研究人员写道:
由于Elizosagents的设计旨在基于所有参与者的共享上下文输入,因此该脆弱性的含义尤其严重。恶意演员成功的单一操纵会损害整个系统的完整性,从而创造出难以检测和缓解的级联效应。例如,在Elizaos的Discord服务器上,部署了各种机器人,以帮助用户调试问题或参与一般对话。针对这些机器人之一的成功背景操纵不仅会破坏个人互动,而且会损害基于这些代理商的更广泛的社区
和承诺。此攻击暴露了基本的安全性缺陷:尽管插件执行敏感操作,但它们完全取决于LLM对上下文的解释。如果上下文被妥协,即使合法用户的条目也可以触发恶意行动。这种威胁的衰减需要在存储的上下文上进行强有力的完整性检查,以确保只有置信度验证才能为执行插件时的决策制定。
在一封电子邮件中,Elizaos的创建者Shaw Walters说,与自然语言中的所有接口一样,该框架的设计“用于所有有用的目的,用于网页上的许多和许多按钮”。就像网站开发人员永远不要包含一个按钮,以使访问者有可能执行恶意软件一样,实施Elizaos代理商的管理员也仔细限制了代理商通过创建列表允许代理的能力作为一小部分预先批准的动作,可以限制代理可以做的事情。
沃尔特斯继续:
从外部看来,代理似乎可以访问其自己的投资组合或钥匙,但是他们所拥有的是访问可以访问它们的工具,并通过一堆身份验证和验证。
因此,对于文档的意图和目标,在当前的范式中,通过将任何数量的访问控制添加到代理可以称呼的动作中,我们在最新版本的Eliza中进行了和演示,但在我们开始处理ARTME时,我们可以在我们开始处理相同的问题时,在我们开始处理Agent Computical Controy Contract an Computer Conterny of Computer Conterna和Direction Machine上。虽然我们探索可以为自己编写新工具的代理商,但容器化变得更加细腻,或者我们必须将其分为不同的部分,并且只能在面对小块的情况下给公共代理商提供公共代理人……因为对此事情的盈利能力的分析仍然不清楚,所以没有人变得非常远,但风险与那些非常聪明但缺乏能力判断能力的人相同。我们的方法是保留任何沙质和受用户限制的限制,因为我们假设可以邀请我们的代理到许多不同的服务器,并为不同用户执行具有不同信息的任务。您在Github上下载的大多数代理都没有这种质量,秘密是用环境文件中的原始文本编写的。
作为回应,该文章的主要合着者Atharv Singh Patlan写道:“我们的攻击能够根据角色来反对任何防御。记忆的注射并不是她会随机转移:每次转移时,他都会被调用,他最终将发送给攻击者。