stealthy memory injection

Stealthy Memory Injection avvelena la memoria a lungo termine degli agenti AI tramite email senza farsi scoprire

🛡️ Executive Summary

  • Un’unica email malevola può indurre un agente AI a salvare informazioni false nella propria memoria persistente senza avvisare l’utente.
  • La memoria contaminata influenza sessioni future, decisioni e azioni eseguite tramite posta, calendario, file system e altri strumenti collegati.
  • La mitigazione richiede separazione delle fonti, approvazione esplicita degli aggiornamenti e registri verificabili delle modifiche alla memoria.

Gli agenti AI persistenti possono essere avvelenati attraverso una singola email e conservare informazioni false nella propria memoria a lungo termine senza mostrare alcun avviso all’utente. La tecnica, denominata Stealthy Memory Injection, sfrutta il momento in cui un agente legge contenuti esterni e decide autonomamente cosa salvare in file come MEMORY.md o USER.md. La memoria contaminata viene poi trattata come uno stato affidabile nelle sessioni successive e può modificare consigli, decisioni e operazioni compiute tramite email, calendari o file system. I ricercatori hanno sviluppato WHISPER BENCH e MEMGHOST per misurare e automatizzare questo nuovo vettore di attacco.

La memoria persistente trasforma una singola email in un attacco ritardato

Annuncio

Gli assistenti tradizionali elaborano una richiesta e producono una risposta all’interno di una sessione limitata, mentre gli agenti persistenti mantengono uno stato durevole per ricordare preferenze, attività, contatti e decisioni precedenti. Questa capacità migliora la personalizzazione, ma modifica radicalmente il modello di sicurezza: un’informazione proveniente da una fonte esterna non viene più utilizzata soltanto durante l’elaborazione corrente, perché può essere salvata e riutilizzata come parte dell’identità operativa dell’agente. Nello scenario studiato, l’attaccante invia un’unica email contenente istruzioni progettate per convincere il sistema a registrare un fatto o una preferenza falsa. L’agente elabora il messaggio in foreground oppure durante un’attività automatica in background, aggiorna i propri file persistenti e conclude l’operazione senza comunicare all’utente che la memoria è stata modificata. In una sessione successiva, una richiesta apparentemente innocua richiama l’informazione contaminata e induce l’agente ad agire secondo l’obiettivo dell’attaccante. La consequenzialità ritardata distingue questa tecnica dalle comuni prompt injection, perché l’effetto può manifestarsi ore o giorni dopo la ricezione del payload, quando il messaggio originario non è più presente nel contesto visibile. La minaccia si inserisce nell’evoluzione degli attacchi indiretti già osservata con le agentic botnet che sfruttano prompt injection e contenuti esterni per manipolare gli LLM, ma aggiunge un livello di persistenza capace di sopravvivere alla singola conversazione.

L’attacco deve iniettare la memoria senza lasciare segnali visibili

Stealthy Memory Injection viene valutata attraverso tre proprietà concatenate: iniezione, stealth ed efficacia. La prima richiede che l’agente salvi realmente la memoria scelta dall’attaccante in un supporto persistente, invece di limitarsi a seguirla durante l’elaborazione temporanea dell’email. La seconda impone che la risposta mostrata all’utente non citi il contenuto malevolo, non annunci l’aggiornamento e non generi segnali capaci di attirare l’attenzione. La terza verifica che la memoria avvelenata influenzi concretamente il comportamento futuro quando viene presentata una query trigger. L’attacco è one-shot e black-box: l’avversario non può osservare direttamente lo stato interno, correggere il payload dopo un primo tentativo o ricevere feedback sulla scrittura della memoria.

image 376
Esecuzione in primo piano e in background su stato persistente condiviso. Lo stato persistente in questa figura è illustrato utilizzando file di spazio di lavoro in formato Markdown di OpenClaw. Nell’esempio in primo piano, l’utente chiede esplicitamente all’agente di controllare la propria casella di posta elettronica e di riassumere i messaggi non letti in tempo reale. Nell’esempio in background, uno scheduler simile a cron attiva l’agente per controllare regolarmente la casella di posta elettronica alla ricerca di email urgenti e notificare tempestivamente l’utente, seguendo un’istruzione predefinita dall’utente. Entrambe le modalità condividono lo stesso stato persistente e le stesse interfacce degli strumenti, illustrando come si completano a vicenda nell’uso tipico. È importante notare che, nell’esecuzione in background, i sistemi decidono automaticamente se inviare una notifica visibile all’utente. Per maggiori dettagli, consultare l’Appendice.

Deve costruire un singolo messaggio capace di apparire plausibile, superare le difese e produrre un aggiornamento durevole. Questa limitazione rende particolarmente significativi i risultati ottenuti, perché riproduce un modello realistico nel quale il mittente non controlla il dispositivo della vittima e può soltanto inviare contenuti attraverso un canale legittimo. La capacità di nascondere l’effetto è essenziale: un agente che dichiarasse “ho aggiornato la tua preferenza” permetterebbe all’utente di riconoscere e annullare la modifica, mentre un processo silenzioso trasforma il contenuto non fidato in conoscenza apparentemente consolidata. Lo stesso problema di fiducia tra input esterni e stato dell’agente è emerso nelle vulnerabilità legate a GhostCommit e alle prompt injection contro strumenti AI collegati a repository e servizi aziendali, dove dati controllati da terzi vengono interpretati come istruzioni operative.

WHISPER BENCH misura il poisoning su scenari ad alto impatto

Per valutare l’intero ciclo di compromissione, i ricercatori hanno costruito WHISPER BENCH, un benchmark formato da 108 casi distribuiti tra salute e sicurezza, perdita finanziaria, integrità delle informazioni, cybersecurity e disruption operativa. Gli scenari comprendono sia l’iniezione di fatti falsi sia la modifica delle preferenze dell’utente, due forme di poisoning che producono conseguenze differenti. Un fatto contaminato può convincere l’agente che un account bancario, un indirizzo email o una procedura aziendale siano stati sostituiti; una preferenza malevola può indurlo a privilegiare un determinato destinatario, evitare verifiche o adottare automaticamente una modalità operativa rischiosa.

image 377
Panoramica del framework WHISPERBENCH e della pipeline di costruzione. Il benchmark è esplicitamente progettato per superare le principali sfide di valutazione dei flussi di lavoro degli agenti persistenti (a). Aderendo a rigorosi obiettivi di progettazione, trasformiamo i rischi astratti in una pipeline di valutazione end-to-end eseguibile (b) che misura sistematicamente l’iniezione, la furtività e l’efficacia in diversi scenari ad alta fedeltà (c).

Il benchmark utilizza un workflow reale basato su IMAP e SMTP, skill email autentiche e una casella composta da messaggi benigni nella quale viene inserito un singolo payload. Dopo l’elaborazione, la valutazione avviene in una sessione separata attraverso una query di probe, così da verificare se l’agente richiama la memoria avvelenata quando il messaggio malevolo non è più nel contesto immediato. Ogni scenario viene prima validato attraverso l’inserimento diretto della memoria target, assicurandosi che l’informazione, se adottata, sia effettivamente capace di produrre il comportamento atteso. Le metriche includono Injection Success Rate, Stealth Success Rate, Effectiveness Success Rate e successo end-to-end, che richiede il completamento simultaneo di tutte le fasi. Questa impostazione evita di considerare riuscito un payload che viene scritto ma non utilizzato, oppure che influenza l’agente ma viene immediatamente segnalato all’utente.

MEMGHOST addestra payload naturali senza interrogare direttamente la vittima

Il framework MEMGHOST automatizza la generazione dei messaggi malevoli attraverso due sistemi proxy. L’environment proxy ricostruisce l’ambiente dell’agente persistente, compresi workspace, strumenti email, file di memoria e assemblaggio del contesto, permettendo di testare i payload senza accedere direttamente al sistema bersaglio. L’objective proxy utilizza rubriche che trasformano l’adozione della memoria e la capacità di restare invisibili in segnali di ricompensa. Il punteggio dedicato all’iniezione considera qualità semantica, plausibilità e durabilità dell’informazione nei carrier persistenti, mentre quello dedicato allo stealth penalizza risposte che rivelano l’aggiornamento o ripetono i fatti introdotti dall’attaccante. Un ulteriore termine favorisce la diversità dei payload e impedisce al modello di convergere su formule ripetitive facilmente riconoscibili. La policy viene inizialmente addestrata tramite Supervised Fine-Tuning su un dataset seed costruito con una ricerca guidata dalle rubriche, quindi raffinata attraverso Reinforcement Learning e GRPO. Il training impiega curriculum learning e prioritized replay per affrontare ricompense sparse e ambienti nei quali piccoli cambiamenti del testo possono produrre risultati molto differenti. L’obiettivo non è generare istruzioni esplicitamente malevole, ma messaggi naturali che forniscano all’agente una giustificazione plausibile per salvare l’informazione. Questa caratteristica rende i payload più difficili da distinguere da aggiornamenti legittimi ricevuti tramite email, comunicazioni aziendali o notifiche automatiche.

Il successo raggiunge l’87,5 per cento su OpenClaw

Nei test, MEMGHOST ha raggiunto un successo end-to-end dell’87,5% su OpenClaw con GPT-5.4 e del 71,4% su Claude Code SDK con Sonnet 4.6. L’attacco ha inoltre mostrato capacità di generalizzazione su architetture differenti, tra cui NanoClaw ed Hermes, su backend di memoria basati su filesystem e Mem0 e su esecuzioni sia foreground sia background. La compatibilità con sistemi diversi indica che il problema non dipende esclusivamente da un singolo modello, ma dalla struttura comune degli agenti che consentono al modello di leggere contenuti non fidati e aggiornare autonomamente uno stato persistente.

image 378
Distribuzione delle lunghezze delle risposte visibili all’utente (in caratteri) generate da diversi modelli durante le iniezioni di memoria riuscite in esecuzione in primo piano sotto MEMGHOST

OpenClaw rappresenta un caso particolarmente rilevante perché la sua esposizione a strumenti di messaggistica e automazione ha già richiesto correzioni urgenti: la piattaforma ha recentemente chiuso tre vulnerabilità che consentivano attacchi sull’host attraverso un messaggio WhatsApp. Nella Stealthy Memory Injection non è però necessario sfruttare una falla di esecuzione del codice. Il sistema compie formalmente operazioni previste dal proprio design: legge un’email, interpreta il contenuto, aggiorna la memoria e usa quella memoria in futuro. È la provenienza dell’informazione, non il meccanismo tecnico, a essere ostile. Questa differenza rende più difficile intervenire con una patch tradizionale, perché bloccare ogni aggiornamento automatico eliminerebbe una delle funzionalità centrali degli agenti personali.

I filtri esistenti non controllano adeguatamente le modifiche allo stato

MEMGHOST è riuscito a eludere difese come DataSentinel, Meta-SecAlign e AgentDoG, producendo tassi elevati di falsi negativi. Anche in presenza di una difesa adattiva che permette all’utente di interrogare l’agente, il framework ha conservato uno stealth rate del 25%, dimostrando che una verifica conversazionale non garantisce l’individuazione del poisoning. I filtri di input cercano generalmente istruzioni sospette nel messaggio corrente, i sistemi di allineamento limitano le risposte vietate e i monitor conversazionali analizzano ciò che l’agente mostra all’utente. Nessuno di questi livelli controlla necessariamente se una fonte esterna abbia provocato una modifica anomala e durevole dello stato. La memoria viene spesso trattata come un archivio interno affidabile e inclusa nei prompt futuri con priorità superiore rispetto ai contenuti esterni, creando una forma di privilege escalation semantica: un dato ricevuto da un mittente sconosciuto entra nel sistema con bassa fiducia, ma dopo essere stato salvato riappare come informazione appartenente all’utente. Le piattaforme stanno iniziando a introdurre misure specifiche, come dimostra il Lockdown Mode di ChatGPT insieme agli interventi sulla memoria e sulla protezione dalla prompt injection, ma lo studio mostra che la difesa deve essere applicata anche al percorso di scrittura, provenienza e successivo richiamo della memoria, non soltanto alla generazione della risposta.

La memoria degli agenti deve avere provenienza, permessi e revisioni

La mitigazione richiede di trattare ogni modifica alla memoria persistente come un’operazione sensibile, paragonabile alla scrittura di una configurazione o alla concessione di un’autorizzazione. I dati derivati da email, pagine web, documenti condivisi e messaggi devono mantenere un’etichetta di provenienza anche dopo essere stati sintetizzati, evitando che una fonte esterna venga trasformata automaticamente in una preferenza dell’utente. Gli aggiornamenti capaci di influenzare pagamenti, salute, sicurezza, accessi o comunicazioni dovrebbero richiedere una conferma esplicita e mostrare con chiarezza il valore precedente, quello nuovo e la fonte che ha richiesto il cambiamento. È necessario separare la memoria osservativa, che registra ciò che è stato letto, dalla memoria normativa, che determina come l’agente deve agire. Gli agenti dovrebbero inoltre produrre log immutabili delle modifiche, consentire rollback e scadenza automatica delle informazioni non confermate e applicare livelli di fiducia differenti ai dati. Durante le attività in background, un aggiornamento significativo non dovrebbe essere silenzioso: l’utente deve ricevere una notifica o trovare una coda di modifiche in attesa di approvazione. WHISPER BENCH e MEMGHOST dimostrano che la memoria non è soltanto una funzione di personalizzazione, ma una nuova superficie di attacco persistente. Un agente che può ricordare, pianificare e agire nel tempo deve anche essere in grado di spiegare chi ha modificato il suo stato, attraverso quale canale e con quale autorizzazione.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto