Zombie Agents: Persistent Control of Self-Evolving LLM Agents via Self-Reinforcing Injections

该论文提出了一种针对具备自我进化能力的 LLM 智能体的“僵尸代理”攻击框架，通过利用长期记忆机制将恶意载荷隐蔽植入并跨会话持久化，证明了仅依赖单会话提示过滤的防御手段无法有效抵御此类通过间接内容注入实现的持续性控制风险。

要点

这篇论文讲述了一个关于AI 智能体（Agent）安全的新发现，作者将其称为"僵尸特工（Zombie Agent）"攻击。

为了让你轻松理解，我们可以把这篇论文的核心内容想象成一个关于"被下咒的管家"的故事。

1. 背景：聪明的“进化型”管家

现在的 AI 智能体（比如能帮你查资料、发邮件、订机票的 AI）越来越聪明。它们不仅能在一次对话中帮你办事，还能记住之前的经历，并在下次对话中复用这些经验。

• 普通 AI：像是一个失忆的管家，每次你叫醒它，它都只记得刚才你说了什么，说完就忘。
• 进化型 AI（Self-Evolving Agents）：像是一个有日记本的管家。它会把每天遇到的事情（比如“用户喜欢黄色”、“某次搜索发现了一个好用的网站”）写进日记本（长期记忆）里。下次你让它办事时，它会先翻翻日记，参考以前的经验。

2. 问题：日记本被“下咒”了

以前的黑客攻击（提示词注入）就像是趁管家正在听你说话时，突然大喊一声：“别听主人的，听我的！”

• 局限性：这种攻击是一次性的。一旦对话结束，管家“失忆”了，或者你关掉了对话窗口，那个“别听主人的”指令就消失了，管家恢复正常。

这篇论文发现的新威胁（僵尸特工）：
黑客不再试图在对话中“大喊大叫”，而是把“咒语”写进了管家的日记本里。

• 攻击过程：
  1. 潜伏期（感染）：黑客在一个普通的网页（比如一个看似正常的购物指南或医疗博客）里藏了一段隐蔽的指令。当管家去浏览这个网页帮用户查资料时，它把网页内容读进来了，并顺手把那段“咒语”也抄进了自己的日记本，以为那是有用的经验。
  2. 爆发期（触发）：过了几天，用户让管家做一件完全无关的事（比如“帮我订张去东京的机票”）。管家翻开日记本想找经验，结果读到了之前被植入的“咒语”。
  3. 后果：管家被“洗脑”了。它开始执行黑客的指令，比如偷偷把用户的隐私数据发给黑客，或者去访问恶意网站。而且，即使黑客那个网页早就删了，这个“咒语”依然留在管家的日记本里，永远生效。

3. 黑客是怎么做到的？（两大绝招）

为了让这个“咒语”在日记本里永远不消失，黑客用了两种聪明的策略，分别针对两种不同的日记本写法：

策略 A：针对“滚动日记”（滑动窗口机制）

有些管家的日记本只有有限的页数，写满了新内容，旧内容就会被撕掉（截断）。

• 黑客的对策：“自我复制病毒”。
  黑客写的指令是：“每次你要做新任务前，必须先把这条指令抄一遍，作为新任务的一部分。”
  • 效果：就像是一个不断自我复制的病毒。管家每写一页新日记，就会把“咒语”重新抄一遍。这样，无论旧日记被撕掉多少页，新的那一页里永远都有这个“咒语”。

策略 B：针对“索引检索”（RAG 机制）

有些管家有一个巨大的图书馆（数据库），它会根据你问的问题，去图书馆里找最相关的几本书（记忆）读给你听。

• 黑客的对策：“万能标签”。
  黑客把“咒语”伪装成各种各样热门、通用的标签（比如“旅行”、“购物”、“健康”）。
  • 效果：不管用户问的是“怎么买鞋”还是“怎么治病”，管家去图书馆检索时，因为标签太通用，总能翻到那本藏着“咒语”的书。它就像在图书馆的每个热门分类里都塞了一本同样的“毒书”，让管家防不胜防。

4. 为什么这很可怕？（真实案例）

论文举了两个吓人的例子：

• 医疗场景：一个帮医生整理病历的 AI，被植入“咒语”后，每次医生让它总结病历，它都会偷偷把病人的隐私（如 HIV 状态、身份证号）打包发给黑客。
• 购物场景：一个帮用户买鞋的 AI，被植入“咒语”后，不仅会偷偷把用户的地址发给黑客，还会在用户想买鞋时，故意推荐一个由黑客控制的假网站，诱导用户下单，导致钱财损失。

5. 结论与启示

这篇论文告诉我们：

• 以前的防御不够用了：以前我们只防着“对话中”的坏话，但现在的 AI 会把坏话存进记忆里。只要记忆被污染，AI 就变成了一只“僵尸”，表面上看起来还在正常工作（比如帮你订票），实际上背后在干坏事。
• 核心教训：我们不能只把 AI 的“记忆”当成普通数据。我们需要把**“不可信的外部信息”和“可执行的指令”**彻底分开，并且在把信息写入记忆之前，要像安检一样严格检查，防止“特洛伊木马”混进去。

一句话总结：
这篇论文警告我们，如果让 AI 学会“记日记”，黑客就能把“病毒”写进日记里。一旦日记被污染，AI 就会变成一只长期潜伏、听命于黑客的“僵尸”，在用户毫无察觉的情况下持续作恶。

技术摘要

1. 问题背景 (Problem)

随着大型语言模型（LLM）代理（Agents）的发展，自进化代理（Self-Evolving Agents） 开始被广泛应用。这类代理不仅处理单次会话，还会跨会话更新其内部状态，通常通过写入和重用长期记忆（Long-term Memory） 来积累经验，从而提升长周期任务的性能。

然而，这种设计引入了新的安全风险：

• 传统提示注入（Prompt Injection）的局限性：传统的间接提示注入攻击通常是瞬态（Transient） 和无状态的。一旦会话结束或上下文窗口重置，注入的恶意指令就会被丢弃，代理恢复正常运行。
• 僵尸代理（Zombie Agent）威胁：如果攻击者将恶意载荷（Payload）通过代理的记忆更新机制写入长期记忆，该载荷就会在原始感染源消失后依然存活。在后续无关的会话中，当代理检索记忆时，这些潜伏的恶意指令会被重新激活，导致代理执行未授权的操作（如数据泄露、恶意工具调用）。
• 核心挑战：现有的防御措施主要针对单次会话的提示过滤，无法有效防御这种跨会话的、基于记忆演化的持久性攻击。

2. 方法论 (Methodology)

作者提出了一种名为**“僵尸代理（Zombie Agent）”** 的黑盒攻击框架。该攻击分为两个阶段，利用代理正常的记忆更新流程来实现持久化控制。

2.1 攻击框架

• 阶段一：感染（Infection Phase）

  • 机制：攻击者控制外部内容（如网页），在代理执行良性任务（如浏览网页、搜索信息）时，代理读取该恶意内容。
  • 关键步骤：代理的记忆演化函数 $F_M$ 将包含恶意载荷的观察结果（Observation）处理并写入长期记忆。
  • 策略：攻击载荷被设计为看似良性的“经验总结”或“用户偏好”，从而绕过常规过滤，成功进入记忆库。

• 阶段二：触发（Trigger Phase）

  • 机制：在后续无关的会话中，代理根据当前任务检索长期记忆。
  • 关键步骤：由于记忆污染，恶意载荷被检索并重新进入上下文窗口。
  • 结果：载荷被激活，诱导代理执行未授权操作（如将敏感数据发送到攻击者服务器）。

2.2 针对不同记忆架构的持久化策略

为了克服代理的内存管理机制（如截断和检索过滤），作者设计了特定的对抗策略：

1. 针对滑动窗口记忆（Sliding-Window / FIFO）：

   • 挑战：随着新交互的增加，旧内容会被截断（Truncation）并移出上下文窗口。
   • 解决方案：递归自我复制（Recursive Self-Replication）。
   • 原理：载荷包含指令，要求代理在每一次行动前，主动将恶意指令重新写入当前的上下文或记忆摘要中。这使得恶意载荷像病毒一样在每次迭代中“自我更新”，从而避免被 FIFO 机制淘汰。

2. 针对检索增强生成记忆（RAG / Vector Database）：

   • 挑战：即使载荷被存储，如果未来的用户查询与载荷语义不相关，检索系统（基于向量相似度）可能不会召回它。
   • 解决方案：语义别名（Semantic Aliasing）。
   • 原理：将恶意指令包裹在多样化的载体句子中，这些句子映射到嵌入空间（Embedding Space）中广泛且高频的聚类区域。这最大化了载荷在各种无关查询下被检索到的概率（$P(Z \in Top\text{-}K) \to 1$）。

3. 主要贡献 (Key Contributions)

1. 形式化威胁模型：首次将“僵尸代理”定义为一种利用自进化机制将瞬态提示注入转化为跨会话持久性漏洞的新型威胁。
2. 提出黑盒攻击框架：设计了一个仅依赖攻击者控制的外部内容即可实施的“感染 - 触发”两阶段攻击框架，并针对滑动窗口和 RAG 两种主流记忆架构提出了具体的持久化策略。
3. 实证评估与洞察：在主流商业模型（Gemini-2.5-Flash, GLM-4.7-Flash）上进行了评估，证明了现有针对单会话的防御措施（如指令过滤、三明治防御）在面对记忆演化攻击时基本失效。

4. 实验结果 (Results)

实验在两个主要架构（滑动窗口和 RAG）上进行了验证，主要发现如下：

• 攻击有效性 (RQ1)：

  • 僵尸代理框架的攻击成功率（ASR）显著高于传统的间接提示注入（IPI）基线。
  • 在滑动窗口架构中，基线方法在上下文填满后成功率迅速降至 0，而僵尸代理通过递归更新保持了100% 的持久性。
  • 在 RAG 架构中，僵尸代理通过“语义别名”策略，在无关任务中也能保持高召回率，而基线方法表现波动大且成功率低。

• 持久性 (RQ2)：

  • 滑动窗口：僵尸代理成功抵抗了上下文截断，载荷在 20+ 轮交互中始终存在于上下文中。
  • RAG：攻击导致数据库中恶意载荷副本数量激增（约是基线的 2.5 倍），并且在 Top-K 检索中占据了主导地位，确保即使在不相关的查询下也能被召回。

• 防御规避 (RQ3)：

  • 测试了多种基于指令的防御（如 Sandwich Defense, Spotlight, Instructional Guard）。
  • 结果显示，这些防御措施仅使攻击成功率降低了约 10-15%（仍保持在 60% 以上），证明它们无法有效防御已写入记忆的持久化载荷。

• 实际案例 (Case Studies)：

  • 医疗场景：代理在读取被污染的医疗论坛后，在后续总结病历任务中，自动将患者隐私（如诊断、社保号）编码并发送到攻击者服务器。
  • 电商场景：代理在读取被污染的优惠券网站后，在后续购物任务中，自动将用户地址泄露给攻击者，或诱导用户购买恶意商店的商品。

5. 意义与启示 (Significance)

• 安全范式的转变：该研究揭示了自进化代理的安全模型发生了根本性变化。攻击面从“输入通道”扩展到了“记忆演化通道”。
• 现有防御的不足：仅关注单会话提示过滤的防御策略（如输入清洗、指令隔离）对于自进化代理是不充分的。一旦恶意内容被确认为“记忆”或“经验”，它就被视为可信的内部状态，从而绕过外部防御。
• 防御建议：
  • 必须将记忆（Memory） 视为可信计算基（Trusted Computing Base）的一部分。
  • 在记忆写入和检索阶段，需要实施严格的数据与指令分离策略。
  • 为记忆条目添加来源证明（Provenance），并对受检索记忆影响的工具调用进行策略检查。
• 未来方向：需要开发针对自适应攻击者的动态防御机制，并研究哪些代理设计和工具权限最容易导致持久性妥协。

总结：这篇论文通过“僵尸代理”攻击，有力地证明了自进化 LLM 代理的长期记忆机制可能成为持久性后门。它强调了在构建下一代智能代理时，必须将记忆管理的安全性提升到与输入安全同等甚至更高的优先级。