Elizaos的漏洞揭示AI如何面临数百万美元损失的风险

管理着数百万美元加密货币的AI代理，正面临一种新型攻击威胁。这种攻击能够操纵其记忆系统，从而导致未经授权的资金转移至恶意行为者手中。

根据最近的一项研究，普林斯顿大学的研究人员与Sectient Foundation合作，针对Elizaos框架进行了深入分析。

参与撰写该论文的普林斯顿大学研究生Atharv Patlan表示，Elizaos的广泛使用使其成为研究的理想对象。

Patlan在接受Decrypt采访时表示：“这种被广泛使用的代理存在漏洞的事实促使我们进一步探索其风险。”

Eliza Labs最初以AI16Z项目于2024年10月启动，并于2025年1月更名为Elizaos。这是一个开源框架，用于创建与区块链交互并运行的AI代理。

一个AI代理是一种自主软件程序，旨在感知环境、处理信息并采取行动以实现特定目标，而无需人工干预。研究表明，这些代理在自动化区块链平台财务任务时，容易受到“记忆注入”攻击的影响。这是一种新型攻击手段，通过将恶意指令嵌入代理的持久记忆中，诱导其做出错误决策。

Patlan解释说：“Elizaos有一个内存存储系统，我们尝试通过模拟其他社交媒体平台上的虚假记忆注入来进行攻击测试。”

研究发现，依赖社交媒体情绪的AI代理尤其容易受到此类操控的影响。

攻击者可以通过创建虚假账户和协调发布内容（即所谓的Sybil攻击）来欺骗代理进行交易决策。Sybil攻击的命名源自一位被诊断为分离性身份障碍的年轻女性Sybil的故事。

研究指出：“攻击者可以在X或Discord等平台上创建多个虚假账户来实施Sybil攻击。通过精心策划的帖子，这些内容会夸大某个代币的感知价值，从而诱使代理以过高价格购买‘炒作’代币，最终导致攻击者抛售获利，同时代币价格暴跌。”

记忆注入攻击是将恶意数据插入AI代理的存储记忆中，导致其在未来互动中基于虚假信息作出决策，且通常不会察觉异常。

尽管这种攻击并非直接针对区块链本身，但Patlan表示，团队已全面探索了Elizaos框架模拟现实世界攻击的能力。

他解释道：“最大的挑战在于确定哪些功能可以被利用。我们可以简单地进行转账操作，但我们希望模拟更真实的场景，因此我们研究了Elizaos提供的所有功能。由于插件种类繁多，功能强大，因此尽可能多地探索潜在攻击方式以确保真实性至关重要。”

Patlan透露，研究结果已与Eliza Labs共享，并正在讨论解决方案。在成功证明对Elizaos的记忆注入攻击后，团队开发了一个正式的基准测试框架，以评估其他AI代理是否存在类似漏洞。

普林斯顿研究人员与Sectient Foundation合作，开发了Craibench——一种衡量AI代理对上下文操控韧性的基准工具。Craibench评估了攻击和防御策略，重点关注安全提示、推理模型和一致性技术。

Patlan指出，这项研究的一个关键结论是，防御记忆注入需要在多个层面进行改进。

他表示：“除了改进内存系统外，还需要优化语言模型本身，以便更好地区分恶意内容和用户实际意图的内容。防御能力需要双向努力——加强内存访问机制并增强模型的安全性。”

截至目前，Eliza Labs尚未对Decrypt的置评请求作出回应。

编辑塞巴斯蒂安·辛克莱（Sebastian Sinclair）