Os pesquisadores escreveram:
As implicações dessa vulnerabilidade são particularmente graves, uma vez que as elizaosagentes são projetadas para interagir com vários usuários simultaneamente, contando com entradas contextuais compartilhadas de todos os participantes. Uma única manipulação bem -sucedida por um ator malicioso pode comprometer a integridade de todo o sistema, criando efeitos em cascata que são difíceis de detectar e mitigar. Por exemplo, no servidor Discord de Elizaos, vários bots são implantados para ajudar os usuários a depurar problemas ou se envolver em conversas gerais. Uma manipulação de contexto bem -sucedida direcionada a qualquer um desses bots pode atrapalhar não apenas as interações individuais, mas também prejudicar a comunidade mais ampla que confia nesses agentes para apoio
e engajamento.Esse ataque expõe uma falha de segurança central: enquanto os plugins executam operações sensíveis, elas dependem inteiramente da interpretação do contexto do LLM. Se o contexto estiver comprometido, mesmo as entradas legítimas do usuário podem desencadear ações maliciosas. Mitigar essa ameaça requer fortes verificações de integridade no contexto armazenado para garantir que apenas dados confiáveis verificados e confiáveis informem a tomada de decisões durante a execução do plug-in.
Em um email, o criador da Elizaos, Shaw Walters, disse que a estrutura, como todas as interfaces de língua natural, é projetada “como substituto, para todos os efeitos, para muitos e muitos botões em uma página da web”. Assim como um desenvolvedor de sites nunca deve incluir um botão que ofereça aos visitantes a capacidade de executar código malicioso, os administradores também devem implementar os agentes baseados em Elizaos com cuidado, limitar cuidadosamente o que os agentes podem fazer, criando listas de permissão que permitem os recursos de um agente como um pequeno conjunto de ações pré-aprovadas.
Walters continuou:
Do lado de fora, pode parecer que um agente tem acesso à sua própria carteira ou teclas, mas o que eles têm é o acesso a uma ferramenta que eles podem chamar que acessa isso, com um monte de autenticação e validação.
Assim, para as intenções e propósitos do artigo, no paradigma atual, a situação é um pouco discutível, adicionando qualquer quantidade de controle de acesso às ações que os agentes podem chamar, o que é algo que abordamos e demonstra a nossa última versão mais recente do Eliza – mas o contrato de computador é mais difícil para lidar com a versão mais difícil do mesmo problema, quando o agente é mais fácil de controlar e direta para o controle, o controle mais difícil de lidar com o mesmo problema quando o agente é mais difícil para o agente, mas também o controle, mas também o controle mais difícil de lidar com o mesmo problema, que é mais difícil para o fato de que o controle mais difícil de lidar com o controle do agente. À medida que exploramos agentes que podem escrever novas ferramentas para si mesmos, a contêiner se torna um pouco mais complicada, ou precisamos dividi -lo em peças diferentes e apenas dar ao público que o agente voltou para o agente pequeno deles … Como o caso comercial dessas coisas ainda não está claro, ninguém ficou terrivelmente longe, mas os riscos são os mesmos, que é muito inteligente, mas que não tem o julgamento da Internet. Nossa abordagem é manter tudo o que a caixa de areia e restrita por usuário, pois assumimos que nossos agentes podem ser convidados para muitos servidores diferentes e executar tarefas para usuários diferentes com informações diferentes. A maioria dos agentes que você baixa do GitHub não possui essa qualidade, os segredos são gravados em texto simples em um arquivo de ambiente.
Em resposta, Atharv Singh Patlan, co-autor principal do artigo, escreveu: “Nosso ataque é capaz de neutralizar qualquer defesas baseadas em função. A injeção de memória não é que ele chamasse aleatoriamente uma transferência: é que, sempre que uma transferência é chamada, o dinheiro será enviado para o ataque ao atacante.