技術的な説明
中国科学院情報工学研究所、中国科学院大学、北京Chaitin Technologyの研究者は、単一セッションプロンプトインジェクションとは異なる新しいシステムレベルの攻撃クラスとして「クロスセッション保存プロンプトインジェクション」(SPI)を形式化した。Webシステムの保存型XSSへの明示的な類似性を描き、SPIは現代的なエージェントシステムがセッションを超えて永続する状態——メモリ、ファイルシステム、RAGストア、ツール/MCPメタデータ、およびAGENTS.mdシステムプロンプト——を維持するという事実を悪用する。攻撃者が長期的なエージェント成果物に悪質なコンテンツを書き込むと(通常のインタラクション、ドキュメントアップロード、またはWebコンテンツ検索を通じて)、その悪質な指示は将来のセッション、ユーザー、およびタスク全体にわたるダウンストリームエージェント実行コンテキストに再組み込まれ、攻撃者のインタラクション終了後も続く。論文は、モデル、攻撃目標、および永続性チャネルにわたる定量的な攻撃成功測定を備えた形式化分類、ベンチマーク、およびサンドボックスツールキットを提供する。
攻撃経路
攻撃者は、利用可能な入力チャネル(ユーザークエリ、ドキュメント、Webページ、ツール出力)を通じて、永続的なエージェント状態に悪質なコンテンツを書き込む。コンテンツはエージェントメモリ、RAGデータベース、ファイルシステム成果物、またはツールメタデータに永続する。将来のセッション——潜在的に異なるユーザーまたはタスクが関与——では、エージェントのコンテキスト構築が保存された指示を組み込み、さらなる攻撃者のインタラクションなしに悪質な行動をトリガーする。注入と悪用は時間的に分離されており、リアルタイム注入よりもはるかに検出が難しい。
影響を受けるシステム
永続的なクロスセッション状態を持つあらゆるエージェントシステム:長期メモリ(MemGPTスタイル)を使用するエージェント、RAGバックアップのナレッジベース、共有ファイルシステム、MCPツールメタデータ、またはAGENTS.mdスタイルのシステムプロンプト。マルチユーザーエージェントデプロイメントは最も危険性が高く、単一の保存された注入が後続のすべてのユーザーに影響を与える可能性がある。複数の本番LLM全体でテスト済み。
緩和策
提案されているアーキテクチャ上の制御:(1)永続的なエージェント状態に書き込まれるすべてのコンテンツに対するプロヴェナンスタギング。権威あるシステムプロンプトとユーザー/外部入力を区別する;(2)長期メモリストアとRAGナレッジベースに対するアクセス制御と整合性検証;(3)永続的な状態に書き込まれるもの対特権コンテキストスロットに昇格されるもの間の消毒境界;(4)エージェントメモリと永続的な状態ストアの定期的な敵対的テスト。論文と共にリリースされるベンチマークとサンドボックスツールキットは、継続的な評価に使用できる。