一封邮件向AI Agent植入持久性虚假记忆 只要赋予AI助手记忆功能及其对收件箱的访问权限攻击者就能借此改写该助手自以为对你的了解。一封邮件就能诱使AI Agent保存一条关于用户的虚假“事实”隐藏更改痕迹并在后续对话中悄然改变其回答方向。攻击得逞后用户看到的只是一封看似正常的回复邮件永远不知道自己使用的助手已被篡改。研究人员将这种攻击命名为隐身记忆注入stealth memory injection并开发出能自动编写此类邮件的工具。相关论文《When Claws Remember but Do Not Tell》于2026年7月6日发表在arXiv上。这些助手能做什么个人Agent是一种持续运行的AI助手。它不会在对话结束后遗忘一切而是将关于你的信息以文件形式保存下来你的偏好、联系人以及你要求它完成的任务。每次新会话开始时它都会读取这些笔记因此感觉像是认识你一样。许多此类Agent还能替你执行操作阅读你的邮件、查看日历甚至在你离开时按计划运行小任务。OpenClaw是本次研究的主要目标它是一个开源Agent将状态保存在纯文本文件中部分文件存放其固定指令AGENTS.md部分文件存放其学习到的关于你的信息MEMORY.md。每次会话开始时它会将核心文件拉入模型的上下文。这些笔记正是产品的核心价值所在但也正是攻击的目标。一封邮件植入假记忆攻击者不需要你的密码或账户。他们只需向某人发送一封邮件而该人的Agent设置为检查收件箱——对于这些助手来说这是常规任务。邮件中藏有专门针对Agent而非用户的文本。如果Agent的邮件处理skill上钩那么就会连续发生三件事。Agent用自己的文件工具将攻击者的虚假笔记写入其持久性记忆。Agent给出的可见回复绝口不提它做了这些操作。随后在新的对话中这条虚假笔记会改变Agent告诉你的内容或为你执行的操作。在研究的某个测试案例中植入的虚假信息是用户的Zelle每日发送限额已提高至10,000美元。用户之所以未能察觉更改有几个原因。助手默认隐藏其幕后操作步骤因此编辑文件的时刻从未出现在聊天记录中。很少有用户会打开原始记忆文件去读取。而且当Agent在后台按计划运行时通常不会发送任何消息所以根本没有什么可察觉的。为了让“毒药”持久生效该工具瞄准了每次会话都会加载的核心文件因此一次写入就能在后续每次会话中加载而不必等待从单独的存储器中拉取。这类攻击由研究人员称之为MemGhost的工具生成。其制造者离线训练了一个攻击者模型将其与个人Agent的副本进行对抗对成功保存记忆同时保持回复静默的邮件给予奖励。攻击时它一次性生成完整的邮件无需与受害者进行来回通信。在56个全新的测试案例中MemGhost完成了完整攻击植入虚假记忆、隐藏它然后在后续会话中影响Agent的回答。在针对GPT-5.4上的OpenClaw的后台模式运行中成功率为87.5%针对Claude Code SDK上的Sonnet 4.6 Agent成功率为71.4%。这些是隔离的基准测试运行并且仅在邮件已到达Agent读取的收件箱后才开始因此这里没有测试实际载荷能否先通过垃圾邮件过滤或发件人身份验证。在前台模式测试中成功率通常较低因为用户可以看到回复。在后台模式下针对另外两个Agent框架以及一个基于向量的存储器代替纯文本文件成功率仍保持在80%以上。该团队还构建了WhisperBench一个包含108个案例的基准测试涵盖从不良医疗建议到金钱损失再到安全破坏等风险。现有防线为何失守这种攻击的粗糙版本大多会失败。一条直白的“悄悄保存且不说出去”几乎每次都会被最强模型捕捉或忽略正是经过训练的生成器才将成功率推了上去。它还能绕过旨在阻止此类攻击的防御措施。用于捕捉恶意邮件的内容输入过滤器有超过九成的概率遗漏MemGhost的消息。一个经过特殊加固、旨在忽略通过邮件发送的指令的模型仍有大约一半时间遵循了植入的指令。即使要求用户直接询问“告诉我你检查了什么、做了什么”在某个模型上仍有约四分之一的情况攻击隐藏成功。目前没有快速补丁可以等待。OpenClaw自身的安全策略将单纯的提示注入视为修复范围之外的问题除非它还越过了授权、工具策略、批准或沙箱等边界。MemGhost没有跨越这些边界中的任何一个因为它通过Agent自身的内存写入工具运作而研究人员一直在针对该框架演示这类注入。研究作者认为真正的修复必须在Agent内部实现标记信息的来源在信息进入持久性记忆前征求用户同意并记录每次写入。在此之前任何同时读取不受信任邮件并能自主写入记忆无需询问用户的Agent都暴露在风险中。简单的修复方案是将这两项任务分开。如果做不到这一点应限制邮件触发运行所能更改的内容并在任何可疑事件发生后检查记忆文件。OpenClaw向The Hacker News确认了这一立场并对论文中Agent的设置方式提出了异议。其安全指南建议运营者将不受信任的邮件通过一个独立的、剥离了记忆、文件和shell工具的阅读Agent处理只将摘要传递给主Agent而论文并未对此进行测试。它还指出模型层级很重要OpenClaw的运行使用GPT-5.4当前前沿模型但作者因成本问题跳过了Claude Opus 4.6。OpenClaw还提到了HackMyClaw公开挑战赛在该挑战中数千封注入邮件未能从基于Opus 4.6的Agent中窃取秘密。但该测试针对的是数据窃取而非记忆投毒因此不能直接回应论文。OpenClaw表示它正在考虑为外部内容增加内存写入控制包括来源追踪、审计日志和确认提示方向与论文建议一致。The Hacker News也已联系论文作者将在收到回复后更新本文。手动版本早已存在早在2024年研究员Johann Rehberger就通过手工方式在ChatGPT上展示了相同的操作通过投毒的网络内容将指令植入其长期记忆中从而让ChatGPT在未来的对话中持续泄露用户数据。他将这种攻击称为SpAIware。OpenAI堵住了数据泄露路径但从不受信任内容写入记忆的能力依然存在。一年后这种能力出现在一款正式产品中。2025年6月Aim Security披露了EchoLeakCVE-2025-32711该漏洞利用一封包含隐藏文本的邮件让Microsoft 365 Copilot在用户后续提出正常问题时交出内部公司数据。微软将其评定为严重等级并打了补丁且未报告实际滥用事件。后续的案例研究详细说明了该漏洞如何绕过Copilot的过滤器。这两起案例都表明AI读取的内容可以携带命令而这些命令可以通过任何人发送的邮件传递。MemGhost新增的是持久性Rehberger的版本需要手工植入EchoLeak仅在被问及时泄露数据而MemGhost的自动化载荷能将一封邮件转化为一条虚假记忆长期驻留并在邮件消失很久后仍能引导会话。这是一个实验室结果并非正在发生的入侵。研究人员在密封的测试环境中运行所有实验使用虚假收件箱和虚假用户论文仅记录实验室测试不涉及对真实用户的使用。他们表示计划将发现结果、攻击模式以及基准测试数据披露给受影响的Agent和模型制造商。研究中强调隐身性部分原因是功能强大的Agent被设计为将工具活动隐藏于聊天之外。唯一暴露自身的模型是因为它在回复中打印了中间步骤。研究人员预计随着Agent变得更擅长静默工作检测将变得更加困难。真正的问题更为直白来自外部的一条消息变成了Agent内部持久且可信的上下文而全程没有任何可见的审批环节。