論文閱讀分析|No Attacker Needed:當共享記憶 Agent 真正出事時,污染你的不一定是攻擊者,也可能只是上一位使用者的脈絡
這篇論文把焦點從惡意 memory poisoning 轉向更接近 production 的問題:共享記憶 agent 可能把某位使用者局部正確的規則、格式與流程,錯當成通用知識套到下一位使用者身上。在 raw shared state 下, benign interaction 就能造成 57% 到 71% 的污染率。
2026 年 4 月 11 日
Memory Poisoning
2026
Poison Once, Exploit Forever 論文閱讀分析:當 Web Agent 只是在正常看網頁,記憶就可能默默替攻擊者把未來一起帶壞
這篇論文把 memory poisoning 從需要直接碰記憶庫的高前提攻擊,拉回更現實的環境污染模型:攻擊者只要讓 web agent 在某一次正常瀏覽時看見被操弄的內容,就可能讓惡意資訊被寫進長期記憶,之後在別的網站、別的任務、甚至別的 session 裡再次觸發。真正危險的不是一次注入,而是 agent 會替攻擊者把污染保存下來。
2026 年 4 月 10 日