技術的な説明
情報工学研究所(中国科学院)、中国科学院大学、および北京チャイティン技術の研究者らが、「クロスセッション保存型プロンプトインジェクション」(SPI)を、シングルセッションプロンプトインジェクションとは異なる新しいシステムレベルの攻撃クラスとして形式化した。ウェブシステムにおける保存型XSSに明示的な類似性を描きながら、SPIは最新のエージェント型システムが保存された状態——メモリ、ファイルシステム、RAGストア、ツール/MCPメタデータ、およびAGENTS.mdシステムプロンプト——をセッション間で維持するという事実を悪用する。攻撃者が通常のインタラクション、ドキュメントアップロード、またはウェブコンテンツ取得を通じて長期保存型エージェントアーティファクトに悪意のあるコンテンツを書き込むと、その悪質な命令は将来のセッション、ユーザー、およびタスク全体で下流のエージェント実行コンテキストに再度組み込まれ、攻撃者のインタラクション終了後もずっと継続する。本論文は形式化された分類法、ベンチマーク、およびサンドボックスツールキットを提供し、モデル、攻撃目標、および永続化チャネル全体にわたる定量的な攻撃成功測定を実施している。
攻撃経路
攻撃者は利用可能な任意の入力チャネル(ユーザークエリ、ドキュメント、ウェブページ、ツール出力)を通じて悪意のあるコンテンツをエージェントの永続的状態に書き込む。そのコンテンツはエージェントメモリ、RAGデータベース、ファイルシステムアーティファクト、またはツールメタデータに永続化される。将来のセッション——潜在的に異なるユーザーやタスクが関わる——では、エージェントのコンテキスト構築が保存された命令を組み込み、さらなる攻撃者のインタラクションなしに悪質な動作をトリガーする。インジェクションと悪用は時間的に分離されているため、リアルタイムインジェクションよりも検出がはるかに困難になる。
影響を受けるシステム
永続的なクロスセッション状態を持つ任意のエージェント型システム:長期メモリを使用するエージェント(MemGPT形式)、RAGバッキング知識ベース、共有ファイルシステム、MCPツールメタデータ、またはAGENTS.md形式のシステムプロンプト。マルチユーザーエージェント展開は単一の保存型インジェクションがすべての後続ユーザーに影響する可能性があるため、最大のリスクである。複数のプロダクション LLM全体でテストされている。
緩和策
提案されるアーキテクチャ制御:(1)永続的エージェント状態に書き込まれるすべてのコンテンツのプロヴェナンスタギング、権限のあるシステムプロンプトとユーザー/外部入力の区別;(2)長期メモリストアおよびRAG知識ベースのアクセス制御と整合性検証;(3)永続的状態に何が書き込まれるか対何が特権コンテキストスロットに昇格するかの間のサニタイゼーション境界;(4)エージェントメモリおよび永続的状態ストアの日常的な敵対的テスト。本論文と並行してリリースされるベンチマークおよびサンドボックスツールキットは継続的な評価に使用できる。