会员服务
攻击 · 内存 · 工具 · 存储 · 系统 ·
6 月 5 日
From Storage to Steering: Memory Control Flow Attacks on LLM Agents
翻译:从存储到操控:面向LLM智能体的内存控制流攻击
Zhenlin Xu,Xiaogang Zhu,Yu Yao,Minhui Xue,Yiliao Song
Zhenlin Xu,Xiaogang Zhu,Yu Yao,Minhui Xue,Yiliao Song

Modern agentic systems allow Large Language Model (LLM) agents to tackle complex tasks through extensive tool usage, forming structured control flows of tool selection and execution. Existing security analyses often treat these control flows as ephemeral, one-off sessions, overlooking the persistent influence of memory. This paper identifies a new threat from Memory Control Flow Attacks (MCFA) that memory can dominate the control flow, forcing unintended tool usage even against explicit user instructions and inducing persistent behavioral deviations across tasks. To understand the impact of this vulnerability, we further design MEMFLOW, an automated evaluation framework that systematically identifies and quantifies MCFA across heterogeneous tasks and long interaction horizons. To evaluate MEMFLOW, we attack state-of-the-art LLMs, including GPT-5 mini, Claude Sonnet 4.5 and Gemini 2.5 Flash on real-world tools from two major LLM agent development frameworks, LangChain and LlamaIndex. The results show that in general over 90% of trials are vulnerable to MCFA even under strict safety constraints, highlighting critical security risks that demand immediate attention.


翻译:现代智能体系统允许大语言模型(LLM)智能体通过广泛工具使用处理复杂任务,形成工具选择与执行的层次化控制流。现有安全分析通常将这些控制流视为短暂的、单次会话,忽视了内存的持续性影响。本文识别出一种新型威胁——内存控制流攻击(MCFA),该攻击表明内存可主导控制流,迫使工具违背用户明确指令被调用,并诱导跨任务的持续性行为偏差。为理解该漏洞的影响,我们进一步设计了自动化评估框架MEMFLOW,该框架能系统性地识别和量化跨异构任务与长交互窗口的MCFA。为评估MEMFLOW,我们在来自两大主流LLM智能体开发框架LangChain和LlamaIndex的真实工具上,对包括GPT-5 mini、Claude Sonnet 4.5和Gemini 2.5 Flash在内的最先进LLM实施攻击。结果表明,即使在严格安全约束下,超过90%的试验仍易受MCFA攻击,凸显了亟需关注的重大安全风险。
0
下载
关闭预览

相关内容

超越个体智能:基于LLM的多智能体系统中的协作、故障归因与自演化综述
超越个体智能:基于LLM的多智能体系统中的协作、故障归因与自演化综述
专知会员服务
20+阅读 · 5月16日
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
专知会员服务
29+阅读 · 4月6日
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
专知会员服务
23+阅读 · 3月30日
管理 LLM 智能体中的演进式记忆:风险、机理及稳定性与安全性受控记忆(SSGM)框架
管理 LLM 智能体中的演进式记忆:风险、机理及稳定性与安全性受控记忆(SSGM)框架
专知会员服务
16+阅读 · 3月14日
LLM/智能体作为数据分析师:综述
LLM/智能体作为数据分析师:综述
专知会员服务
38+阅读 · 2025年9月30日
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
专知会员服务
55+阅读 · 2025年8月26日
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
专知会员服务
33+阅读 · 2025年4月23日
可信赖LLM智能体的研究综述:威胁与应对措施
可信赖LLM智能体的研究综述:威胁与应对措施
专知会员服务
36+阅读 · 2025年3月17日
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
专知会员服务
170+阅读 · 2023年9月15日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
推荐!《基于多智能体学习的任务分配动态邻域优化》2022最新41页综述论文,伦敦国王学院
推荐!《基于多智能体学习的任务分配动态邻域优化》2022最新41页综述论文,伦敦国王学院
专知
17+阅读 · 2022年11月15日
人工智能和军备控制,80页pdf
人工智能和军备控制,80页pdf
专知
16+阅读 · 2022年11月2日
面向多智能体博弈对抗的对手建模框架
面向多智能体博弈对抗的对手建模框架
专知
18+阅读 · 2022年9月28日
推荐!【美国陆军战略项目年度报告】《人工智能(AI)用于多域作战(MDO)的指挥和控制(C2)》完整译文,美国陆军研究实验室
推荐!【美国陆军战略项目年度报告】《人工智能(AI)用于多域作战(MDO)的指挥和控制(C2)》完整译文,美国陆军研究实验室
专知
59+阅读 · 2022年9月24日
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
专知
111+阅读 · 2022年4月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
92+阅读 · 2022年4月17日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
机器之心
11+阅读 · 2018年1月8日
受扰多智能体系统的分布式主动抗干扰协调控制研究
国家自然科学基金
3+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
输入约束下的多智能体系统完全分布式协调控制研究
国家自然科学基金
5+阅读 · 2015年12月31日
基于被控物理对象监测的核电厂网络空间攻击的检测和响应
国家自然科学基金
2+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
带有输入饱和的多智能体系统的包含控制研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于势场法的多智能体系统鲁棒自适应刚性编队控制
国家自然科学基金
3+阅读 · 2015年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多智能体系统的可控性与群可控性研究
国家自然科学基金
10+阅读 · 2013年12月31日
LLM-as-Code Agentic Programming for Agent Harness
Arxiv
0+阅读 · 6月14日
From Agent Traces to Trust: A Survey of Evidence Tracing and Execution Provenance in LLM Agents
Arxiv
0+阅读 · 6月14日
A Survey on Long-Term Memory Security in LLM Agents: Attacks, Defenses, and Governance Across the Memory Lifecycle
Arxiv
0+阅读 · 6月11日
AttriGuard: Defeating Indirect Prompt Injection in LLM Agents via Causal Attribution of Tool Invocations
Arxiv
0+阅读 · 6月10日
Toward Secure LLM Agents: Threat Surfaces, Attacks, Defenses, and Evaluation
Arxiv
0+阅读 · 6月9日
Defenses & Enablers For Skill Injection Attacks on Terminal Based Agents
Arxiv
0+阅读 · 6月7日
Silent Failure in LLM Agent Systems: The Entropy Principle and the Inevitable Disorder of Autonomous Agents
Arxiv
0+阅读 · 6月6日
Evo-Attacker: Memory-Augmented Reinforcement Learning for Long-Horizon Tool Attacks on LLM-MAS
Arxiv
0+阅读 · 5月25日
CASPIAN: Online Detection and Attribution of Cascade Attacks in LLM Multi-Agent Systems via Cross-Channel Causal Monitoring
Arxiv
0+阅读 · 5月19日
ClawGuard: A Runtime Security Framework for Tool-Augmented LLM Agents Against Indirect Prompt Injection
Arxiv
0+阅读 · 5月11日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
内存
工具
存储
系统
最新内容
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
专知会员服务
5+阅读 · 6月16日
多模态代码智能综述:从视觉输入到可执行代码系统
多模态代码智能综述:从视觉输入到可执行代码系统
专知会员服务
5+阅读 · 6月16日
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
专知会员服务
5+阅读 · 6月16日
《面向导弹有效发射时机的监督机器学习方法:基于超视距空战仿真》
《面向导弹有效发射时机的监督机器学习方法:基于超视距空战仿真》
专知会员服务
5+阅读 · 6月16日
《通用大语言模型:无人机指挥与控制接口》最新40页
《通用大语言模型:无人机指挥与控制接口》最新40页
专知会员服务
15+阅读 · 6月16日
《通过小型无人机系统将情报能力“作战化”》
《通过小型无人机系统将情报能力“作战化”》
专知会员服务
5+阅读 · 6月16日
《神经安全型有人–无人协同:面向认知自适应作战能力的参考架构》
《神经安全型有人–无人协同:面向认知自适应作战能力的参考架构》
专知会员服务
9+阅读 · 6月16日
《在指挥链中通过多准则决策分析传达指挥官意图:空战实验》
《在指挥链中通过多准则决策分析传达指挥官意图:空战实验》
专知会员服务
21+阅读 · 6月15日
消耗优势:美军的“精确规模化”概念
消耗优势:美军的“精确规模化”概念
专知会员服务
8+阅读 · 6月15日
五角大楼的AI优先战略及其对现代战争的启示:来自与伊朗冲突的经验教训
五角大楼的AI优先战略及其对现代战争的启示:来自与伊朗冲突的经验教训
专知会员服务
9+阅读 · 6月15日
《网络空间兵棋推演:挑战、局限性与混合路径》报告
《网络空间兵棋推演:挑战、局限性与混合路径》报告
专知会员服务
9+阅读 · 6月15日
《离线语言支持系统:面向空战战术决策》
《离线语言支持系统:面向空战战术决策》
专知会员服务
10+阅读 · 6月15日
《以通信为中心的6G–LLM架构:面向可扩展的战术自主防御车辆网络》
《以通信为中心的6G–LLM架构:面向可扩展的战术自主防御车辆网络》
专知会员服务
9+阅读 · 6月15日
ICML 2026|ECA:面向开放式图文生成的高效持续对齐
ICML 2026|ECA:面向开放式图文生成的高效持续对齐
专知会员服务
6+阅读 · 6月14日
可信智能体AI综述:安全、鲁棒性、隐私与系统安全
可信智能体AI综述:安全、鲁棒性、隐私与系统安全
专知会员服务
6+阅读 · 6月14日
相关VIP内容
超越个体智能:基于LLM的多智能体系统中的协作、故障归因与自演化综述
超越个体智能:基于LLM的多智能体系统中的协作、故障归因与自演化综述
专知会员服务
20+阅读 · 5月16日
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
专知会员服务
29+阅读 · 4月6日
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
专知会员服务
23+阅读 · 3月30日
管理 LLM 智能体中的演进式记忆:风险、机理及稳定性与安全性受控记忆(SSGM)框架
管理 LLM 智能体中的演进式记忆:风险、机理及稳定性与安全性受控记忆(SSGM)框架
专知会员服务
16+阅读 · 3月14日
LLM/智能体作为数据分析师:综述
LLM/智能体作为数据分析师:综述
专知会员服务
38+阅读 · 2025年9月30日
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
专知会员服务
55+阅读 · 2025年8月26日
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
专知会员服务
33+阅读 · 2025年4月23日
可信赖LLM智能体的研究综述:威胁与应对措施
可信赖LLM智能体的研究综述:威胁与应对措施
专知会员服务
36+阅读 · 2025年3月17日
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
专知会员服务
170+阅读 · 2023年9月15日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
推荐!《基于多智能体学习的任务分配动态邻域优化》2022最新41页综述论文,伦敦国王学院
推荐!《基于多智能体学习的任务分配动态邻域优化》2022最新41页综述论文,伦敦国王学院
专知
17+阅读 · 2022年11月15日
人工智能和军备控制,80页pdf
人工智能和军备控制,80页pdf
专知
16+阅读 · 2022年11月2日
面向多智能体博弈对抗的对手建模框架
面向多智能体博弈对抗的对手建模框架
专知
18+阅读 · 2022年9月28日
推荐!【美国陆军战略项目年度报告】《人工智能(AI)用于多域作战(MDO)的指挥和控制(C2)》完整译文,美国陆军研究实验室
推荐!【美国陆军战略项目年度报告】《人工智能(AI)用于多域作战(MDO)的指挥和控制(C2)》完整译文,美国陆军研究实验室
专知
59+阅读 · 2022年9月24日
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
专知
111+阅读 · 2022年4月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
92+阅读 · 2022年4月17日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
机器之心
11+阅读 · 2018年1月8日
相关论文
LLM-as-Code Agentic Programming for Agent Harness
Arxiv
0+阅读 · 6月14日
From Agent Traces to Trust: A Survey of Evidence Tracing and Execution Provenance in LLM Agents
Arxiv
0+阅读 · 6月14日
A Survey on Long-Term Memory Security in LLM Agents: Attacks, Defenses, and Governance Across the Memory Lifecycle
Arxiv
0+阅读 · 6月11日
AttriGuard: Defeating Indirect Prompt Injection in LLM Agents via Causal Attribution of Tool Invocations
Arxiv
0+阅读 · 6月10日
Toward Secure LLM Agents: Threat Surfaces, Attacks, Defenses, and Evaluation
Arxiv
0+阅读 · 6月9日
Defenses & Enablers For Skill Injection Attacks on Terminal Based Agents
Arxiv
0+阅读 · 6月7日
Silent Failure in LLM Agent Systems: The Entropy Principle and the Inevitable Disorder of Autonomous Agents
Arxiv
0+阅读 · 6月6日
Evo-Attacker: Memory-Augmented Reinforcement Learning for Long-Horizon Tool Attacks on LLM-MAS
Arxiv
0+阅读 · 5月25日
CASPIAN: Online Detection and Attribution of Cascade Attacks in LLM Multi-Agent Systems via Cross-Channel Causal Monitoring
Arxiv
0+阅读 · 5月19日
ClawGuard: A Runtime Security Framework for Tool-Augmented LLM Agents Against Indirect Prompt Injection
Arxiv
0+阅读 · 5月11日
相关基金
受扰多智能体系统的分布式主动抗干扰协调控制研究
国家自然科学基金
3+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
输入约束下的多智能体系统完全分布式协调控制研究
国家自然科学基金
5+阅读 · 2015年12月31日
基于被控物理对象监测的核电厂网络空间攻击的检测和响应
国家自然科学基金
2+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
带有输入饱和的多智能体系统的包含控制研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于势场法的多智能体系统鲁棒自适应刚性编队控制
国家自然科学基金
3+阅读 · 2015年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多智能体系统的可控性与群可控性研究
国家自然科学基金
10+阅读 · 2013年12月31日
Top
微信扫码咨询专知VIP会员
Top