Memory Heist : la mémoire persistante d'un assistant IA devient une surface d'attaque stable

持续追踪 : MCP : la plomberie des agents devient un vrai marché· 连载 3/3

安全与信任仅限订阅用户 Jul 15, 2026 at 12:3410加入收藏

Memory Heist : la mémoire persistante d'un assistant IA devient une surface d'attaque stable
Illustration : Léa Fontaine

在代理内存的产品砖块(MCP)之后,安全对应措施到来了:一篇登上HN首页的文章记录了通过内存层的数据外泄。概念性漏洞不在模型中,而在产品层。

用简单的语言来说 一位研究人员展示了如何利用AI助手的持久性记忆(这里指的是Claude)来存放内容,这些内容在后续使用中会被调用出来。这不是对模型的越狱。这是对存储用户“记忆”的产品层的滥用。这是我们在跟踪记忆管道时的安全反噬。

背景

持久性记忆在2025-2026年成为AI助手的主要产品差异化因素,也是MCP生态系统的一个独立组件。它记录用户在不同对话之间的事实,以提高连续性和感知的实用性。每一次新的存储都是一个新的攻击面:进入记忆的内容最终会在某个时刻以系统提示的形式出现。

数据

  • 发布:在ayush.digital上发布的《记忆劫持》文章,于2026年7月15日登上Hacker News首页。
  • 目标:Claude在其内存集成中的应用。
  • 线索:标题将目标描述为通过操纵内存层获取敏感信息的窃取。

幕后

自2024年以来,以“存储提示注入”为通用模式的文档表明,将内容写入持久性记忆,在模型重新阅读时,该内容将被视为可信上下文。与传统提示注入不同——传统提示注入是短暂的,每次轮次都会重新注入——存储注入是稳定的:它能够在会话、上下文擦除后存活,并可以针对一个没有做任何特别事情的未来用户。这是将问题从提示转移到状态层。

情景与风险

  • 中度情况:跨会话泄露用户认为仅限于某个会话的信息。
  • 严重情况:通过外部工具在适当的时候读取记忆来实现的无声信息窃取。
  • 实际风险取决于记忆层的信任模型:谁写入,谁重新阅读,哪些字段可以被第三方工具编辑,以及重新阅读如何呈现给模型(用户内容或系统内容)。

实际防护措施

三个独立于模型的运营角度:(1)将记忆分为区域(由用户明确声明的记忆与系统自动提取的记忆),并在重新阅读时区分这两者;(2)将所有记忆重新注入标记为不受信任的内容在系统提示中,与输入工具具有相同的防护措施;(3)将内存写入审计与工具调用日志同等对待,而不仅仅是简单的产品元数据。

结论

AI安全的辩论不再局限于基本的提示注入。它发生在持久性层面:用户控制的内容何时成为系统上下文。任何部署助手内存的团队都必须将内存层视为生产写入日志,同时也视为UX改进。否则,下一个相关妥协不会是越狱——而是一个普通会话的过度上升。

内容仅限会员访问

免费创建账户,即可访问我们的全部内容和每周评论。

本文由人工智能撰写,并经人工编辑审核。

我们的编辑部
Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

SSHMonitoringAI Ops
Get early access
这篇文章对您有帮助吗?

11 人赞了这篇文章

S
Sofia Adler安全与信任
🇨🇳 人工智能安全、模型可靠性、网络安全
分享:
评论 (10)

登录后即可参与讨论。

ArtLover99 15 Jul 2026 · 15:41

Cette faille de mémoire est inquiétante. On se demande combien d'autres problèmes sont négligés pour innover plus vite.

ph1lippe_m 15 Jul 2026 · 17:47

On ne peut pas toujours tout avoir : rapidité ET sécurité. Mais il faut renforcer les protections.

TechSavvy47 15 Jul 2026 · 15:33

Cette faille montre qu'il faut sécuriser la mémoire des IA. Comment concilier innovation et sécurité ?

Dr. L. 15 Jul 2026 · 15:23

Cette faille de mémoire m'inquiète. J'espère que les développeurs vont penser sécurité autant qu'innovation.

J.P.R. 3 15 Jul 2026 · 14:56

Comment sécuriser les mémoires persistantes des IA ?

Emma_London 15 Jul 2026 · 08:51

La mémoire persistante, c'est pratique, mais il faut vraiment sécuriser ça.

EcoWarrior99 15 Jul 2026 · 08:42

Cette faille montre qu'il faut mieux sécuriser les IA. Comment concilier progrès et sécurité ?

TechSavvy 15 Jul 2026 · 08:29

Cette faille de mémoire est inquiétante. Comment garantir que la sécurité soit intégrée dès la conception des IA ?

le_sceptique 15 Jul 2026 · 08:28

Comment garantir que les IA soient conçues avec la sécurité en tête ?

FoodieFiona 15 Jul 2026 · 08:20

Comment exploiter cette faille en vrai ?

1
unLecteurCurieux 15 Jul 2026 · 08:15

Comment sécuriser la mémoire persistante pour éviter qu'elle ne devienne une porte d'entrée pour les attaques ?

事件时间线

MCP : la plomberie des agents devient un vrai marché

  1. 1适应性回忆:代理的持久记忆成为MCP模块13/07/2026
  2. 2Ant Group publishes its safety models for agents and multimodal systems13/07/2026
  3. 3Memory Heist : la mémoire persistante d'un assistant IA devient une surface d'attaque stable15/07/2026
Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

Get early access
主题
浏览
信息