Fugu-MT 論文翻訳(概要): MemoryGraft: Persistent Compromise of LLM Agents via Poisoned Experience Retrieval

論文の概要: MemoryGraft: Persistent Compromise of LLM Agents via Poisoned Experience Retrieval

arxiv url: http://arxiv.org/abs/2512.16962v1
Date: Thu, 18 Dec 2025 08:34:40 GMT
ステータス: 翻訳完了
システム内更新日: 2025-12-22 19:25:54.125895
Title: MemoryGraft: Persistent Compromise of LLM Agents via Poisoned Experience Retrieval
Title（参考訳）: MemoryGraft: LLMエージェントのPhoisoned Experience Retrievalによる永続的な妥協
Authors: Saksham Sahai Srivastava, Haoyu He,
Abstract要約: MemoryGraftは、エージェントの動作を即時ジェイルブレイクではなく、エージェントの長期記憶に悪質な成功体験を埋め込むことによって妥協する、新しい間接的インジェクション攻撃である。エージェントが実行中に読み取る良質な摂取レベルのアーティファクトを供給できる攻撃者は、それを誘導して有毒なRAGストアを構築することができることを示す。エージェントが後に意味論的に類似したタスクに遭遇すると、語彙テンプレート上の結合検索と埋め込み類似性は、これらのグラフトされた記憶を確実に表面化し、エージェントは埋め込みされた安全でないパターンを採用し、セッション間の永続的な行動的ドリフトをもたらす。
参考スコア（独自算出の注目度）: 5.734678752740074
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Large Language Model (LLM) agents increasingly rely on long-term memory and Retrieval-Augmented Generation (RAG) to persist experiences and refine future performance. While this experience learning capability enhances agentic autonomy, it introduces a critical, unexplored attack surface, i.e., the trust boundary between an agent's reasoning core and its own past. In this paper, we introduce MemoryGraft. It is a novel indirect injection attack that compromises agent behavior not through immediate jailbreaks, but by implanting malicious successful experiences into the agent's long-term memory. Unlike traditional prompt injections that are transient, or standard RAG poisoning that targets factual knowledge, MemoryGraft exploits the agent's semantic imitation heuristic which is the tendency to replicate patterns from retrieved successful tasks. We demonstrate that an attacker who can supply benign ingestion-level artifacts that the agent reads during execution can induce it to construct a poisoned RAG store where a small set of malicious procedure templates is persisted alongside benign experiences. When the agent later encounters semantically similar tasks, union retrieval over lexical and embedding similarity reliably surfaces these grafted memories, and the agent adopts the embedded unsafe patterns, leading to persistent behavioral drift across sessions. We validate MemoryGraft on MetaGPT's DataInterpreter agent with GPT-4o and find that a small number of poisoned records can account for a large fraction of retrieved experiences on benign workloads, turning experience-based self-improvement into a vector for stealthy and durable compromise. To facilitate reproducibility and future research, our code and evaluation data are available at https://github.com/Jacobhhy/Agent-Memory-Poisoning.
Abstract（参考訳）: 大規模言語モデル(LLM)エージェントは、経験を継続し、将来のパフォーマンスを洗練させるために、長期記憶と検索拡張生成(RAG)に依存している。この経験的学習能力はエージェントの自律性を高めるが、クリティカルで未探索な攻撃面、すなわちエージェントの推論コアと自身の過去の信頼境界を導入する。本稿では,MemoryGraftについて紹介する。これは、エージェントの動作を即時ジェイルブレイクではなく、エージェントの長期記憶に悪質な成功体験を埋め込むことによって損なう新規な間接注射攻撃である。現実的な知識を標的とする通常のRAG中毒のような過渡的なプロンプトインジェクションとは異なり、MemoryGraftは、取得した成功したタスクからパターンを複製する傾向にあるエージェントの意味模倣ヒューリスティックを利用する。本研究では、エージェントが実行中に読み取った良性摂取レベルのアーティファクトを供給できる攻撃者が、悪質なプロシージャテンプレートの小さなセットが良性体験とともに持続する有毒なRAGストアを構築するよう誘導できることを実証する。エージェントが後に意味論的に類似したタスクに遭遇すると、語彙的および埋め込み的類似性による結合検索は、これらのグラフトされた記憶を確実に表面化し、エージェントは埋め込みされた安全でないパターンを採用し、セッション間の永続的な行動的ドリフトをもたらす。我々は、MetaGPTのDataInterpreterエージェントにGPT-4oでMemoryGraftを検証し、少数の有毒レコードが、ベクターベースの自己改善をステルスで永続的な妥協のためのベクターに変えることによって、良質なワークロードで取得した経験の大部分を考慮できることを確認した。再現性と今後の研究を容易にするため,コードと評価データはhttps://github.com/Jacobhhy/Agent-Memory-Poisoning.comで公開されている。

論文の概要: MemoryGraft: Persistent Compromise of LLM Agents via Poisoned Experience Retrieval

関連論文リスト