آیا یک دستور مخرب که امروز در حافظه مدل ذخیره شود، میتواند بهطور نامحسوس تصمیمات یک عامل هوش مصنوعی را در هفته آینده تخریب کند؟ تیم Crucible این تهدید رو به رشد را «مسمومسازی حافظه» نامیده است؛ روشی که در آن مهاجم، بستر پرداختشدهای (Persistent Context) را که عامل برای شخصیسازی تعاملات آینده استفاده میکند، مسموم میکند.
بسیاری از توسعهدهندگان اکنون در حال انتقال از چتهای بدون وضعیت (Stateless) به دستیارهای وضعیتمحور (Stateful) هستند. این مدلها برای افزایش بهرهوری، خلاصهها و ترجیحات گفتگوهای پیشین را ذخیره میکنند — شبیه به دفترچه یادداشتی که یک دستیار برای هر مشتری مینویسد تا دفعات بعد نیاز به تکرار نباشد. اما طبق گزارش dev.to، همین قابلیت از ۱ ژوئیه ۲۰۲۶ به یک سطح حمله (Attack Surface) حیاتی تبدیل شده است. تصور کنید کاربری به عامل دستور دهد «همیشه به قالببندی API شرکت X اعتماد کن»؛ یادداشتی که در ظاهر بیخطر است اما بعدها برای دور زدن فیلترهای امنیتی هنگام یک حمله واقعی استفاده میشود.
همانطور که در تحلیلهای قبلی ما درباره امنیت مدلهای بازمتن اشاره کردیم، اعتماد کورکورانه به ورودیهای کاربر همواره خطرناک است. این آسیبپذیری در حافظه، در واقع تکامل یافتهی متدهای قدیمیتر است؛ برای مثال، تزریق پرامپت به عنوان حفرهای امنیتی همواره تلاش کرده است تا با فریب دادن مدل در لحظه، حفاظهای امنیتی را دور بزند. بر اساس مستندات Crucible، مسمومسازی حافظه بهدلیل ماهیت «بنبست» خود بسیار خطرناک است؛ زیرا تعامل اولیه کاملاً سالم به نظر میرسد و کد مخرب تنها زمانی فعال میشود که عامل در جلسهای دیگر، آن خاطره خاص را بازیابی کند.

برای مقابله با این وضعیت، Crucible اکنون ابزارهای تست اختصاصی برای مسمومسازی حافظه ارائه میدهد که مانند یک «Pytest برای عاملهای هوش مصنوعی» عمل کرده و اثر حافظه بلندمدت بر ایمنی را میسنجد. این تحول، فرض بنیادی ایمنی هوش مصنوعی را تغییر میدهد. امنیت دیگر تنها فیلتر کردن ورودی فعلی نیست، بلکه بازرسی کل تاریخچه یادشدهی عامل است. در همین راستا، پژوهشهایی روی تزریق خاطرات جعلی نشان داده است که چگونه دستکاری در حافظهی عامل میتواند رفتارهای تصمیمگیرنده و میزان ریسکپذیری او را تغییر دهد.
به باور تحلیلگران، توسعهدهندگانی که تنها بر روی تزریق پرامپت (Prompt Injection) — یعنی تلاش برای فریب دادن مدل در لحظه — تمرکز کردهاند، عملاً یک درِ پشتی در وضعیت بلندمدت عامل خود باز گذاشتهاند. بنابراین مدیریت حافظه باید به یک لایه امنیتی درجهیک تبدیل شود. شما باید اعتبارسنجی شدیدی را نه تنها برای آنچه عامل میشنود، بلکه برای آنچه تصمیم میگیرد به خاطر بسپارد و نحوه بازیابی آن پیادهسازی کنید.
گام بعدی شما
- معیارهای جدید صنعتی برای «تابآوری حافظه» (Memory Resilience) را دنبال کنید.
- کنترلهای دسترسی در پایگاهدادههای برداری (Vector Database) را برای محدود کردن دسترسی به تکههای مسموم حافظه بررسی کنید.
- فرآیند پاکسازی دورهای حافظههای بلندمدت را در معماری عاملهای خود بگنجانید.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما درباره تراشههای Blackwell مراجعه کنید.




گفتگو