‍

为什么代理内存很重要

自主网络代理将自然语言指令翻译成浏览器操作，但本质上是无状态的。为了维护上下文，它们依赖于存储在客户端或第三方存储的内存，位于集中式聊天系统的安全边界之外。这造成了一个漏洞：恶意行为者可以篡改存储的上下文，而不仅仅是提示或检索到的数据。

我们之前在 Web3 中的工作

在 “带有虚假记忆的真实 AI 代理” 中，我们揭示了对 Web3 代理的上下文操纵攻击如何导致未经授权的加密转移。我们推出了针对金融代理人的150多个任务基准测试CraiBench，并在ElizaOS（Discord→Twitter）上演示了跨平台内存注入，这导致了不可逆转的资金盗窃。

‍

‍

基准计划注入和 WebVoyager-Privacy

计划注入基准 （代理-E）

• 15 个样本 × 5 分为四个类别：事实、观点、广告、隐私
• 意见任务：任务一致的成功率为94.7％，非情境任务的成功率为70.7％
• 事实任务：任务对齐的任务为 18.7%，非情境任务为 0%

‍

‍

WebVoyager-隐私基准测试

• 从 WebVoyager 数据集的 9 个域中提取了 45 个隐私任务
• LLM 精心制作的动态注入确保场景逼真

‍

‍

防御不足

我们实施了两项即时防御、明确的安全准则，并对检索到的内容进行了夹击。两者都将即时注射ASR从> 80％降低到<20％。但是，在规划时，Agent-E的单一计划注入仍然达到46％，在浏览器使用上达到63％。

保护代理内存

我们的研究结果表明，仅限即时的防御是不够的。我们建议：

• 语义完整性检查以检测和删除恶意计划步骤
• 代理架构中严格的内存隔离和可验证的上下文模块

当 Web 代理执行敏感任务时，保护其内存层对于防止上下文操作攻击至关重要。