Tanulmány szerint a memóriatámadások eltéríthetik az AI-ügynököket a kriptoeszközök átadásához

A Princeton Egyetem kutatói kimutatták hogy a kriptotárcákkal és intelligens szerződésekkel megbízott, nagy nyelvi modelleket használó ügynökök eltéríthetők, amint egy támadó szerkeszti az ügynökök tárolt kontextusát, amit a csapat "memóriamérgezésnek" nevez

A tanulmányuk azt állítja, hogy a mai védekezés - leginkább a prompt szűrők - keveset tesznek, ha a rosszindulatú szöveg becsúszik az ügynök vektortárolójába vagy adatbázisába. A kísérletek során a memóriába rejtett rövid injekciók következetesen felülbírálták azokat a védőkorlátokat, amelyek blokkolták volna ugyanazt a szöveget, ha az közvetlen promptként érkezett volna.

A csapat a támadást az ElizaOS-en validálta, egy nyílt forráskódú keretrendszeren, amelynek pénztárcaügynökei a blokklánc utasításai alapján cselekszenek. A megosztott memória megmérgezése után a kutatók rávették ezeket az ügynököket, hogy jogosulatlan okosszerződés-hívásokat írjanak alá, és kriptoeszközöket utaljanak át a támadó által ellenőrzött címekre, bizonyítva, hogy a hamisított kontextus valódi pénzügyi veszteséget eredményez.

Mivel az ElizaOS lehetővé teszi, hogy sok felhasználó megossza egy beszélgetés előzményeit, egyetlen kompromittált munkamenet minden más munkamenetet beszennyez, amely ugyanazt a memóriát érinti. A tanulmány arra figyelmeztet, hogy az autonóm LLM-ügynökök többfelhasználós telepítése örökli ezt az oldalirányú mozgási kockázatot, hacsak a memóriák nem elszigeteltek vagy ellenőrizhetők.

A szerzők azt javasolják, hogy a memóriákat csak függelékként kezeljék, minden egyes bejegyzést titkosítva írjanak alá, és a nagy tétet jelentő műveleteket - kifizetéseket és szerződés-jóváhagyásokat - külső szabálymotoron keresztül irányítsák, ahelyett, hogy a modell saját érvelésében bíznának. Amíg ezek az intézkedések nem válnak általánossá, addig a valódi pénz átadása autonóm ügynököknek szerencsejáték marad.