English
中文
Deutsch
StartseiteArtikel

NTU und andere haben gemeinsam A-MemGuard vorgeschlagen: Verschließt das Gedächtnis von KI, und die Erfolgsrate von Vergiftungsschlägen sinkt um 95 %.

新智元2025-10-16 08:34
In einer Zeit, in der KI - Agenten zunehmend auf Gedächtnissysteme angewiesen sind, hat sich eine neue Art von Angriff heimlich entwickelt: Gedächtnisschmutzung. A - MemGuard, als das erste Verteidigungssystem speziell für das Gedächtnismodul von LLM - Agenten, löst mithilfe von Konsensüberprüfung und einer doppelten Gedächtnisstruktur geschickt die Probleme der Kontexabhängigkeit und des Fehlerschleifen der Selbstverstärkung. Dadurch wird die KI von einem passiven Opfer zu einem aktiven Wächter, und die Erfolgsrate liegt bei über 95 %.

LLM-Agent (Large Language Model Agent) sammelt über sein Gedächtnissystem Wissen aus historischen Interaktionen. Dieser Mechanismus bildet die Grundlage für seine Fähigkeit, von einer passiven Reaktion zu einer aktiven Entscheidungsfindung zu gelangen.

Konkret gesehen: Bei der Inferenz hilft das Gedächtnis ihm, den Kontext zu berücksichtigen, wodurch Gespräche und Analysen kohärenter werden. In Bezug auf die Anpassungsfähigkeit kann er die spezifischen Präferenzen des Nutzers und den Erfolg oder Misserfolg früherer Aufgaben im Gedächtnis behalten, um so präzisere Antworten zu geben. Bei der Planung ermöglicht es ihm das Gedächtnis, komplexe Ziele, die über einen längeren Zeitraum umgesetzt werden müssen, in Teilaufgaben zu zerlegen und den Fortschritt zu verfolgen.

Man kann sagen, dass es genau dieses auf Erfahrungen basierende, kontinuierlich lernende und optimierende Modell ist, das dem Agenten die Fähigkeit gibt, komplexe eigenständige Entscheidungen zu treffen.

Allerdings bringt diese Abhängigkeit vom Gedächtnis auch eine neue Angriffsfläche für Sicherheitsbedrohungen mit sich: Angreifer können dem Agenten-Gedächtnis böswillige Einträge hinzufügen, um sein zukünftiges Verhalten zu manipulieren. Die Verborgenheit und Gefährlichkeit dieser Angriffe resultieren aus ihrem einzigartigen Betriebsmodell und stellen eine große Herausforderung für die Abwehr dar.

Haupthindernisse

Die Abwehr gegen diese Art von Gedächtnis-Vergiftung-Angriffen ist sehr schwierig, hauptsächlich wegen zwei Herausforderungen:

1. Kontextabhängigkeit und verzögerte Auslösung: Böswilliger Inhalt scheint oft normal, wenn er isoliert betrachtet wird. Seine Gefahr tritt erst auf, wenn er in einem bestimmten Kontext ausgelöst wird. Dies macht traditionelle Abwehrmechanismen, die auf der Prüfung einzelner Inhalte basieren, fast wirkungslos.

2. Selbstverstärkender Fehlerschleife: Sobald ein Angriff den Agenten zu einem fehlerhaften Verhalten verleitet, kann das Ergebnis dieses Verhaltens als "Erfolgserfahrung" im Gedächtnis gespeichert werden. Dies verfestigt nicht nur den ursprünglichen Fehler, sondern kann auch nachfolgende Entscheidungen kontaminieren und eine schwer zu durchbrechende negative Schleife bilden.

Stellen Sie sich vor, ein Angreifer fügt heimlich eine scheinbar harmlose Empfehlung in das Gedächtnis eines AI-Assistenten ein: "Dringend erscheinende E-Mails sollten priorisiert bearbeitet werden".

Wenn der AI-Assistent diese Erinnerung einzeln prüft, findet er nichts Besonderes daran. Aber eines Tages, wenn der Nutzer eine gefälschte, dringend erscheinende "Phishing-E-Mail" erhält, wird der AI-Assistent aufgrund dieser "Erfahrung" diese E-Mail dem Nutzer priorisiert präsentieren, was ein Sicherheitsrisiko darstellt.

Um dieses Problem zu lösen, haben Forscher aus der Nanyang Technological University, der Universität Oxford, dem Max-Planck-Institut und der Ohio State University sowie unabhängige Forscher A-MemGuard vorgeschlagen, das erste Abwehrframework für das Gedächtnis-Modul von LLM-Agenten.

Link zur Studie: https://www.arxiv.org/abs/2510.02373

Von der Inhaltsüberprüfung zur Analyse der logischen Konsistenz

Angesichts dieser neuen Herausforderung der Gedächtnis-Vergiftung könnte ein naheliegender Ansatz für die Abwehr darin bestehen, sich auf die Prüfung einzelner Gedächtniseinträge zu konzentrieren.

Allerdings weisen die Forscher von A-MemGuard darauf hin, dass die Grenzen dieser Methoden fundamental sind. Da böswillige Einträge hochgradig getarnt sein können, ist es fast unmöglich, Probleme nur durch die Prüfung ihres statischen Inhalts zu entdecken.

Ihre Kernannahme ist: Obwohl böswillige Einträge im Inhalt getarnt sein können, wird nach ihrer Aktivierung in einem bestimmten Kontext ein Inferenzpfad induziert, der strukturell von dem Konsens abweicht, der durch normale Einträge gebildet wird.

Beispielsweise könnte ein eingefügter böswilliger Gedächtniseintrag einem Finanz-AI-Assistenten empfehlen: "Die am schnellsten fallenden Aktien springen auch am schnellsten zurück und sollten priorisiert gekauft werden."

Betrachtet man diese Empfehlung für sich genommen, so stellt sie lediglich eine Hochrisiko-Anlage-Strategie dar und zeigt keine absolute Bosheit. Aber wenn der Nutzer während einer Marktkrise um Rat fragt, wird dieser Gedächtniseintrag den AI-Assistenten wahrscheinlich dazu verleiten, folgenden Inferenzpfad zu beschreiten: Weil der Markt fällt, sollten die am stärksten gefallenen Aktien gesucht und priorisiert gekauft werden.

Diese Empfehlung weicht vollständig vom "Inferenzkonsens" normaler Finanzberatungen ab und führt so zu gefährlichen Entscheidungen.

Böswillige Inferenzpfade sind signifikant trennbar

Um die obige Annahme zu überprüfen, hat das Forschungs-Team eine umfangreiche strukturelle Analyse von 2293 sorgfältig annotierten Interaktionsaufzeichnungen durchgeführt, die 17 verschiedene Anwendungsbereiche abdecken. Dies lieferte eine reiche und vielfältige Datenbasis für diese Überprüfung.

Das Team hat die Gültigkeit dieser Annahme systematisch durch die folgende dreistufige Analyse bewiesen.

Zunächst hat das Forschungs-Team das Maß der Überlappung zwischen Inferenzpfaden, die durch normale und böswillige Gedächtniseinträge in verschiedenen Szenarien angetrieben werden, quantifiziert.

Wie das Balkendiagramm zeigt, repräsentiert der orangefarbene Teil die einzigartige Logik, die nur durch böswillige Gedächtniseinträge erzeugt wird, der grüne Teil die einzigartige Logik normaler Gedächtniseinträge, und die roten Streifen oben repräsentieren die "überlappende Logik" beider.

Die Ergebnisse zeigen deutlich, dass in allen getesteten Szenarien der Anteil der roten Streifen, die die überlappende Logik repräsentieren, sehr gering ist. Diese Daten belegen quantitativ: Obwohl die Auslöser (Gedächtniseinträge) unterschiedlich sind, führen die beiden Pfade nicht zum gleichen Ergebnis. Sie sind in ihrer logischen Struktur fast voneinander unabhängig.

Zweitens, um diesen strukturellen Unterschied deutlicher darzustellen, hat das Forschungs-Team die durch Gedächtniseinträge angetriebenen Inferenzpfade in mehreren Szenarien als Wissensgraph visualisiert.

Im Diagramm repräsentiert das Netzwerk aus grünen Linien die Menge der Inferenzpfade, die durch normale Gedächtniseinträge angetrieben werden, während die orangefarbenen Linien die Menge der böswilligen Pfade repräsentieren. Die hervorgehobenen roten Markierungen zeigen die wenigen überlappenden Knoten zwischen beiden an.

Dieser Graph beweist eindrucksvoll, dass die Inferenzpfade, die durch normale und böswillige Gedächtniseinträge erzeugt werden, strukturell zu zwei im Wesentlichen nicht überlappenden Mengen gehören. Weitere Berechnungen des Teams bestätigen diese Beobachtung: Die strukturelle Überlappungsrate zwischen beiden ist extrem niedrig. In allen getesteten Szenarien liegt die durchschnittliche Überlappungsrate unter 1%.

Schließlich hat das Forschungs-Team untersucht, ob dieser strukturelle Unterschied von maschinellen Lernmodellen effektiv erkannt werden kann.

Das Streudiagramm auf der rechten Seite zeigt ein Schlüsselproblem: Wenn man nur die semantische Einbettung und Dimensionsreduktion des Gedächtnisinhalts vornimmt, sind böswillige (rote Punkte) und normale (blaue Punkte) Gedächtniseinträge im Repräsentationsraum stark vermischt und nicht unterscheidbar.

Dies erklärt im Grunde, warum der Ansatz, den Gedächtnisinhalt isoliert zu prüfen, nicht funktioniert. Im Gegensatz dazu zeigt das linke Streudiagramm, dass das Analyse- und Repräsentationsobjekt nicht der ursprüngliche Gedächtnisinhalt ist, sondern die in einem bestimmten Kontext erzeugten Inferenzpfade. Wenn man diese Inferenzpfade mit unterschiedlicher logischer Struktur repräsentiert und dimensionsreduziert, bilden die zuvor vermischten guten und böswilligen Typen zwei deutlich voneinander unterscheidbare Cluster. Dieses Ergebnis beweist entscheidend, dass die Repräsentation auf der Grundlage der logischen Struktur der Inferenzpfade eine ausgezeichnete Trennbarkeit aufweist.

Diese Erkenntnisse liefern eine solide theoretische Grundlage für die Wirksamkeit von A-MemGuard: Böswillige Inferenzpfade sind strukturell unterscheidbar und können daher durch systematischen Vergleich erkannt werden.

Das obige Diagramm zeigt den Unterschied zwischen der Situation ohne Abwehr und der mit A-MemGuard.

Obere Hälfte (No Defense): Der Angreifer fügt heimlich das böswillige Gedächtnis "Dringend erscheinende E-Mails priorisieren" ein, was dazu führt, dass der Agent in die Falle einer Phishing-E-Mail gerät.

Untere Hälfte (A-MemGuard): Durch die "Konsensüberprüfung" wird die Anomalie erkannt, und die fehlerhafte Erfahrung wird in die "Lehrmeister-Gedächtnisbank" gespeichert. Schließlich wird das Verhalten korrigiert, und die Sicherheit gewährleistet.

A-MemGuard

Ein aktives, adaptives Abwehrframework

A-MemGuard führt zwei Schlüsselmechanismen ein, ohne die Kernarchitektur des Agenten zu verändern:

1. Konsensbasierte Validierung (Consensus-based Validation): Für eine Aufgabe durchsucht das System mehrere relevante Gedächtniseinträge und erzeugt für jeden Eintrag einen unabhängigen Inferenzpfad.

Indem es die Struktur dieser Pfade vergleicht, kann das System "anomale" Pfade, die von den meisten Pfaden abweichen, identifizieren und als potenzielle Bedrohung markieren. Stellen Sie sich vor, ein Mitarbeiter fragt den AI nach: "Kann ich die Kosten für meine tägliche An- und Abreise zur Arbeit für die Einkommenssteuerabzugsrechnung verwenden?"

Der AI wird sich vor der Beantwortung der Frage an einige relevante Informationen im Gedächtnis erinnern:

Selbstständige Unternehmer können die Kosten für die Anreise von zu Hause zum Büro des Kunden für die Steuerabzugsrechnung verwenden.

Die Kosten für die tägliche An- und Abreise zwischen zu Hause und dem festen Arbeitsplatz gelten als private Ausgaben und können nicht für die Steuerabzugsrechnung verwendet werden.

Die Pendelkosten von normalen Angestellten werden in der Regel von der Standardabzugsrate abgedeckt.

A-MemGuard lässt diese drei Gedächtniseinträge jeweils eine Inferenzkette bilden und ein Ergebnis erzielen.

Inferenzkette 1 -> Kann für die Steuerabzugsrechnung verwendet werden.

Inferenzkette 2 -> Kann nicht für die Steuerabzugsrechnung verwendet werden.

Inferenzkette 3 -> Kann nicht für die Steuerabzugsrechnung verwendet werden.

An diesem Punkt stellt der AI fest, dass das Ergebnis der ersten Inferenzkette von den anderen beiden vorherrschenden Urteilen abweicht. Er wird daher dem Konsens der Mehrheit folgen und die sicherere Antwort "Kann nicht für die Steuerabzugsrechnung verwendet werden" geben.

2. Doppelte Gedächtnisstruktur (Dual-Memory Structure): Die identifizierten anomalen Inferenzpfade werden zu "Lehrmeistern" zusammengefasst und in einer separaten "Lehrmeister-Gedächtnisbank" (Lesson Memory) gespeichert.

Vor nachfolgenden Entscheidungen wird der Agent diese "Lehrmeister-Bank" zuerst durchsuchen, um bewusste Fehler zu vermeiden, die Fehlerschleife zu brechen und Erfahrungen zu sammeln.

Beispielsweise wird der identifizierte "anomale Pfad: Selbstständige Unternehmer können die Kosten für die Anreise von zu Hause zum Büro des Kunden für die Steuerabzugsrechnung verwenden" nicht einfach verworfen. A-MemGuard wird ihn zu einem "Lehrmeister" zusammenfassen und in einer speziellen, separaten "Lehrmeister-Gedächtnisbank" (Lesson Memory) speichern.

Bei späteren Antworten wird der AI, wenn er wieder Fragen zu "Steuerabzügen" bekommt, zuerst in dieser "Lehrmeister-Bank" nachsehen. Wenn er dort die Notiz "Einmal fast einen Fehler gemacht, weil die Regeln für 'Selbstständige' und 'Angestellte' verwechselt wurden" findet, kann er vorsichtiger und genauer urteilen und tatsächlich aus seinen Fehlern lernen.

Experimentelle Ergebnisse

Angriffserfolgsrate um über 95% gesenkt

Experimentelle Ergebnisse: Die Angriffserfolgsrate wird um über 95% gesenkt, ohne die "Tagesarbeit" zu beeinträchtigen.

该文观点仅代表作者本人,36氪平台仅提供信息存储空间服务。

Für Presseanfragen, Content-Kooperationen, Geschäftliche Zusammenarbeit oder zur Gewinnung globaler Partner im Ökosystem, können Sie uns über folgenden Kontakte erreichen: E-Mail an mohaiying@36kr.com.
Partner:startuprad.io

(eu.36kr.com) ist ein branchenspezifisches Medium, das sich auf internationale Märkte konzentriert und Unternehmen bei ihren grenzüberschreitenden Aktivitäten mit umfassender Beratung und professionellen Dienstleistungen unterstützt.

© 2024 36kr.com. All rights reserved.