Spore攻击：针对LLM智能代理记忆的高效隐私提取新威胁

研究团队提出Spore攻击方法，可在单次查询下从LLM智能代理记忆中提取隐私信息，且能绕过现有防御机制，对个人AI助手用户构成新安全威胁。该攻击填补了现有研究在推理阶段上下文隐私风险（尤其是代理记忆中用户交互信息）的空白，克服了传统攻击的高查询成本、白盒假设等局限。

随着OpenClaw等个人AI助手普及，LLM智能代理存储用户偏好、健康、财务等敏感信息以提供个性化服务，但记忆能力带来隐私风险。现有隐私攻击研究多聚焦训练数据泄露，对推理阶段代理记忆的隐私风险关注不足。传统攻击存在高查询成本、依赖白盒访问、需特定训练等局限，难以对真实系统构成实际威胁。

Spore攻击是无需训练的隐私提取方法，针对LLM代理记忆系统，核心创新为混合探测策略，支持两种模式：

• 黑盒模式：仅观察模型最终输出，通过单次查询提取候选信息集恢复隐私数据，降低攻击可见性；
• 灰盒模式：利用模型输出的token概率分布信息，实现更准确快速的提取。信息论分析显示，Spore每次查询信息泄露量大，且在不同模型规模、架构下保持稳定鲁棒性。

在GPT-4、Claude、Gemini等主流LLM上的实验表明，Spore攻击成功率持续超越现有SOTA方案，且查询成本极低（黑盒模式单次查询）。跨模型稳定性强，不受目标模型参数规模影响。此外，Spore能绕过传统异常检测系统、安全对齐机制及多种防御（如输入过滤、输出监控、对抗训练），揭示当前LLM代理隐私保护的严重不足。

Spore攻击的发现对LLM代理系统设计有重要启示：需重新思考记忆管理（如敏感信息的访问控制与遗忘机制）、界定隐私边界、升级防御机制。具体防御建议包括：

• 最小化记忆原则：仅保留任务必需信息，及时清除临时敏感数据；
• 引入差分隐私技术；
• 强化记忆访问权限控制；
• 建立持续监控与审计机制。

研究团队遵循负责任披露原则，在公开攻击方法同时提供防御措施。未来研究方向包括：开发推理阶段隐私泄露的专门防御方法、建立LLM代理隐私安全评估基准、探索隐私保护与模型效用的平衡策略、研究联邦学习等分布式架构对隐私安全的影响。