MemoryGraft: Dauerhafter Kompromiss von LLM-Agenten durch verseuchte Erinnerungen

Moderne Sprachmodelle nutzen zunehmend Langzeitgedächtnis und Retrieval‑Augmented Generation (RAG), um Erfahrungen zu speichern und ihr Verhalten zu verbessern. Diese Fähigkeit erhöht zwar die Autonomie der Agenten, eröffnet aber gleichzeitig ein bislang unerforschtes Angriffsfront: die Vertrauensgrenze zwischen dem Kern des Agenten und seinem eigenen Gedächtnis.

In der neuen Studie wird MemoryGraft vorgestellt – ein indirekter Injektionsangriff, der Agenten nicht sofort jailbreakt, sondern durch das Einpflanzen schädlicher, erfolgreicher Erfahrungen in ihr Langzeitgedächtnis kompromittiert. Im Gegensatz zu klassischen Prompt‑Injektionen, die nur temporär wirken, oder zu RAG‑Poisoning‑Attacken, die Faktenwissen manipulieren, nutzt MemoryGraft die semantische Imitationsheuristik der Agenten. Diese Heuristik führt dazu, dass Agenten Muster aus abgerufenen erfolgreichen Aufgaben übernehmen.

Der Angreifer liefert scheinbar harmlose Artefakte, die der Agent während der Ausführung liest. Dadurch entsteht ein verseuchter RAG‑Store, in dem ein kleiner Satz bösartiger Prozedurvorlagen zusammen mit harmlosen Erfahrungen gespeichert wird. Später, wenn der Agent ähnliche Aufgaben begegnet, werden diese verseuchten Erinnerungen zuverlässig über lexikalische und Einbettungsähnlichkeit abgerufen. Der Agent übernimmt dann die eingebetteten, unsicheren Muster, was zu einem dauerhaften Verhaltensdrift über mehrere Sitzungen hinweg führt.

Die Autoren haben MemoryGraft am DataInterpreter‑Agenten von MetaGPT mit GPT‑4o getestet. Bereits wenige verseuchte Datensätze führten dazu, dass ein großer Anteil der abgerufenen Erfahrungen manipuliert war, was die Persistenz und Effektivität des Angriffs unterstreicht. Diese Ergebnisse zeigen, dass die Sicherheit von LLM‑Agenten nicht nur auf Prompt‑Design, sondern auch auf die Integrität ihres Langzeitgedächtnisses achten muss.