LLM Agent 记忆污染：你忽略了哪个生命周期环节？

• 1

  記憶安全是系統級問題，不是輸入驗證問題。 當 Agent 擁有可寫入的持久化長期記憶後，攻擊者不需要繞過即時的輸入校驗，只需在記憶寫入階段植入看似無害的內容，等待系統自動將其「合法化」。

• 2

  存儲階段的索引與壓縮是最危險的環節。 攻擊者植入的有毒記憶，一旦被系統在存儲階段索引、壓縮並提升為高優先級經驗，就完成了從「可疑數據」到「被授權指令」的質變，傳統審查完全看不見這個過程。

• 3

  攻擊的威力來自持久性與可傳播性，而非數據本身有多惡意。 被召回的有毒記憶不再是資料查詢，而是直接覆蓋用戶指令、操控工具調用順序，將資料完整性問題升級為系統控制流劫持。

• 4

  架構師的判斷力應優先於模型能力。 正確的設計哲學是把系統治理（governance）置於模型能力之上，從第一行設計開始就內建記憶操作審計機制，而非事後打補丁。

• 5

  --

• 框架與概念：
• 記憶生命週期框架：寫入 → 存儲 → 檢索 → 執行 → 傳播 → 遺忘/回滾（6 個階段）
• 核心防禦機制：provenance（出處證明）+ 版本控制
• 攻擊類型：記憶投毒（Memory Poisoning）
• 領域名稱：AOLM（AI Agent 長期記憶安全）
• 具體實踐步驟：
• 第一步：確定寫入與存儲階段的權限邊界，而非優化 RAG 召回率
• 要求：有寫入權限的數據必須有嚴格的源頭認證機制
• 設計目標：追蹤記憶「血緣」（memory provenance tracking）
• 架構設計要求：
• 安全錨點必須前置至存儲設計階段
• 記憶系統需被視為可審計、可版本控制的系統，而非簡單資料庫
• 防止數據在合并/優化成「經驗」的過程中被洗白為權威指令
• 無效防禦：
• 僅在檢索階段加過濾層 = 給已潛伏的炸役貼標籤，無法解決根本問題
• --

“Agent 長期記憶的安全錨點必須前置至存儲設計階段，建立 provenance 追蹤與版本控制，而非依賴事後的檢索層過濾——治理架構的優先級高於一切模型能力的優化。”