AI代理,一些管理着数百万美元加密货币的代理,容易受到一种新的不可检测攻击的影响,该攻击操纵它们的记忆,使得恶意行为者能够进行未经授权的转账。
根据普林斯顿大学和Sentient基金会研究人员最近的研究,他们声称发现了加密货币专注的AI代理的漏洞,例如使用流行的ElizaOS框架的代理。
普林斯顿研究生Atharv Patlan表示,ElizaOS的流行使其成为研究的完美选择,他是论文的共同作者。
“ElizaOS是一个流行的基于Web3的代理,在GitHub上有大约15,000个星标,因此被广泛使用,”Patlan告诉Decrypt。“如此广泛使用的代理存在漏洞,使我们想进一步探索。”
最初以ai16z发布,Eliza Labs于2024年10月启动了该项目。它是一个开源框架,用于创建与区块链交互和操作的AI代理。该平台于2025年1月更名为ElizaOS。
AI代理是一个自主软件程序,旨在感知其环境、处理信息并采取行动以实现特定目标,而无需人类干预。根据研究,这些代理被广泛用于自动化区块链平台上的金融任务,可以通过“记忆注入”来欺骗——这是一种新颖的攻击向量,将恶意指令嵌入代理的持久记忆中。
“Eliza有一个记忆存储,我们试图通过其他人在另一个社交媒体平台上进行注入来输入虚假记忆,”Patlan说。
研究发现,依赖社交媒体情绪的AI代理特别容易受到操控。
攻击者可以使用虚假账户和协调的帖子,称为Sybil攻击,得名于一个被诊断为解离性身份障碍的年轻女性Sybil的故事,来欺骗代理做出交易决策。
图像:记忆注入攻击的研究图像
“攻击者可以通过在X或Discord等平台上创建多个虚假账户来执行Sybil攻击,以操控市场情绪,”研究中写道。“通过协调发布虚假信息来虚增代币的感知价值,攻击者可以欺骗代理以人为高价购买‘被炒作’的代币,随后攻击者出售其持有的代币并使代币的价值崩溃。”
记忆注入是一种攻击,其中恶意数据被插入到AI代理的存储记忆中,导致其在未来的交互中回忆并基于虚假信息采取行动,通常不会检测到任何异常。
虽然这些攻击并不直接针对区块链,Patlan表示,团队探索了ElizaOS的全部功能,以模拟现实世界的攻击。
“最大的挑战是弄清楚要利用哪些工具。我们本可以进行简单的转账,但我们希望它更真实,因此我们查看了ElizaOS提供的所有功能,”他解释道。“由于有广泛的插件,它具有大量功能,因此探索尽可能多的功能以使攻击更真实是很重要的。”
Patlan表示,研究结果已与Eliza Labs分享,讨论仍在进行中。在成功演示了对ElizaOS的记忆注入攻击后,团队开发了一个正式的基准测试框架,以评估其他AI代理是否存在类似的漏洞。
与Sentient基金会合作,普林斯顿的研究人员开发了CrAIBench,这是一个衡量AI代理对上下文操控的抵御能力的基准。CrAIBench评估攻击和防御策略,重点关注安全提示、推理模型和对齐技术。
Patlan表示,研究的一个关键结论是,防御记忆注入攻击需要在多个层面上进行改进。
“除了改善记忆系统外,我们还需要改进语言模型本身,以更好地区分恶意内容和用户实际意图,”他说。“防御需要双向工作——加强记忆访问机制和增强模型。”
Eliza Labs尚未立即回应Decrypt的评论请求。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
