MemGhost
A MemGhost támadási módszer egy új kockázatra hívja fel a figyelmet, amely a hosszú távú memóriával rendelkező AI-asszisztenseket érinti. A hagyományos prompt injection támadásokkal ellentétben itt nem az a cél, hogy az AI egy adott beszélgetés során hajtson végre egy rosszindulatú utasítást, hanem hogy tartósan megváltozzon az emlékezete. A kutatók bemutatták, hogy egyetlen gondosan elkészített e-mail elegendő lehet ahhoz, hogy az AI a felhasználó tudta nélkül hamis tényeket vagy preferenciákat mentsen el hosszú távú memóriájába, amelyeket később már megbízható információként használ fel. Így egy egyszeri támadás hosszú időn keresztül befolyásolhatja az asszisztens működését, még akkor is, ha az eredeti e-mail már régen eltűnt a postafiókból.
A kutatók a WhisperBench nevű tesztkörnyezetben valós e-mail infrastruktúrát és személyes AI-ügynököket használtak, így nem laboratóriumi promptokkal, hanem életszerű munkafolyamatokkal vizsgálták a támadást. A MemGhost egyetlen e-mailből, előzetes visszajelzés nélkül próbálja elérni, hogy az ügynök elmentse a támadó által kívánt memóriát, miközben a felhasználónak adott válasz teljesen ártalmatlannak tűnik. A módszer GPT-5.4 alapú OpenClaw környezetben 87,5%-os, Claude Code SDK Sonnet 4.6 esetén 71,4%-os sikerességet ért el, és több különböző memória-megoldásra is átvihetőnek bizonyult. A vizsgált bemeneti, modell- és rendszeroldali védelmek jelentős része nem tudta megbízhatóan megakadályozni a memória mérgezését.
A MemGhost azért jelent új fenyegetést, mert a személyes AI-asszisztensek egyre több külső forrásból – e-mailekből, dokumentumokból vagy üzenetekből – építik fel hosszú távú memóriájukat. Ha ezek közül akár egy is rosszindulatú utasítást tartalmaz, az AI később hibás döntéseket hozhat, téves felhasználói preferenciákat vehet figyelembe, vagy félrevezető tanácsokat adhat anélkül, hogy a felhasználó észrevenné a kompromittálódást. A kutatók szerint a jövőben a hosszú távú memória ugyanúgy védendő komponenssé válik, mint ma a hitelesítő adatok vagy a konfigurációs állományok. Ennek érdekében naplózni kell a memóriaírásokat, meg kell különböztetni a megbízható és külső forrásból származó információkat, valamint lehetőséget kell biztosítani a felhasználóknak a memória tartalmának ellenőrzésére és szükség esetén módosítására. A bemutatott technika jelenleg kutatási eredmény, és nincs nyilvános bizonyíték arra, hogy valós támadásokban már alkalmaznák, ugyanakkor jól mutatja, hogy a hosszú távú memóriával rendelkező AI-ügynökök új támadási felületet jelentenek a kiberbiztonság számára.