Может ли одно письмо навсегда изменить память вашего ИИ-помощника — и вы об этом не узнаете?

Шестого июля 2026 года на arXiv появилась работа под названием "When Claws Remember but Do Not Tell" — «Когда клешни помнят, но молчат». Авторы описали атаку, которую назвали скрытной инъекцией в память (stealth memory injection), и построили инструмент MemGhost для её автоматизации. Заодно они собрали бенчмарк WhisperBench — 108 тестовых случаев, от плохих медицинских советов до потери денег и саботажа систем безопасности. Суть находки простая и неприятная: одно вредоносное письмо способно заставить ИИ-ассистента записать в свою долговременную память ложный «факт», скрыть сам момент записи, а затем использовать эту выдумку для влияния на ответы и действия в будущих сессиях. Пользователь при этом ничего не замечает.
Чтобы понять, почему это работает, нужно вспомнить, как устроены персональные агенты. Такой ассистент не забывает пользователя между сессиями — он хранит заметки о предпочтениях, контактах, задачах и подгружает их заново при каждом запуске. Многие агенты действуют автономно: читают почту, проверяют календарь, выполняют фоновые задачи по расписанию. Основной подопытный в исследовании — открытый агент OpenClaw. Он хранит состояние в обычных текстовых файлах: с постоянными инструкциями и с выученными фактами о пользователе. Оба файла подтягиваются в контекст модели при старте каждой сессии — именно это и делает их удобной мишенью.
Механика атаки укладывается в три шага. Злоумышленник отправляет письмо жертве, чей агент регулярно проверяет почту. Внутри письма спрятан текст, адресованный не человеку, а именно ИИ. Если почтовый навык агента «клюёт», происходит следующее: агент своими же файловыми инструментами записывает ложную заметку в постоянную память; видимый пользователю ответ ничего об этом не говорит; а в следующей, уже свежей сессии ложная память меняет то, что агент советует или делает. В качестве тестового примера исследователи подсадили ложь о том, что дневной лимит переводов через Zelle у пользователя якобы подняли до 10 000 долларов.
Почему это остаётся незамеченным? Агенты по конструкции прячут закулисные шаги — правки файлов не отображаются в чате. Мало кто из пользователей вообще открывает сырые файлы памяти. Фоновые и запланированные запуски часто вовсе не порождают видимого сообщения. А главное — атака бьёт по базовым файлам, которые загружаются при каждой сессии, а не по какому-то отдельному хранилищу памяти, поэтому эффект держится долго.
MemGhost обучался офлайн против теневой копии персонального агента: система вознаграждения поощряла те письма, после которых запись в память состоялась, а ответ остался тихим. В момент самой атаки инструмент пишет готовое письмо одним заходом, без переписки с жертвой. На 56 свежих тестовых случаях MemGhost довёл полную цепочку — подсадить, скрыть, повлиять на будущий ответ — до успеха в 87,5% фоновых запусков против OpenClaw на GPT-5.4. Против агента на базе Claude Code SDK с моделью Sonnet 4.6 показатель составил 71,4%. В режиме «на виду», когда пользователь может увидеть ответ, успех атаки заметно падал. Зато в фоновом режиме он держался выше 80% ещё на двух других агентных фреймворках и на векторном хранилище памяти вместо обычных файлов.
Тут стоит сделать оговорку: это изолированные прогоны бенчмарка. Тестирование начиналось уже после того, как письмо попадало в почтовый ящик, который агент читает. Никто не проверял, прошёл бы такой пейлоад спам-фильтры или проверку подлинности отправителя в реальных условиях.
Показательно сравнение с грубыми попытками. Прямолинейный запрос вида «сохрани это тихо и ничего не говори» сильнейшие модели ловили и игнорировали почти всегда. Именно обученный генератор MemGhost позволил обойти защиты, рассчитанные именно на такие атаки. И даже когда пользователь напрямую спрашивал агента: «расскажи, что ты проверял и что делал» — атака оставалась скрытой примерно в четверти случаев на одной из моделей.
OpenClaw отреагировал на публикацию довольно жёстко. Их политика безопасности считает инъекцию промпта саму по себе вне зоны исправлений — если только она не пересекает границу авторизации, политики инструментов, подтверждения или песочницы. MemGhost, по их оценке, ни одну из этих границ не пересекает — атака работает через собственный инструмент агента для записи в память. Компания подтвердила эту позицию изданию The Hacker News и раскритиковала постановку эксперимента: их рекомендации по безопасности предполагают, что недоверенная почта должна идти через отдельного агента-читателя, лишённого доступа к памяти, файлам и командной оболочке, а основному агенту передаётся только краткое содержание. Такую конфигурацию авторы статьи не тестировали. Ещё один аргумент OpenClaw — уровень модели: тесты проводились на GPT-5.4, а более сильную Claude Opus 4.6 авторы не проверяли из соображений стоимости. В качестве контраргумента компания сослалась на публичный челлендж HackMyClaw, где тысячи писем с инъекциями так и не смогли извлечь секрет из агента на Opus 4.6. Правда, HackMyClaw проверял кражу данных, а не отравление памяти — так что прямого опровержения тут нет. При этом OpenClaw признал, что рассматривает контроль записи в память для внешнего контента: отслеживание происхождения информации, журналы аудита, запросы подтверждения — то есть примерно то, что и рекомендуют авторы статьи.
Сами исследователи предлагают шесть мер. Помечать происхождение каждой записи. Спрашивать пользователя перед тем, как что-либо попадёт в постоянную память. Логировать каждую запись. Структурно разделять чтение недоверенной почты и возможность писать в память. Если полное разделение невозможно — ограничивать, что вообще может изменить запуск, вызванный письмом. И проверять файлы памяти после любого подозрительного события. Сейчас уязвим любой агент, который одновременно читает недоверенную почту и может писать в собственную память без подтверждения.
У этой истории есть предшественники. В 2024 году исследователь Йоханн Ребергер описал атаку SpAIware против ChatGPT: инструкции подсаживались в долговременную память через отравленный веб-контент, заставляя модель утекать пользовательские данные в будущих чатах. OpenAI закрыла именно путь утечки данных, но сама возможность записи памяти из недоверенного контента осталась. В 2025 году появился EchoLeak (CVE-2025-32711) — первый подобный случай в реальном продукте. Компания Aim Security раскрыла уязвимость в июне 2025 года: одно письмо со скрытым текстом заставляло Microsoft 365 Copilot выдавать внутренние корпоративные данные, когда пользователь позже задавал обычный вопрос. Microsoft присвоила уязвимости критический рейтинг и выпустила патч; о реальных случаях эксплуатации не сообщалось, хотя позже вышел разбор того, как атака обходила фильтры Copilot.
Ключевое отличие MemGhost — персистентность. Атака Ребергера требовала ручной подсадки. EchoLeak утекал данные только в момент самого запроса. MemGhost же автоматически создаёт ложную память, которая переживает исходное письмо и продолжает влиять на сессии спустя долгое время после того, как письмо давно удалено или забыто.
Авторы прямо оговаривают: это лабораторный результат, а не описание реального взлома. Тестирование велось в изолированных средах с фейковыми почтовыми ящиками и фейковыми пользователями, против реальных людей ничего не применялось. Исследователи планируют раскрыть находки, паттерны атаки и сам бенчмарк производителям затронутых агентов и моделей. Скрытность отчасти сохраняется именно потому, что мощные агенты изначально спроектированы прятать активность инструментов из видимого чата — лишь одна из моделей в тестах случайно выдала себя, напечатав промежуточные шаги прямо в ответе. Авторы ожидают, что с развитием агентов обнаруживать такие вмешательства станет только труднее.
Как формулируют сами исследователи: проблема прямее, чем кажется, — сообщение извне превратилось в устойчивый, доверенный контекст внутри агента, причём не было ни одного видимого момента, где кто-то это одобрил.


Новое на сайте

Ссылка