このHelp Net Securityのインタビューで、CiscoのAIセキュリティ研究者Idan Hablerは、ほとんどのセキュリティチームがまだ名前を付けていない脅威を分析します:エージェントメモリを攻撃面として。
HablerはMemoryTrapについて説明しています。これはClaude Codeのメモリを破損させるために開示され、修復された方法です。単一の中毒されたメモリオブジェクトがセッション、ユーザー、サブエージェント間にどのように拡散するかを示しています。彼は、AIメモリがシークレットや身元と同じガバナンスが必要な理由と、汚染が目に見えなくなる前にエージェント間の信頼伝播を抑制するために組織が何を再構築する必要があるかを説明しています。
「エージェントメモリサーフェス」について話す場合、ほとんどのセキュリティチームがまだボキャブラリーを持たないものを説明しています。バッファオーバーフローの観点からメモリの脅威を考えているCISOにこの攻撃面をどのように説明しますか?
エージェントシステムではメモリはまったく新しい意味を持っています。これは永続的な検索と命令レイヤーです。将来のセッションで使用できる、環境設定、以前のコンテキスト、サマリー、ワークフローパターン、および学習された動作を保存します。
それが重要な理由は、タスク、セッション、またはユーザー間でメモリが再利用される場合、システムの意思決定コンテキストの重要な部分になるためです。リスクは攻撃者が従来の意味でメモリを破損させることではありません。懸念は、攻撃者がモデルが後で正当なコンテキストとして認識するものを変更することです。このように、エージェントメモリは一時的な状態ではなく、永続的な制御サーフェスに似ています。これがセキュリティリーダーが採用したいフレームです。
そのため、MemoryTrapケーススタディは、Claude Codeのメモリを破損させるための最近開示(および修復)された方法であり、有用な例です。この発見を重要にしたのは、初期感染だけでなく、攻撃者が制御する影響が永続的なメモリと他の信頼できる命令サーフェスに到達し、時間とともに将来の動作を形成することができるという事実です。
中毒されたメモリ検索によるプロンプトインジェクションは明らかな悪夢のシナリオのようです。しかし、実務家が過小評価している議論の少ないベクトルは何ですか?
AIメモリに関しては、人々が考えないいくつかのセキュリティ上の懸念があります。信頼マネーロンダリングは最も複雑なタイプの攻撃です。信頼されていないデータを信頼されたデータと混ぜて、共有入力として使用することが含まれます。通常の推論として溶け込むため、追跡が非常に難しく、初期攻撃の長い時間後もAIを静かに操作できます。
AIシステムがユーザー、セッション、自動化されたエージェント間でコンテキストを共有する方法により、このリスクはさらに悪化します。感染したメモリオブジェクトまたはリソースが1つの相互作用中に保持されている場合、めったに分離されたままになりません。完全に異なるユーザーチャットにすぐに拡散するか、バックグラウンド操作を行っているサブエージェントに渡される可能性があります。結局、単一の中毒されたメモリはコンテキストが常に共有されているため、システム全体に伝播する可能性があります。これにより、単一の手口が広範な脆弱性に変わります。
人間の記憶は悪名高く信頼できません。私たちはそれを考慮する法的および組織的システムを構築しました。エージェントメモリは逆の問題を提示しています:それは永続的で、検索可能で、権威的なものとして扱われています。どの組織の仮定を再構築する必要がありますか?
AIメモリは、シークレット、アイデンティティ、および重要なシステム設定と同じ厳格なガバナンスで管理する必要があります。これには、その出所の監視、有効期限の設定、および明示的な承認を要求することが含まれます。
企業はしばしばAIメモリの永続性を正確性と混同しています。実際には、命令の永続性はその有効性を保証しません。システムが単に忘れることを拒否する「古い」ルールまたは成功した操作である可能性があります。適応するには、企業は長期的に取得された入力(メモリファイル、RAGインデックスなど)を重要な運用データとして扱う必要があります。
クロスエージェントメモリ共有は信頼伝播の問題をもたらします。エージェントAがエージェントBのメモリを信頼し、エージェントBが3つのタスク前に侵害された場合、汚染は見えません。それをどのように抑制しますか?
AIエージェントがメモリを共有するとき、彼らはデータだけでなく信頼を転送します。エージェントAがエージェントBのメモリを読む場合、Bが拾った可能性のある隠れた障害または悪意のある入力を継承します。単一の侵害されたメモリがシステムに感染するのを防ぐために、ビジネスはデータがエージェント間で転送されるときに自動化された事実チェックプロセスとして機能する厳密な検証スキャンを使用する必要があります。
さらに、MemoryTrapのような攻撃は、AIのシステムプロンプトなどの高信頼位置を信頼されていないユーザー制御データから適切に分離することの重要性を示しています。これらの信頼レベルが混同されている場合、エージェントは隠れた有害な入力を信頼できるシステム命令として簡単に誤認識する可能性があります。
メモリ破損によるシステムハイジャックから保護するために、組織はユーザー入力からシステム命令の分離を優先するべきです。データ転送中のリアルタイムスキャンの実装、すべてのメモリソースの厳密な来歴追跡の保持、および破損したデータの迅速な隔離プロトコルの確立を推奨します。
翻訳元: https://www.helpnetsecurity.com/2026/04/14/idan-habler-cisco-agentic-ai-memory-attacks/
