戶來執行女性歇斯底里攻擊,以操縱市場情緒,"研究報告稱。"透過協調發布虛假誇大代幣價值的帖子,攻擊者可以欺騙代理以人為高價購買被'拉高'的代幣,然後攻擊者出售其持有的代幣並使代幣價值崩潰。"
記憶注入是一種攻擊,惡意資料被插入 AI 代理的儲存記憶中,導致代理在未來的互動中回憶並根據虛假資訊採取行動,而且通常不會檢測到任何異常。
帕特蘭表示,雖然這些攻擊並不直接針對區塊鏈,但團隊探索了 ElizaOS 的全部功能以模擬真實世界的攻擊。
"最大的挑戰是找出要利用的功能。我們本可以只進行簡單的轉賬,但我們希望更加真實,所以查看了 ElizaOS 提供的所有功能,"他解釋道。"由於有大量外掛,它具有廣泛的功能,因此探索儘可能多的功能以使攻擊更加真實很重要。"
帕特蘭說,研究結果已與 Eliza 實驗室分享,討論正在進行中。在對 ElizaOS 成功進行記憶注入攻擊後,團隊開發了一個正式的基準測試框架,以評估其他 AI 代理是否存在類似漏洞。
與哨兵基金會合作,普林斯頓研究人員開發了 CrAIBench,這是一個衡量 AI 代理對上下文操縱的抵抗力的基準。CrAIBench 評估攻擊和防禦策略,重點關注安全提示、推理模型和對齊技術。
帕特蘭表示,這項研究的一個關鍵收穫是,防禦記憶注入需要在多個層面進行改進。
"除了改進記憶系統,我們還需要改進語言模型本身,以更好地區分惡意內容和使用者的實際意圖,"他說。"防禦需要雙管齊下——加強記憶訪問機制並增強模型。"
Eliza 實驗室尚未對 Decrypt 的置評請求做出回應。
編輯:Sebastian Sinclair
