AI-agenter og Sårbarheder
AI-agenter, der forvalter millioner af dollars i kryptovaluta, er sårbare over for et nyt usynligt angreb, hvor deres hukommelse bliver manipuleret. Dette muliggør uautoriserede overførsler til ondsindede aktører. Dette blev afdækket i en nylig undersøgelse udført af forskere fra Princeton University og Sentient Foundation, der har identificeret sårbarheder i krypto-fokuserede AI-agenter, herunder dem, der benytter det populære ElizaOS-framework.
ElizaOS: Et Populært Valg
Ifølge Princeton-uddannede Atharv Patlan, medforfatter af forskningspapiret, gjorde ElizaOS’ popularitet det til et ideelt valg for denne undersøgelse. “ElizaOS er en populær Web3-baseret agent med omkring 15.000 stjerner på GitHub, så den er meget udbredt,” sagde Patlan til Decrypt. “Det faktum, at en så udbredt agent har sårbarheder, fik os til at undersøge det nærmere.”
Oprindeligt udgivet som ai16z, blev Eliza Labs projektet lanceret i oktober 2024. Det er et open source-framework til at skabe AI-agenter, der interagerer med og opererer på blockchains, og platformen blev rebranded til ElizaOS i januar 2025.
Angrebsvektorer og Hukommelsesinjektion
En AI-agent er et autonomt softwareprogram, designet til at opfatte sit miljø, bearbejde information og træffe beslutninger for at opnå specifikke mål uden menneskelig indgriben. Ifølge undersøgelsen kan disse agenter, der ofte bruges til at automatisere finansielle opgaver, blive bedraget gennem “hukommelsesinjektion” – en ny angrebsvektor, der indfører ondsindede instruktioner i agentens vedholdende hukommelse.
“Eliza har et hukommelseslager, og vi forsøgte at indtaste falske minder gennem en anden person, der udførte injektionen på en anden social medieplatform,” forklarede Patlan.
AI-agenter, der er afhængige af sociale medier, er især sårbare over for manipulation, ifølge undersøgelsen. Angribere kan anvende falske konti og koordinerede opslag, kendt som et Sybil-angreb, for at narre agenter til at træffe forkerte handelsbeslutninger.
“En angriber kunne udføre et Sybil-angreb ved at oprette flere falske konti på platforme som X eller Discord for at manipulere markedssentimentet,” hedder det i undersøgelsen. “Ved at orkestrere koordinerede opslag, der falsk opblæser værdien af en token, kunne angriberen få agenten til at købe en ‘pumpet’ token til en kunstigt høj pris, hvilket giver angriberen mulighed for at sælge sine beholdninger.”
Resultater og Fremtidige Implikationer
En hukommelsesinjektion er et angreb, hvor ondsindede data indsættes i en AI-agents gemte hukommelse, hvilket får agenten til at huske og handle på falsk information i fremtidige interaktioner.
Patlan fortalte, at undersøgelsens resultater er blevet delt med Eliza Labs, og at der er igangværende diskussioner. Efter at have demonstreret et vellykket hukommelsesinjektionsangreb, udviklede teamet et formelt benchmarking-framework til at vurdere, om lignende sårbarheder eksisterer i andre AI-agenter. I samarbejde med Sentient Foundation udviklede forskerne CrAIBench, en benchmark, der måler AI-agenters modstandsdygtighed over for kontekstmanipulation.
“Den største udfordring var at finde ud af, hvilke værktøjer der skulle udnyttes. Vi kunne have foretaget en simpel overførsel, men vi ønskede, at det skulle være mere realistisk,” forklarede han.
Patlan understregede, at en vigtig konklusion fra forskningen er, at forsvar mod hukommelsesinjektion kræver forbedringer på flere niveauer. “Sammen med forbedringen af hukommelsessystemer, skal vi også forbedre sprogmodellerne, så de bedre kan skelne mellem ondsindet indhold og hvad brugeren faktisk ønsker,” sagde han.
Eliza Labs har endnu ikke kommenteret anmodninger fra Decrypt.
