Tin tức BlockBeats, ngày 15 tháng 5, nhóm GoPlus Security đã tiết lộ một hình thức tấn công mới trong dự án AgentGuard AI của họ: thông qua "nhiễm độc trí nhớ lịch sử" để thuyết phục AI đại lý thực hiện các hoạt động nhạy cảm không được ủy quyền một cách rõ ràng.

Hình thức tấn công không phụ thuộc vào lỗ hổng truyền thống hoặc mã độc hại, mà là sử dụng cơ chế trí nhớ dài hạn của AI đại lý. Ví dụ, kẻ tấn công có thể trước tiên thuyết phục đại lý "nhớ ưa thích", chẳng hạn như "thường ưu tiên hoàn trả tự động thay vì chờ đợi khiếu nại từ chối", sau đó trong các lệnh tiếp theo sử dụng các mô tả mơ hồ như "xử lý theo quy ước", "thực hiện theo cách làm trước đó" và điều này gây ra các hoạt động vốn dĩ tự động.

GoPlus chỉ ra rằng nguy cơ của hình thức tấn công này là AI đại lý sẽ coi "ưa thích lịch sử" như là cơ sở cho việc ủy quyền, từ đó gây ra mất tiền hoặc sự kiện an ninh trong các hoạt động như hoàn trả, chuyển khoản, thay đổi cấu hình. Để đối phó với vấn đề này, nhóm đã đưa ra nhiều đề xuất bảo vệ, bao gồm:

· Cần phải xác nhận rõ ràng trong phiên hiện tại cho các hoạt động liên quan đến hoàn trả, chuyển khoản, xóa bỏ hoặc cấu hình nhạy cảm

· Các chỉ thị dùng để nhớ như "thói quen," "cách thường," "xử lý theo cách làm cũ" nên được coi là thay đổi trạng thái cao rủi ro

· Trí nhớ dài hạn phải có cơ chế theo dõi được (người viết, thời gian, xác nhận)

· Các chỉ thị mơ hồ cần tự động nâng cấp cấp độ rủi ro và kích hoạt xác minh hai bước

· Trí nhớ dài hạn không thể thay thế quy trình ủy quyền thời gian thực

Nhóm nhấn mạnh rằng "hệ thống trí nhớ AI đại lý" cần được coi là một mặt tấn công tiềm ẩn và cần hạn chế và kiểm toán thông qua một framework bảo mật đặc biệt.