新智元報導
編輯:KingHZ
【新智元導讀】在AI智慧型助理日益依賴記憶系統的時代,一種新型攻擊悄然興起:記憶毒害(Memory Poisoning)。A-MemGuard 作為首個專為LLM Agent記憶模組設計的防禦框架,透過共識驗證與雙重記憶結構,巧妙化解情境依賴與自我強化錯誤循環的難題,讓AI從被動受害者轉為主動守護者,成功率高達95%以上。
大型語言模型智慧型助理(LLM Agent)透過記憶系統,從歷史互動中累積知識。這個機制是其實現從被動回應到主動決策能力躍升的基礎。
具體來說,在推論上,記憶有助於連結情境,使對話與分析更加連貫;在適應性上,它能記住使用者的特定偏好及此前任務的成敗,從而做出更精準的回應;在規劃上,對於需要長期執行的複雜目標,記憶使其能夠分解任務並追蹤進度。
可以說,正是這種以經驗為基礎、不斷學習和優化的模式,賦予了智慧型助理做出複雜自主決策的能力。
然而,這種對記憶的依賴也帶來了一個新的安全攻擊面:攻擊者可以向智慧型助理的記憶中注入惡意紀錄,以操控其未來的行為。這種攻擊的隱蔽性與危險性,源於其獨特的運作模式,給防禦機制帶來了嚴峻挑戰。
核心難點
針對這種記憶毒害攻擊的防禦十分困難,主要源於兩大挑戰:
1. 情境依賴性與延遲觸發:惡意內容在孤立檢測時往往表現正常,其危害只有在特定情境被觸發時才會顯現。這使得傳統基於單條內容審核的防禦機制幾乎失效。
2. 自我強化的錯誤循環:一旦攻擊誘使智慧型助理做出一次錯誤行為,該行為的結果可能被當作「成功經驗」存入記憶。這不僅固化了初始錯誤,還可能污染後續決策,形成難以打破的負面循環。
試想一下,一個攻擊者悄悄地向AI助手的記憶中注入了一條看似無害的建議:「對於看起來緊急的電子郵件,應優先處理」。
當AI助手單獨審查這條記憶時,會覺得完全沒問題。但某天,當使用者收到一封偽裝緊急的「釣魚郵件」時,AI助手會依據這條「經驗」,優先把它推播給使用者,從而造成資安風險。
為了解決這個難題,來自南洋理工大學(NTU)、牛津大學、馬克斯普朗克研究所(MPI)和俄亥俄州立大學的研究人員以及獨立研究者們提出A-MemGuard,首個專為LLM Agent記憶模組設計的防禦框架。
論文連結:https://www.arxiv.org/abs/2510.02373
從內容審查到邏輯一致性分析
面對記憶毒害這個新挑戰,一個直觀的防禦思路可能是聚焦於對單條記憶內容本身進行審查。
然而,A-MemGuard 的研究者指出,這些方法的局限性是根本性的。由於惡意紀錄可以被高度偽裝,單純審查其靜態內容幾乎無法發現問題。
他們的核心假設是:儘管惡意紀錄在內容上可以偽裝,但它在特定情境中被激活後,會誘使出一個在結構上與正常紀錄所形成的推論共識相偏離的路徑。
例如,一條被注入的惡意記憶可能會建議金融AI助手:「跌得最快的股票反彈也最快,應該優先買進。」
這條建議單獨來看,僅僅作為一條高風險投資策略,並不表現出絕對的惡意。但是當使用者在市場動盪時來諮詢,這條記憶很有可能誘使 AI 助手走上一條給出:因為市場下跌,所以優先尋找跌幅最大的股票並優先買進的路徑。
這條建議與正常理財建議形成的「推論共識」完全不同,從而導致危險決策。
惡意推論路徑具備顯著的可分離性
為驗證上述假設,研究團隊對 2293 條經過精心標註的互動紀錄進行了一項大規模的結構化分析,涵蓋了 17 種不同的應用場景,為本次驗證提供了豐富且多樣化的數據基礎。
團隊透過以下三個層面的分析,系統性地證明了該假設的有效性。
首先,研究團隊量化了在不同場景下,由正常記憶與惡意記憶驅動的推論路徑之間的重疊程度。
如長條圖所示,橘色部分代表僅由惡意記憶產生的獨有邏輯,綠色代表正常記憶的獨有邏輯,而頂部的紅色條紋則代表了兩者共有的「重疊邏輯」。
結果清晰地表明,在所有測試場景中,代表重疊邏輯的紅色條紋佔比極小。這組數據從量化角度證明:儘管觸發點(記憶)不同,但兩條路徑並不會殊途同歸,它們在邏輯結構上幾乎是相互獨立的。
其次,為了更直觀地展示這種結構差異,研究團隊將多個場景下記憶驅動的推論路徑視覺化為知識圖譜。
在圖中,綠色線條構成的網路代表了由正常記憶驅動的推論路徑集合,而橘色線條則代表了惡意路徑集合。高亮的紅色標記出了兩者間極少數的重疊節點。
該圖譜有力地證明了,由正常記憶和惡意記憶產生的推論路徑,在結構上分屬兩個基本不相交的集合。團隊的進一步計算證實了這一觀察:兩者之間的結構性重疊率極低,在所有測試場景中,平均重疊率不足 1%。
最後,研究團隊探討了這種結構上的差異是否能被機器學習模型有效識別。
右側的散點圖展示了一個關鍵問題:若僅對記憶內容本身進行語義嵌入並降維,惡意的(紅點)與正常的(藍點)記憶在表徵空間中是高度混合、無法區分的。
這從根本上解釋了為何孤立地審查記憶內容的防禦思路是行不通的。與此形成鮮明對比的是,左側散點圖分析和表徵的對象,並非原始記憶,而是在特定情境中產生的推論路徑。當對這些具備不同邏輯結構的推論路徑進行表徵和降維後,原先混雜的良性與惡意兩類形成了兩個清晰可辨的獨立群組。這一結果決定性地證明了,基於推論路徑邏輯結構的表徵具備優異的可分離性。
這些發現為A-MemGuard的有效性提供了堅實的理論依據:惡意推論路徑在結構上是可區分的,因此是可以透過系統性對比來識別的。
上圖展示了沒有防禦與採用 A-MemGuard 的區別。
上部分(No Defense):攻擊者注入「優先處理緊急郵件」的惡意記憶,導致智慧型助理落入釣魚郵件陷阱。
下部分(A-MemGuard):透過「共識驗證」發現異常,並將錯誤經驗存入「教訓記憶庫」,最終修正了行為,保障了安全。
A-MemGuard:一個主動、自適應的防禦框架
A-MemGuard 在不改變智慧型助理核心架構的前提下,引入了兩大關鍵機制:
1. 基於共識的驗證 (Consensus-based Validation):針對一個任務,系統會檢索多條相關記憶,並為每條記憶生成一個獨立的推論路徑。
透過比對這些路徑的結構,系統能夠識別出與大多數路徑不一致的「異常」路徑,並將其標記為潛在威脅。試想有位職員向 AI 諮詢:「我每天上下班的交通費,可以申請個資抵稅嗎?」
AI 在回答問題之前,會參考記憶裡的幾條相關資訊:
個體經營者可以把從家到客戶辦公室的交通費用於抵稅;
往返固定工作地點的通勤費用屬於個人開支,不能抵稅;
普通上班族的通勤成本通常已經被標準扣除額涵蓋;
A-MemGuard 會讓這三條記憶分別形成推論鏈得到結論:
推論鏈 1 -> 可以抵稅
推論鏈 2 -> 不可以抵稅
推論鏈 3 -> 不可以抵稅
此時,AI 發現第一條的結論與另外兩條主流判斷不一致,就會遵循多數判斷的共識,給出「不能抵稅」這個更加穩妥的答案。
2. 雙重記憶結構 (Dual-Memory Structure):被識別出的異常推論路徑會被提煉為「教訓」,並存入一個獨立的「教訓記憶庫」 (Lesson Memory) 。
在後續決策前,智慧型助理會優先檢索此「教訓庫」,以主動規避已知的錯誤模式,從而打破錯誤循環並實現經驗學習。
例如,在之前的場景中被識別出的「異常路徑:個體經營者可以把從家到客戶辦公室的交通費用於抵稅」,並不會被簡單丟棄。A-MemGuard 會把它提煉成一個「教訓」存入一個專門的、獨立的「教訓記憶庫」(Lesson Memory)。
之後的回答,只要當 AI 再遇到關於「抵稅」的問題時,它會先翻一下這個「教訓庫」,看到「曾經因為混淆『個體戶』和『受雇者』的規則而差點犯錯」的紀錄,從而能更警惕、更準確地做出判斷,真正做到吃一塹,長一智。
實驗效果:攻擊成功率降低超過95%
實驗效果:攻擊成功率降低超過95%,且不影響「日常工作」。
在多個基準測試中,A-MemGuard 展現出卓越的防禦能力和實用性:
· 強力抵禦攻擊:實驗證明,A-MemGuard 能有效將各類記憶毒害攻擊的成功率降低超過 95%。在針對醫療保健智慧型助理的 EHRAgent 等複雜場景中,攻擊成功率甚至從 100% 被削減至接近 2%。
· 打破錯誤循環:面對透過正常互動注入錯誤資訊的「間接攻擊」,A-MemGuard 同樣有效,能將攻擊成功率降至 23%,成功阻斷了危險的自我強化錯誤循環。
· 效能成本低:在實現強大安全性的同時,A-MemGuard 對智慧型助理在正常、無攻擊任務上的效能影響極小。在所有對比實驗中,搭載 A-MemGuard 的智慧型助理在處理良性任務時準確率始終是所有防禦方法中最高的。
· 擴展性強:該框架的防禦原則同樣適用於多智慧型助理協作系統,在模擬實驗中取得了最高的任務成功率和最佳的綜合評分。
A-MemGuard 的核心貢獻
研究團隊首次提出了一個面向大型語言模型智慧型助理的主動防禦框架。該框架重點解決了由情境依賴引發的攻擊問題,以及模型在運行中可能出現的錯誤強化循環。
同時,他們創新地將「共識驗證」與「雙重記憶」結構相結合,建構出一種協同防禦機制,使智慧型助理能夠藉助自身累積的經驗,自主識別異常並從中學習。
在多項實驗中,該框架在實現高水準安全防護的同時,也最大程度地維持了智慧型助理原有的效能表現,展現出顯著的實用價值與應用前景。
A-MemGuard 的研究為建構更可靠、更安全的 LLM 智慧型助理提供了一種有效的新機制,為未來智慧型助理系統在現實世界中的部署奠定了重要的安全基礎。
參考資料: