Studie toont aan dat geheugenaanvallen AI-agenten kunnen kapen om cryptomiddelen over te dragen

Onderzoekers van Princeton University hebben op aangetoond dat agenten met een groot taalmodel, die belast zijn met cryptowallets en smart-contractbewerkingen, gekaapt kunnen worden zodra een aanvaller de opgeslagen context van de agenten bewerkt, een zwakte die het team "geheugenvergiftiging" noemt

Hun studie https://arxiv.org/pdf/2503.16248 stelt dat de huidige verdedigingsmiddelen - voornamelijk promptfilters - weinig uithalen zodra kwaadaardige tekst in de vectoropslag of database van een agent terechtkomt. In experimenten gingen korte injecties die in het geheugen waren verstopt, consequent voorbij aan afschermingen die dezelfde tekst zouden hebben geblokkeerd als deze als een directe prompt was binnengekomen.

Het team valideerde de aanval op ElizaOS, een open-source framework waarvan de wallet agents handelen op instructies van de blockchain. Na het gedeelde geheugen vergiftigd te hebben, kregen de onderzoekers deze agents zover dat ze ongeautoriseerde smart-contract calls ondertekenden en cryptomiddelen overdroegen naar adressen die door de aanvaller gecontroleerd werden, wat bewijst dat verzonnen context zich vertaalt in echt financieel verlies.

Omdat ElizaOS veel gebruikers één gespreksgeschiedenis laat delen, besmet één gecompromitteerde sessie elke andere sessie die hetzelfde geheugen aanraakt. Het artikel waarschuwt dat elke inzet van autonome LLM-agenten voor meerdere gebruikers dit risico van laterale verplaatsing overerft, tenzij de geheugens geïsoleerd of verifieerbaar zijn.

De auteurs raden aan om geheugens als alleen-bijlagen te behandelen, elke invoer cryptografisch te ondertekenen en acties met een hoge inzet - betalingen en goedkeuring van contracten - via een externe rules engine te routeren in plaats van te vertrouwen op de eigen redenering van het model. Totdat dergelijke maatregelen standaard worden, blijft het geven van echt geld aan autonome agenten een gok.