Один имейл — и ИИ-помощник уже врёт вам. Хакеры теперь не взламывают пароли, а переписывают воспоминания

leer en español

8429
Один имейл — и ИИ-помощник уже врёт вам. Хакеры теперь не взламывают пароли, а переписывают воспоминания

Даже модель, обученная игнорировать внешние инструкции, в 49% случаев сохранила ложные данные в памяти.

image

Одного письма оказалось достаточно, чтобы незаметно подменить долговременную память персонального ИИ-помощника и повлиять на его ответы спустя несколько сеансов. Такой сценарий продемонстрировали специалисты Наньянского технологического университета, Университета Джонса Хопкинса и сингапурского агентства A*STAR.

Авторы работы изучили помощников, которые читают почту, работают с календарём и файлами, а также запоминают предпочтения и сведения о пользователе. Такая память сохраняется между сеансами, поэтому однажды записанная информация может влиять на решения системы в течение долгого времени.

Предложенная атака MEMGHOST начинается с обычного электронного письма. Внутри находится скрытая инструкция, которая заставляет помощника принять ложное утверждение за достоверный факт или предпочтение пользователя и сохранить его в памяти. При этом ответ системы выглядит обычно и не сообщает владельцу об изменении данных.

Позднее сохранённая запись срабатывает в подходящем контексте. Помощник может дать опасную рекомендацию, исказить финансовую информацию, изменить настройки безопасности или нарушить рабочий процесс. Авторы считают атаку успешной, если ложные данные попали в постоянную память, пользователь не заметил подмену, а сохранённая запись изменила дальнейшее поведение системы.

Для проверки специалисты создали набор WHISPERBENCH из 108 сценариев, охватывающих риски для здоровья, финансов, достоверности информации, кибербезопасности и работы систем. В каждом испытании почтовый ящик содержал обычные сообщения и одно вредоносное письмо, после чего помощнику задавали отдельный вопрос в новом сеансе.

MEMGHOST заранее обучили в изолированной среде с имитацией персонального помощника. Такой подход позволил подготовить вредоносное письмо без доступа к системе жертвы и без возможности корректировать атаку после отправки. В испытаниях на 56 ранее не использованных сценариях метод достиг 87,5% полного успеха против OpenClaw с GPT-5.4 и 71,4% против Claude Code SDK с Sonnet 4.6 при фоновой обработке почты.

Атака также сработала на NanoClaw и Hermes, а замена файловой памяти на векторное хранилище Mem0 не решила проблему. В фоновом режиме доля успешных атак составила 80,4% на NanoClaw, 82,1% на Hermes и 85,7% в конфигурациях с Mem0.

OpenClaw не согласилась с тем, как авторы настроили систему для испытаний. Компания заявила, что рекомендует обрабатывать недоверенные письма через отдельного агента для чтения, у которого нет доступа к памяти, файлам и командной оболочке. Основному помощнику передаётся только краткое содержание сообщения. Авторы работы такую схему не проверили.

Разработчики также указали на выбор моделей. В тестах OpenClaw использовалась GPT-5.4, тогда как Claude Opus 4.6 авторы не включили из-за стоимости. В OpenClaw сослались на открытое испытание HackMyClaw, где тысячи писем со скрытыми инструкциями не смогли извлечь секрет из агента на базе Opus 4.6. Однако HackMyClaw проверяет кражу данных, а не подмену памяти, поэтому напрямую опровергнуть результаты новой работы не может.

Средства защиты от скрытых инструкций показали ограниченную эффективность. Фильтр DataSentinel пропустил 91,59% подготовленных писем, а система контроля действий AgentDoG не обнаружила 93,46% атак на ИИ-агента. Даже модель, обученная игнорировать команды из внешних данных, записала ложную информацию в память в 49,07% случаев.

OpenClaw рассматривает дополнительные ограничения на запись данных из внешних источников. Среди возможных мер разработчики называют фиксацию происхождения сведений, журналы изменений и запрос подтверждения перед сохранением информации в память. Такой подход совпадает с рекомендациями авторов работы.

Авторы работы называют долговременную память новой границей доверия для персональных ИИ-помощников. Простого анализа входящих писем недостаточно. Разработчикам потребуются отдельные правила, которые запретят внешнему содержимому напрямую превращаться в постоянные сведения о пользователе. Работу опубликовали как предварительную научную статью, а все испытания проходили в изолированных средах с вымышленными учётными записями.