会员服务
Agent · MoDELS · 大语言模型 · 语言模型化 · INFORMS ·
5 月 18 日
Hidden in Memory: Sleeper Memory Poisoning in LLM Agents
翻译:藏于记忆之中:大语言模型代理中的休眠记忆投毒攻击
Sidharth Pulipaka,Stanislau Hlebik,Leonidas Raghav,Sahar Abdelnabi,Vyas Raina,Ivaxi Sheth,Mario Fritz
Sidharth Pulipaka,Stanislau Hlebik,Leonidas Raghav,Sahar Abdelnabi,Vyas Raina,Ivaxi Sheth,Mario Fritz
from arxiv, 86 pages, 60 tables

Large language models are increasingly augmented with persistent memory, allowing assistants to store user-specific information across sessions for personalization and continuity. This statefulness introduces a new security risk: adversarial content can corrupt what an assistant remembers and thereby influence future interactions. We propose and study sleeper memory poisoning, a delayed attack in which an adversary manipulates external context, such as a document, webpage, or repository, to cause the assistant to store a fabricated memory about the user. Unlike conventional prompt injection, the attack can remain dormant and re-emerge across multiple later conversations. We evaluate the full attack pipeline: whether poisoned memories are written, later retrieved, and ultimately used to steer the following conversations. Across stateful LLM assistants, poisoned memories were added up to 99.8% on GPT-5.5 and 95% on Kimi-K2.6. Crucially, among successful retrievals, poisoned memories cause attacker-intended agentic actions in 60-89% of evaluations across models. These results show that persistent memory can act as a long-term attack surface across multiple future conversations.


翻译:大语言模型日益配备持久化记忆功能,使得助手能够跨会话存储用户特定信息,以实现个性化和连续性。这种有状态特性引入了一种新的安全风险:对抗性内容可篡改助手的记忆内容,从而影响未来交互。我们提出并研究了休眠记忆投毒攻击,这是一种延迟性攻击:攻击者操纵外部上下文(如文档、网页或代码仓库),诱使助手存储关于用户的虚构记忆。与常规提示注入不同,该攻击可保持潜伏状态,并在后续多次对话中重新浮现。我们评估了完整的攻击链路:被投毒的记忆是否被写入、后续是否被检索、以及最终是否被用于引导后续对话。在多种有状态大语言模型助手上,GPT-5.5的记忆投毒成功率高达99.8%,Kimi-K2.6则达95%。尤为关键的是,在成功检索的案例中,被投毒记忆导致模型执行攻击者预设的自主行为,各模型成功率介于60%-89%。这些结果表明,持久化记忆可成为横跨多次未来对话的长期攻击面。
0
下载
关闭预览

相关内容

ICML 2026|MEMOPILOT:用强化学习训练会进化的智能体记忆
ICML 2026|MEMOPILOT:用强化学习训练会进化的智能体记忆
专知会员服务
3+阅读 · 6月13日
大语言模型智能体长期记忆安全性综述:迈向记忆主权
大语言模型智能体长期记忆安全性综述:迈向记忆主权
专知会员服务
15+阅读 · 4月23日
管理 LLM 智能体中的演进式记忆:风险、机理及稳定性与安全性受控记忆(SSGM)框架
管理 LLM 智能体中的演进式记忆:风险、机理及稳定性与安全性受控记忆(SSGM)框架
专知会员服务
16+阅读 · 3月14日
大语言模型机器遗忘综述
大语言模型机器遗忘综述
专知会员服务
18+阅读 · 2025年11月2日
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
22+阅读 · 2025年4月28日
大模型如何遗忘不良知识? 最新《生成式人工智能中的机器遗忘》综述
大模型如何遗忘不良知识? 最新《生成式人工智能中的机器遗忘》综述
专知会员服务
24+阅读 · 2024年8月1日
大语言模型中的提示隐私保护
大语言模型中的提示隐私保护
专知会员服务
24+阅读 · 2024年7月24日
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
专知会员服务
72+阅读 · 2023年9月7日
中科大腾讯最新《多模态大型语言模型》综述,详述多模态指令微调、上下文学习、思维链和辅助视觉推理技术
中科大腾讯最新《多模态大型语言模型》综述,详述多模态指令微调、上下文学习、思维链和辅助视觉推理技术
专知会员服务
105+阅读 · 2023年6月27日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
专知
17+阅读 · 2023年4月12日
【Uber AI新论文】持续元学习,Learning to Continually Learn
【Uber AI新论文】持续元学习,Learning to Continually Learn
专知
19+阅读 · 2020年2月27日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
专知
20+阅读 · 2019年11月24日
[Google]BERT压缩到7MB!最新基于最优子词和共享投影的极限语言压缩模型
[Google]BERT压缩到7MB!最新基于最优子词和共享投影的极限语言压缩模型
专知
31+阅读 · 2019年10月6日
DeepMind爆出无监督表示学习模型BigBiGAN,GAN之父点赞!
DeepMind爆出无监督表示学习模型BigBiGAN,GAN之父点赞!
新智元
13+阅读 · 2019年7月9日
打开人工智能黑箱:看最新16篇可解释深度学习文章,带您了解增强AI透明性
打开人工智能黑箱:看最新16篇可解释深度学习文章,带您了解增强AI透明性
专知
144+阅读 · 2019年1月13日
NLP预训练模型大集合!
NLP预训练模型大集合!
机器之心
21+阅读 · 2018年12月28日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
自然语言处理中的自注意力机制(Self-Attention Mechanism)
自然语言处理中的自注意力机制(Self-Attention Mechanism)
PaperWeekly
22+阅读 · 2018年3月28日
循环神经网络多模态深度模型联想记忆功能研究
国家自然科学基金
6+阅读 · 2017年12月31日
适应性记忆的认知与神经机制:生存加工和死亡提醒的双视角
国家自然科学基金
0+阅读 · 2016年12月31日
面向人类工作记忆改善的脑电复杂网络信息反馈非线性计算模型研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向时空特性的社交网络推演攻击与隐私保护关键技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
临界态对生物神经网络学习、记忆以及模式识别能力的影响
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
即时通讯匿名隐通道系统模型与算法研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于记忆学习与免疫系统的仿生控制研究
国家自然科学基金
7+阅读 · 2015年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
FragFuse: Bypassing Access Control of Large Language Model Agents via Memory-Based Query Fragmentation and Fusion
Arxiv
0+阅读 · 6月14日
A Survey on Long-Term Memory Security in LLM Agents: Attacks, Defenses, and Governance Across the Memory Lifecycle
Arxiv
0+阅读 · 6月11日
SMSR: Certified Defence Against Runtime Memory Poisoning in Persistent LLM Agent Systems
Arxiv
0+阅读 · 6月10日
Infini Memory: Maintainable Topic Documents for Long-Term LLM Agent Memory
Arxiv
0+阅读 · 6月9日
Membrane: A Self-Evolving Contrastive Safety Memory for LLM Agent Defense
Arxiv
0+阅读 · 6月4日
From Untrusted Input to Trusted Memory: A Systematic Study of Memory Poisoning Attacks in LLM Agents
Arxiv
0+阅读 · 6月3日
Memory-R2: Fair Credit Assignment for Long-Horizon Memory-Augmented LLM Agents
Arxiv
0+阅读 · 5月20日
MemPrivacy: Privacy-Preserving Personalized Memory Management for Edge-Cloud Agents
Arxiv
0+阅读 · 5月14日
Searching for Privacy Risks in LLM Agents via Simulation
Arxiv
0+阅读 · 5月8日
Every Picture Tells a Dangerous Story: Memory-Augmented Multi-Agent Jailbreak Attacks on VLMs
Arxiv
0+阅读 · 4月14日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
Agent
MoDELS
大语言模型
语言模型化
INFORMS
最新内容
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
专知会员服务
1+阅读 · 今天2:06
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
专知会员服务
1+阅读 · 今天1:37
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
专知会员服务
2+阅读 · 6月17日
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
专知会员服务
2+阅读 · 6月17日
学习数据的几何:形状空间分析数学综述
学习数据的几何:形状空间分析数学综述
专知会员服务
2+阅读 · 6月17日
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
专知会员服务
5+阅读 · 6月17日
定向能反无人机系统最新发展动态
定向能反无人机系统最新发展动态
专知会员服务
6+阅读 · 6月17日
从燃煤战舰到算法战争:水面指挥的永恒要求
从燃煤战舰到算法战争:水面指挥的永恒要求
专知会员服务
3+阅读 · 6月17日
《短程弹道再入飞行器拦截时间中的一项异常现象》
《短程弹道再入飞行器拦截时间中的一项异常现象》
专知会员服务
4+阅读 · 6月17日
《基于回归方法与任务上下文的对抗环境动态战术网络报文优先级排序》
《基于回归方法与任务上下文的对抗环境动态战术网络报文优先级排序》
专知会员服务
4+阅读 · 6月17日
美智库《战术级指挥控制的迫切要求:构建弹性机动式指挥控制网络》报告
美智库《战术级指挥控制的迫切要求:构建弹性机动式指挥控制网络》报告
专知会员服务
4+阅读 · 6月17日
《韩国国防政策与军备出口:韩国安全与国防政策如何塑造其国防工业与军备出口格局》最新100页报告
《韩国国防政策与军备出口:韩国安全与国防政策如何塑造其国防工业与军备出口格局》最新100页报告
专知会员服务
3+阅读 · 6月17日
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
专知会员服务
5+阅读 · 6月16日
多模态代码智能综述:从视觉输入到可执行代码系统
多模态代码智能综述:从视觉输入到可执行代码系统
专知会员服务
7+阅读 · 6月16日
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
专知会员服务
6+阅读 · 6月16日
相关VIP内容
ICML 2026|MEMOPILOT:用强化学习训练会进化的智能体记忆
ICML 2026|MEMOPILOT:用强化学习训练会进化的智能体记忆
专知会员服务
3+阅读 · 6月13日
大语言模型智能体长期记忆安全性综述:迈向记忆主权
大语言模型智能体长期记忆安全性综述:迈向记忆主权
专知会员服务
15+阅读 · 4月23日
管理 LLM 智能体中的演进式记忆:风险、机理及稳定性与安全性受控记忆(SSGM)框架
管理 LLM 智能体中的演进式记忆:风险、机理及稳定性与安全性受控记忆(SSGM)框架
专知会员服务
16+阅读 · 3月14日
大语言模型机器遗忘综述
大语言模型机器遗忘综述
专知会员服务
18+阅读 · 2025年11月2日
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
22+阅读 · 2025年4月28日
大模型如何遗忘不良知识? 最新《生成式人工智能中的机器遗忘》综述
大模型如何遗忘不良知识? 最新《生成式人工智能中的机器遗忘》综述
专知会员服务
24+阅读 · 2024年8月1日
大语言模型中的提示隐私保护
大语言模型中的提示隐私保护
专知会员服务
24+阅读 · 2024年7月24日
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
专知会员服务
72+阅读 · 2023年9月7日
中科大腾讯最新《多模态大型语言模型》综述,详述多模态指令微调、上下文学习、思维链和辅助视觉推理技术
中科大腾讯最新《多模态大型语言模型》综述,详述多模态指令微调、上下文学习、思维链和辅助视觉推理技术
专知会员服务
105+阅读 · 2023年6月27日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
专知
17+阅读 · 2023年4月12日
【Uber AI新论文】持续元学习,Learning to Continually Learn
【Uber AI新论文】持续元学习,Learning to Continually Learn
专知
19+阅读 · 2020年2月27日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
专知
20+阅读 · 2019年11月24日
[Google]BERT压缩到7MB!最新基于最优子词和共享投影的极限语言压缩模型
[Google]BERT压缩到7MB!最新基于最优子词和共享投影的极限语言压缩模型
专知
31+阅读 · 2019年10月6日
DeepMind爆出无监督表示学习模型BigBiGAN,GAN之父点赞!
DeepMind爆出无监督表示学习模型BigBiGAN,GAN之父点赞!
新智元
13+阅读 · 2019年7月9日
打开人工智能黑箱:看最新16篇可解释深度学习文章,带您了解增强AI透明性
打开人工智能黑箱:看最新16篇可解释深度学习文章,带您了解增强AI透明性
专知
144+阅读 · 2019年1月13日
NLP预训练模型大集合!
NLP预训练模型大集合!
机器之心
21+阅读 · 2018年12月28日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
自然语言处理中的自注意力机制(Self-Attention Mechanism)
自然语言处理中的自注意力机制(Self-Attention Mechanism)
PaperWeekly
22+阅读 · 2018年3月28日
相关论文
FragFuse: Bypassing Access Control of Large Language Model Agents via Memory-Based Query Fragmentation and Fusion
Arxiv
0+阅读 · 6月14日
A Survey on Long-Term Memory Security in LLM Agents: Attacks, Defenses, and Governance Across the Memory Lifecycle
Arxiv
0+阅读 · 6月11日
SMSR: Certified Defence Against Runtime Memory Poisoning in Persistent LLM Agent Systems
Arxiv
0+阅读 · 6月10日
Infini Memory: Maintainable Topic Documents for Long-Term LLM Agent Memory
Arxiv
0+阅读 · 6月9日
Membrane: A Self-Evolving Contrastive Safety Memory for LLM Agent Defense
Arxiv
0+阅读 · 6月4日
From Untrusted Input to Trusted Memory: A Systematic Study of Memory Poisoning Attacks in LLM Agents
Arxiv
0+阅读 · 6月3日
Memory-R2: Fair Credit Assignment for Long-Horizon Memory-Augmented LLM Agents
Arxiv
0+阅读 · 5月20日
MemPrivacy: Privacy-Preserving Personalized Memory Management for Edge-Cloud Agents
Arxiv
0+阅读 · 5月14日
Searching for Privacy Risks in LLM Agents via Simulation
Arxiv
0+阅读 · 5月8日
Every Picture Tells a Dangerous Story: Memory-Augmented Multi-Agent Jailbreak Attacks on VLMs
Arxiv
0+阅读 · 4月14日
相关基金
循环神经网络多模态深度模型联想记忆功能研究
国家自然科学基金
6+阅读 · 2017年12月31日
适应性记忆的认知与神经机制:生存加工和死亡提醒的双视角
国家自然科学基金
0+阅读 · 2016年12月31日
面向人类工作记忆改善的脑电复杂网络信息反馈非线性计算模型研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向时空特性的社交网络推演攻击与隐私保护关键技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
临界态对生物神经网络学习、记忆以及模式识别能力的影响
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
即时通讯匿名隐通道系统模型与算法研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于记忆学习与免疫系统的仿生控制研究
国家自然科学基金
7+阅读 · 2015年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top