普林斯顿大学(Princeton University)的研究人员在最新论文中警告称,人工智能代理存在“尚未充分探索的安全风险”。这篇题为《具有虚假记忆的真实AI代理:针对Web3代理的致命上下文操纵攻击》的论文指出,让AI代理担任财务角色可能对财富构成极大威胁——尽管号称具备防护机制,这些AI系统仍容易遭受相当简单的提示词攻击。
当多数人仍在为日常薪资奔波时,2025年Web3领域的弄潮儿已开始运用AI代理积累财富。他们授权这些程序访问加密钱包、智能合约,并操作各类线上金融工具。经验丰富的Tom’s Hardware读者此刻必然在摇头叹息,而普林斯顿团队的研究证实了这种担忧:研究人员成功演示了如何攻破AI代理的防御,实现金融资产转移劫持等操作。
尽管业界已意识到通过提示词攻击诱导AI突破防护栏的风险,近月来也加强了相关防护,但论文明确指出:“当攻击者篡改存储的上下文时,仅靠提示词防御完全无效”。恶意行为者能通过植入虚假记忆精心构造欺骗性语境,使AI产生定向幻觉。
为实证AI代理在实操(而非仅提供建议)时的危险性,研究团队以ElizaOS框架中的AI代理为例展开分析。普林斯顿学者详细拆解了其“上下文操纵攻击”技术,并在ElizaOS系统上完成了攻击验证。
图示清晰展现了AI代理遭受攻击的流程,这种攻击可能导致用户承受“毁灭性损失”。更令人忧心的是,即便最先进的提示词防御机制也对这种记忆注入攻击束手无策,且虚假记忆能在跨平台交互中持续存在。“考虑到ElizaOS代理设计初衷是同时与多用户交互,并依赖所有参与者的共享上下文输入,该漏洞的危害性尤为严重。”研究人员解释道。简言之,一颗烂苹果足以败坏整桶果实。
当前解决方案?用户应暂缓向AI代理授予财务敏感数据与权限。研究团队建议采取双轨策略:“(1)改进LLM训练方法以增强对抗鲁棒性;(2)设计强制严格隔离与完整性保障的内存管理系统”,这将是构建防御体系的首要步骤。
