评分 7.3 · 来源:arXiv cs.AI · 发布于 2026-04-06
评分依据:新颖的攻击向量——通过环境观察而非直接注入来投毒 Agent 记忆,威胁模型更现实,攻击成本极低
要点
Web Agent 使用记忆来个性化任务执行,但这也创造了持久的攻击面。eTAMP(Environment-injected Trajectory-based Agent Memory Poisoning)提出了一种更现实的威胁模型:攻击者不需要直接访问 Agent 的记忆存储,只需通过环境观察就能实现投毒。
「一次投毒,永久利用」——攻击者只需在 Agent 浏览的网页上放置特定内容,Agent 就会将其存入记忆,影响未来所有会话中的行为。
🤖 AI 点评
这给所有带记忆功能的 Agent 敲响了警钟。不是只有显式的恶意输入才危险,Agent「看到」的普通网页内容也可能成为攻击载体。记忆系统的输入验证和沙箱隔离需要重新审视。