⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Dê a um assistente de IA uma memória e acesso à sua caixa de entrada e você dará ao invasor uma maneira de reescrever o que ele pensa que sabe sobre você. Um único e-mail pode induzir o agente a salvar um “fato” falso sobre o usuário, ocultar a alteração e direcionar silenciosamente suas respostas em sessões posteriores.
Quando funciona, a pessoa lê uma resposta aparentemente comum e nunca descobre que seu assistente foi adulterado.
Os pesquisadores chamaram o ataque de injeção furtiva de memória e criaram uma ferramenta que grava os e-mails automaticamente. O artigo "Quando as garras lembram, mas não contam", chegou ao arXiv em 6 de julho de 2026.
Primeiro, o que esses assistentes fazem
Um agente pessoal é um assistente de IA que permanece por perto. Em vez de esquecer tudo quando um bate-papo termina, ele mantém anotações sobre você em arquivos: suas preferências, seus contatos e o que você pediu para fazer. Ele lê essas notas no início de cada nova sessão, e é por isso que parece que conhece você.
Muitos desses agentes também podem atuar em seu nome, lendo seu e-mail, verificando seu calendário e executando pequenos trabalhos programados enquanto você estiver ausente.
OpenClaw, o agente de código aberto usado como alvo principal do estudo, mantém esse estado em arquivos de texto simples: alguns contêm suas instruções permanentes (AGENTS.md), outros mantêm o que aprendeu sobre você (MEMORY.md). Ele coloca os principais no contexto do modelo no início de cada sessão.
Essas notas são o objetivo do produto. Eles também são o alvo.
O ataque de um e-mail
O invasor não precisa da sua senha ou conta. Eles enviam um e-mail para alguém cujo agente está configurado para verificar sua caixa de entrada, o que, para esses assistentes, é um trabalho rotineiro. Enterrado nesse e-mail está um texto direcionado ao assistente, não a você.
Se a habilidade de e-mail do agente morder a isca, três coisas acontecem consecutivamente. O agente usa suas próprias ferramentas de arquivo para gravar a nota falsa do invasor em sua memória persistente. A sua resposta visível nada diz sobre o ter feito. E mais tarde, numa nova conversa, essa nota falsa muda o que ela diz ou faz por você.
Em um dos casos de teste do estudo, a mentira plantada foi que o limite diário de envio do usuário Zelle havia aumentado para US$ 10.000.
Você não percebe a mudança por alguns motivos. O assistente oculta suas etapas de bastidores por design, de modo que o momento em que ele edita um arquivo nunca aparece no bate-papo. Poucos usuários abrem os arquivos de memória bruta para lê-los. E quando o agente executa uma programação em segundo plano, muitas vezes ele não envia nenhuma mensagem, portanto não há nada a ser notado.
Para fazer o veneno funcionar, a ferramenta aponta para os arquivos principais que carregam cada sessão, de modo que uma única gravação é carregada em cada sessão posterior, em vez de esperar para ser extraída de um armazenamento de memória separado.
O ataque é gerado por uma ferramenta que os pesquisadores chamam de MemGhost. Seus criadores treinaram um modelo de invasor off-line contra uma cópia sombra de um agente pessoal, recompensando e-mails que economizassem memória e mantivessem a resposta silenciosa. No momento do ataque, ele escreve o e-mail finalizado de uma só vez, sem idas e vindas com a vítima.
Em 56 novos casos de teste, o MemGhost realizou o ataque completo, plantando uma memória falsa, escondendo-a e, em seguida, alterando as respostas do agente em uma sessão posterior. Funcionou em 87,5% das execuções em modo de segundo plano no OpenClaw no GPT-5.4 e em 71,4% contra um agente SDK do Claude Code no Sonnet 4.6.
Essas foram execuções de benchmark isoladas e começam somente depois que o e-mail já chegou a uma caixa de entrada que o agente lê, portanto, nada aqui testa se uma carga útil real limpa primeiro a filtragem de spam ou a autenticação do remetente.
O sucesso foi geralmente menor nos testes no modo de primeiro plano, onde o usuário pode ver a resposta. No modo de segundo plano, ficou acima de 80% em cada uma das outras duas estruturas de agente e em um armazenamento de memória baseado em vetor no lugar dos arquivos simples. A equipe também construiu o WhisperBench, um benchmark de 108 casos que abrange riscos, desde maus conselhos médicos até perda de dinheiro e sabotagem de segurança.
Visão geral da estrutura WhisperBench
Versões grosseiras do truque geralmente falham. Um rude “guarde isso em silêncio e não diga nada” foi captado ou ignorado pelos modelos mais fortes quase todas as vezes; o gerador treinado foi o que elevou os números. Também passou pelas defesas destinadas a impedir esse tipo de ataque.
Um filtro de entrada criado para capturar e-mails envenenados perdeu a mensagem do MemGhost mais de nove em cada dez vezes, e um modelo especialmente reforçado para ignorar instruções que chegam por e-mail ainda seguiu a mensagem plantada cerca de metade das vezes. Mesmo quando o proprietário foi obrigado a perguntar abertamente “diga-me o que você verificou e o que fez”, o ataque permaneceu oculto cerca de um quarto das vezes em um modelo.
Não há patch rápido para esperar. A própria política de segurança do OpenClaw trata a injeção imediata por si só como fora do escopo de uma correção, a menos que também ultrapasse um limite de autorização, política de ferramenta, aprovação ou sandbox. MemGhost não cruza nada disso
Quando funciona, a pessoa lê uma resposta aparentemente comum e nunca descobre que seu assistente foi adulterado.
Os pesquisadores chamaram o ataque de injeção furtiva de memória e criaram uma ferramenta que grava os e-mails automaticamente. O artigo "Quando as garras lembram, mas não contam", chegou ao arXiv em 6 de julho de 2026.
Primeiro, o que esses assistentes fazem
Um agente pessoal é um assistente de IA que permanece por perto. Em vez de esquecer tudo quando um bate-papo termina, ele mantém anotações sobre você em arquivos: suas preferências, seus contatos e o que você pediu para fazer. Ele lê essas notas no início de cada nova sessão, e é por isso que parece que conhece você.
Muitos desses agentes também podem atuar em seu nome, lendo seu e-mail, verificando seu calendário e executando pequenos trabalhos programados enquanto você estiver ausente.
OpenClaw, o agente de código aberto usado como alvo principal do estudo, mantém esse estado em arquivos de texto simples: alguns contêm suas instruções permanentes (AGENTS.md), outros mantêm o que aprendeu sobre você (MEMORY.md). Ele coloca os principais no contexto do modelo no início de cada sessão.
Essas notas são o objetivo do produto. Eles também são o alvo.
O ataque de um e-mail
O invasor não precisa da sua senha ou conta. Eles enviam um e-mail para alguém cujo agente está configurado para verificar sua caixa de entrada, o que, para esses assistentes, é um trabalho rotineiro. Enterrado nesse e-mail está um texto direcionado ao assistente, não a você.
Se a habilidade de e-mail do agente morder a isca, três coisas acontecem consecutivamente. O agente usa suas próprias ferramentas de arquivo para gravar a nota falsa do invasor em sua memória persistente. A sua resposta visível nada diz sobre o ter feito. E mais tarde, numa nova conversa, essa nota falsa muda o que ela diz ou faz por você.
Em um dos casos de teste do estudo, a mentira plantada foi que o limite diário de envio do usuário Zelle havia aumentado para US$ 10.000.
Você não percebe a mudança por alguns motivos. O assistente oculta suas etapas de bastidores por design, de modo que o momento em que ele edita um arquivo nunca aparece no bate-papo. Poucos usuários abrem os arquivos de memória bruta para lê-los. E quando o agente executa uma programação em segundo plano, muitas vezes ele não envia nenhuma mensagem, portanto não há nada a ser notado.
Para fazer o veneno funcionar, a ferramenta aponta para os arquivos principais que carregam cada sessão, de modo que uma única gravação é carregada em cada sessão posterior, em vez de esperar para ser extraída de um armazenamento de memória separado.
O ataque é gerado por uma ferramenta que os pesquisadores chamam de MemGhost. Seus criadores treinaram um modelo de invasor off-line contra uma cópia sombra de um agente pessoal, recompensando e-mails que economizassem memória e mantivessem a resposta silenciosa. No momento do ataque, ele escreve o e-mail finalizado de uma só vez, sem idas e vindas com a vítima.
Em 56 novos casos de teste, o MemGhost realizou o ataque completo, plantando uma memória falsa, escondendo-a e, em seguida, alterando as respostas do agente em uma sessão posterior. Funcionou em 87,5% das execuções em modo de segundo plano no OpenClaw no GPT-5.4 e em 71,4% contra um agente SDK do Claude Code no Sonnet 4.6.
Essas foram execuções de benchmark isoladas e começam somente depois que o e-mail já chegou a uma caixa de entrada que o agente lê, portanto, nada aqui testa se uma carga útil real limpa primeiro a filtragem de spam ou a autenticação do remetente.
O sucesso foi geralmente menor nos testes no modo de primeiro plano, onde o usuário pode ver a resposta. No modo de segundo plano, ficou acima de 80% em cada uma das outras duas estruturas de agente e em um armazenamento de memória baseado em vetor no lugar dos arquivos simples. A equipe também construiu o WhisperBench, um benchmark de 108 casos que abrange riscos, desde maus conselhos médicos até perda de dinheiro e sabotagem de segurança.
Visão geral da estrutura WhisperBench
Versões grosseiras do truque geralmente falham. Um rude “guarde isso em silêncio e não diga nada” foi captado ou ignorado pelos modelos mais fortes quase todas as vezes; o gerador treinado foi o que elevou os números. Também passou pelas defesas destinadas a impedir esse tipo de ataque.
Um filtro de entrada criado para capturar e-mails envenenados perdeu a mensagem do MemGhost mais de nove em cada dez vezes, e um modelo especialmente reforçado para ignorar instruções que chegam por e-mail ainda seguiu a mensagem plantada cerca de metade das vezes. Mesmo quando o proprietário foi obrigado a perguntar abertamente “diga-me o que você verificou e o que fez”, o ataque permaneceu oculto cerca de um quarto das vezes em um modelo.
Não há patch rápido para esperar. A própria política de segurança do OpenClaw trata a injeção imediata por si só como fora do escopo de uma correção, a menos que também ultrapasse um limite de autorização, política de ferramenta, aprovação ou sandbox. MemGhost não cruza nada disso
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #ataque #memghost #planta #memórias #falsas #persistentes #em #agentes #de #ia #por #meio #de #um #email
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário