Sicherheit & VertrauenNur für Abonnenten Jul 15, 2026 at 12:3410Zu Lesezeichen hinzufügen

Nach den Produktbausteinen MCP rund um das Agentengedächtnis kommt nun die Sicherheitskomponente: Ein Beitrag, der auf die Titelseite von HN gelangte, dokumentiert die Exfiltration über die Speicherschicht. Der konzeptionelle Fehler liegt nicht im Modell, sondern in der Produktschicht.
In einfachen Worten Ein Forscher zeigt, dass man das persistente Gedächtnis eines KI-Assistenten - hier Claude - manipulieren kann, um Inhalte einzufügen, die später bei späteren Nutzungen wieder auftauchen. Dies ist kein Jailbreak des Modells. Es ist ein Missbrauch der Produktschicht, die "Erinnerungen" zwischen Sitzungen speichert. Es ist die Sicherheitsgegenleistung des Fadens, dem wir der Speicherplomberie der Agenten folgen.
Das persistente Gedächtnis wurde 2025-2026 zu einem wesentlichen Produktdifferenzierer für KI-Assistenten und zu einem eigenständigen Bestandteil des MCP-Ökosystems. Es speichert Benutzerfakten von einer Konversation zur anderen, um die Kontinuität und die wahrgenommene Nützlichkeit zu verbessern. Jede neue Speicherung ist auch eine neue Angriffsfläche: Was in das Gedächtnis gelangt, wird irgendwann in einem Systemprompt wieder auftauchen.
Das generische Muster, das seit 2024 unter dem Begriff "stored prompt injection" dokumentiert wurde, besteht darin, Inhalte in das persistente Gedächtnis zu schreiben, die beim erneuten Lesen durch das Modell als vertrauenswürdiger Kontext behandelt werden. Im Gegensatz zu einer klassischen Prompt-Injection - flüchtig, bei jedem Zug neu injiziert - ist die gespeicherte Injektion stabil: Sie überlebt Sitzungen, Kontextlöschungen und kann einen zukünftigen Benutzer treffen, der nichts Besonderes getan hat. Es ist die Verlagerung des Problems des Prompts zur Zustandsschicht.
Drei operative Ansätze, unabhängig vom Modell: (1) Speicher in Zonen trennen (explizit vom Benutzer deklariert vs. automatisch vom System extrahiert) und die beiden beim Nachlesen unterscheiden; (2) jede Wiedereinspeisung von Speicher als unvertrauenswürdigen Inhalt im Systemprompt markieren, mit denselben Schutzmechanismen wie bei einem Tool-Input; (3) Speicherwrites auf die gleiche Stufe wie Tool-Calling-Logs auditieren, nicht als einfache Produktmetadaten.
Die Debatte über KI-Sicherheit spielt sich nicht mehr auf der Ebene der grundlegenden Prompt-Injection ab. Sie spielt sich auf der Ebene der Persistenz ab: Wann wird ein von einem Benutzer kontrollierter Inhalt zum Systemkontext. Jedes Team, das Speicher in einen Assistenten einführt, muss die Speicherschicht als Produktions-Write-Log genauso behandeln wie als UX-Verbesserung. Andernfalls wird das nächste relevante Kompromiss nicht ein Jailbreak sein - es wird eine gewöhnliche Sitzung sein, die zu viel hochspült.
Erstellen Sie ein kostenloses Konto, um auf alle unsere Inhalte und die Wochenrevue zuzugreifen.
Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.
Melden Sie sich an, um an der Diskussion teilzunehmen.
Cette faille de mémoire est inquiétante. On se demande combien d'autres problèmes sont négligés pour innover plus vite.
On ne peut pas toujours tout avoir : rapidité ET sécurité. Mais il faut renforcer les protections.
Cette faille montre qu'il faut sécuriser la mémoire des IA. Comment concilier innovation et sécurité ?
Cette faille de mémoire m'inquiète. J'espère que les développeurs vont penser sécurité autant qu'innovation.
Comment sécuriser les mémoires persistantes des IA ?
La mémoire persistante, c'est pratique, mais il faut vraiment sécuriser ça.
Cette faille montre qu'il faut mieux sécuriser les IA. Comment concilier progrès et sécurité ?
Cette faille de mémoire est inquiétante. Comment garantir que la sécurité soit intégrée dès la conception des IA ?
Comment garantir que les IA soient conçues avec la sécurité en tête ?
Comment exploiter cette faille en vrai ?
Comment sécuriser la mémoire persistante pour éviter qu'elle ne devienne une porte d'entrée pour les attaques ?
MCP : la plomberie des agents devient un vrai marché