MemGhost: técnica automatizada injeta memórias falsas persistentes em agentes de IA por um único e-mail

MemGhost: técnica automatizada injeta memórias falsas persistentes em agentes de IA por um único e-mail

Pesquisa descreve stealth memory injection contra agentes com memória persistente como o OpenClaw, gravando fatos falsos nos arquivos de contexto que são carregados em cada nova sessão, com até 87,5% de sucesso em modo background.

ComponenteAgentes de IA pessoais com memória persistente, tendo como alvo primário o OpenClaw open-source (arquivos texto AGENTS.md e MEMORY.md) sobre GPT-5.4, além de um agente Claude Code SDK sobre Sonnet 4.6 e um armazenamento de memória baseado em vetor.
VetorE-mail único cujo corpo contém texto direcionado ao agente e não ao usuário; quando a skill de leitura de e-mail aceita o conteúdo, o próprio agente usa suas ferramentas de escrita de arquivo para gravar uma nota falsa nos arquivos de contexto carregados a cada sessão. Pré-condição: a mensagem já chega a uma caixa que o agente lê, sem teste de filtro de spam ou autenticação de remetente.
ImpactoGravação persistente de um fato falso na memória do agente, ocultação da alteração na resposta visível e direcionamento das respostas e ações em sessões posteriores. Em um caso de teste, a mentira plantada foi que o limite diário de envio via Zelle do usuário teria subido para US$ 10.000. O efeito documentado é manipulação de contexto durável e das saídas do agente, não exfiltração de dados.
PrioridadeSeparar a leitura de e-mail não confiável da capacidade de escrita em memória; rotear correio externo por um agente leitor isolado, sem ferramentas de memória, arquivo ou shell; exigir confirmação e registrar proveniência e logs antes de qualquer escrita em memória durável.
Resumo técnico

Pesquisadores descreveram uma técnica ofensiva batizada de stealth memory injection, operacionalizada por uma ferramenta chamada MemGhost, que planta memórias falsas e persistentes em agentes de IA com estado. O trabalho, intitulado "When Claws Remember but Do Not Tell", foi publicado no arXiv em 6 de julho de 2026. O ponto central é que agentes pessoais mantêm notas sobre o usuário entre sessões e as carregam automaticamente no início de cada conversa; essas notas, que dão a sensação de continuidade ao produto, tornam-se o próprio alvo do ataque.

O alvo primário do estudo foi o OpenClaw, um agente open-source que guarda seu estado em arquivos texto: instruções permanentes em AGENTS.md e aprendizado sobre o usuário em MEMORY.md. Em 56 casos de teste novos, a MemGhost completou a cadeia inteira — plantar a memória falsa, ocultar a operação e enviesar respostas em uma sessão posterior. A taxa de sucesso ficou em 87,5% nas execuções em modo background contra o OpenClaw sobre GPT-5.4 e em 71,4% contra um agente Claude Code SDK sobre Sonnet 4.6. Trata-se de resultado de laboratório, executado em ambientes selados com caixas de entrada e usuários fictícios.

Fluxo técnico

O acionamento não depende de senha nem de acesso à conta da vítima. Para esses assistentes, checar a caixa de entrada é tarefa rotineira, muitas vezes agendada em background enquanto o usuário está ausente. O e-mail carrega texto endereçado ao agente. Se a skill de e-mail aceita o conteúdo, três passos ocorrem em sequência: o agente usa suas próprias ferramentas de arquivo para escrever a nota falsa em sua memória persistente; a resposta visível nada informa sobre a edição; e, em uma conversa futura, essa nota altera o que o agente diz ou faz. Para maximizar a persistência, a ferramenta mira os arquivos de núcleo carregados a cada sessão, de modo que uma única escrita passe a valer em todas as sessões seguintes.

A MemGhost é gerada por um modelo atacante treinado offline contra uma cópia-sombra do agente pessoal, recompensando e-mails que conseguem salvar a memória mantendo a resposta silenciosa; no momento do ataque, o e-mail final é escrito em um único disparo, sem interação com a vítima. A ocultação é favorecida pelo desenho dos próprios agentes, que mantêm a atividade de ferramentas fora do chat; poucos usuários abrem os arquivos brutos de memória; e execuções em background frequentemente não emitem mensagem alguma. Versões grosseiras da técnica, como um pedido direto de "salve isto em silêncio", foram detectadas ou ignoradas pelos modelos mais fortes na maioria das vezes — foi o gerador treinado que elevou os números. As execuções de benchmark eram isoladas e começavam somente após o e-mail já ter alcançado a caixa lida pelo agente, portanto não avaliam se um payload real superaria filtragem de spam ou autenticação de remetente.

Superfície afetada

A configuração exposta é qualquer agente que, ao mesmo tempo, lê correio não confiável e pode escrever na própria memória sem pedir aprovação. O comportamento não ficou restrito ao alvo primário: em modo background, a taxa permaneceu acima de 80% em dois outros frameworks de agente e também quando o armazenamento em arquivos texto foi substituído por um memory store baseado em vetor. O sucesso foi, em geral, menor em modo foreground, onde o usuário vê a resposta.

  • OpenClaw sobre GPT-5.4, com estado em arquivos texto plano AGENTS.md e MEMORY.md.
  • Agente Claude Code SDK sobre Sonnet 4.6, com sucesso de 71,4% em background.
  • Dois frameworks de agente adicionais, mantendo sucesso acima de 80% em background.
  • Armazenamento de memória baseado em vetor no lugar dos arquivos texto, também comprometido em background.
Hunting e telemetria

A detecção é difícil por construção, já que agentes capazes tendem a manter a atividade de ferramentas fora do chat; o único modelo que se entregou fez isso ao imprimir seus passos intermediários na resposta. As defesas testadas foram insuficientes: um filtro de entrada projetado para capturar e-mails envenenados deixou passar a mensagem da MemGhost em mais de nove de cada dez casos, e um modelo especialmente endurecido para ignorar instruções chegadas por e-mail ainda seguiu a instrução plantada cerca de metade das vezes. Mesmo quando o dono perguntava diretamente o que havia sido verificado e feito, o ataque permaneceu oculto em torno de um quarto das vezes em um dos modelos. A caça deve, portanto, focar na proveniência das escritas de memória, e não apenas no texto de resposta.

  • Escritas em MEMORY.md e AGENTS.md correlacionadas temporalmente a execuções disparadas por leitura de e-mail.
  • Execuções em background sem mensagem de saída que, ainda assim, editam arquivos de contexto do agente.
  • Divergência entre o conteúdo atual da memória durável e o histórico de conversas aprovado pelo usuário.
  • Notas de memória cuja origem não pode ser rastreada a uma solicitação explícita do usuário (ausência de tag de proveniência).
Mitigação

Não há correção rápida para aguardar: a política de segurança do próprio OpenClaw trata prompt injection isolado como fora de escopo para correção, a menos que também cruze um limite de autorização, política de ferramenta, aprovação ou sandbox — e a técnica não cruza nenhum deles, pois opera pela própria ferramenta de escrita de memória do agente. Os autores do estudo defendem que a correção precisa viver dentro do agente: marcar a origem de cada informação, pedir confirmação ao usuário antes que algo alcance a memória durável e registrar toda escrita. O OpenClaw confirmou essa posição, contestou o modo como o experimento configurou o agente e afirmou avaliar controles de escrita de memória para conteúdo externo, incluindo proveniência, logs de auditoria e prompts de confirmação, além de recomendar rotear e-mail não confiável por um agente leitor separado, despido de ferramentas de memória, arquivo e shell, que repassa apenas um resumo — arranjo que o artigo não testou. O fornecedor também argumenta que o nível do modelo importa, apontando que o desafio público HackMyClaw resistiu a milhares de e-mails de injeção contra um agente sobre Opus 4.6, embora aquele teste tenha mirado roubo de dados, e não envenenamento de memória.

Para contexto histórico e defensivo, a técnica se soma a casos anteriores: em 2024, o pesquisador Johann Rehberger demonstrou manualmente a escrita de instruções na memória de longo prazo do ChatGPT via conteúdo web envenenado, batizada de SpAIware, com a OpenAI fechando o caminho de vazamento, mas não a capacidade de escrever memória a partir de conteúdo não confiável; e em junho de 2025 o EchoLeak (CVE-2025-32711), divulgado pela Aim Security, usou um e-mail com texto oculto para fazer o Microsoft 365 Copilot entregar dados internos quando o usuário fazia uma pergunta comum, classificado como crítico e corrigido pela Microsoft, sem abuso reportado no mundo real. O diferencial da MemGhost é a persistência automatizada.

  • Manter separadas as duas capacidades: leitura de correio não confiável e escrita em memória própria do agente.
  • Encaminhar e-mail externo por um agente leitor isolado, sem ferramentas de memória, arquivo ou shell, repassando apenas um resumo ao agente principal.
  • Exigir confirmação do usuário e registrar proveniência e logs de auditoria antes de qualquer gravação em memória durável.
  • Limitar o que uma execução disparada por e-mail pode alterar e revisar os arquivos de memória após a chegada de mensagens suspeitas.

Postar um comentário

0 Comentários