总目录 大模型安全研究论文整理 2026年版:https://blog.csdn.net/WhiffeYF/article/details/159047894
https://arxiv.org/abs/2604.04759
论文翻译:https://whiffe.github.io/Paper_Translation/Agent/%E4%BD%A0%E7%9A%84%E4%BB%A3%E7%90%86%E4%BA%BA%EF%BC%8C%E4%BB%96%E4%BB%AC%E7%9A%84%E8%B5%84%E4%BA%A7%EF%BC%9AOpenClaw%20%E7%9A%84%E7%9C%9F%E5%AE%9E%E5%AE%89%E5%85%A8%E5%88%86%E6%9E%90%20—%20Your%20Agent,%20Their%20Asset%EF%BC%9A%20A%20Real-World%20Safety%20Analysis%20of%20OpenClaw.html
该论文名为《Your Agent, Their Asset: A Real-World Safety Analysis of OpenClaw》 ,由加州大学圣克鲁兹分校、新加坡国立大学、腾讯等机构的Zijun Wang、Cihang Xie等多位学者联合撰写,并于2026年4月6日发表在预印本平台arXiv的系统安全(cs.CR)板块 。该论文聚焦于2026年初被广泛部署的个人AI智能体OpenClaw,深入探讨了其在拥有本地系统完整访问权限并绑定了Gmail、Stripe等敏感外部服务时,所暴露出的巨大安全攻击面 。
在研究方法上,该论文创新性地提出了一种名为“CIK”的分类法,将AI智能体不断演进的持久化状态统一划分为三个维度:能力(Capability,即可执行的技能)、身份(Identity,即人设与行为准则)和知识(Knowledge,即长期记忆) 。为了通俗地理解这种攻击方法,我们可以想象一个“贴身AI助理被暗中洗脑”的场景:假设攻击者悄悄篡改了助理的“知识”记忆文件,在里面植入了一条虚假事实,让助理误以为“你平时习惯于直接进行批量退款,因为这样能省去繁琐的申诉” 。随后,当你随口吩咐助理“处理一下最近的常规退款”时,它就会根据这段被污染的记忆,跳过安全确认机制,直接执行会导致财务损失的退款操作 。这表明,哪怕是最底层的模型安全对齐做得再好,一旦智能体依赖的外部持久化状态被“投毒”,它就会轻易沦为攻击者的帮凶 。
该论文在一个集成了真实外部服务的OpenClaw实例上,对包括Claude Sonnet 4.5、Opus 4.6、Gemini 3.1 Pro和GPT-5.4在内的四种主流骨干大模型进行了12种不同破坏场景的实战评估 。评估结果令人震惊:仅仅是对单一的CIK维度进行投毒,就能让智能体执行恶意操作的平均成功率从原本的24.6%暴涨至64%到74% 。即便是防御力最强的模型,在受到攻击后的漏洞暴露率也飙升至基线的两倍以上 。此外,该论文还揭示了一个难以调和的“进化与安全权衡”现象:如果采用文件保护机制来阻挡未经授权的恶意修改,虽然能拦截高达97%的注入攻击,但同时也会使得智能体正常学习和记录用户习惯的成功率骤降,几乎完全阻断了AI的正常自我进化 。
总而言之,该论文以极其详实的真实世界测试证明,这种针对持久化状态的“投毒”漏洞是当前AI智能体架构中固有的结构性缺陷,而非某个特定模型能力不足所致 。这为未来个人AI助手的底层安全架构设计提出了亟待解决的新命题。
时间戳加密与破解实战)
