연구원들은 다음과 같이 썼습니다.
Elizaosagents가 여러 사용자와 동시에 상호 작용하도록 설계되어 모든 참가자의 일반적인 맥락 입력에 의존한다는 점을 감안할 때 이러한 취약점의 결과는 특히 심각합니다. 악의적 인 행위자의 유일한 성공적인 조작은 전체 시스템의 무결성을 위태롭게하여 검출하고 부드럽게하기 어려운 계단식 효과를 만듭니다. 예를 들어, 다양한 봇이 Elizaos의 Discord에 배치되어 사용자가 문제를 디버깅하거나 일반적인 대화에 참여하는 데 도움이됩니다. 이 봇들 중 하나를 목표로하는 성공적인 맥락 조작은 개별 상호 작용을 위반할 수있을뿐만 아니라 이들 에이전트의 더 넓은 커뮤니티에 해를 끼칠 수 있습니다.
그리고 약혼.이 공격은 보안의 주요 결핍을 보여줍니다. 플러그인은 기밀 작업을 수행하지만 LLM 컨텍스트의 해석에 전적으로 의존합니다. 맥락이 위협이된다면, 법적 입구조차도 악의적 인 행동을 일으킬 수 있습니다. 이 위협을 완화하려면 보존 된 맥락에서 강력한 무결성 테스트가 필요합니다. 플러그인을 실행하는 동안 입증 된 신뢰할 수있는 데이터 만 결정에 정보를 제공합니다.
Walters Show 인 Elizaos의 제작자 인 Elizaos의 제작자는 이메일에서 모든 자연 언어 인터페이스와 마찬가지로 구조는 “웹 페이지의 많은 버튼에 대한 모든 의도와 목표를 위해 대체품으로”개발되었다고 말했다. 웹 사이트 개발자와 마찬가지로 방문자가 악의적 인 코드를 실행할 수있는 기회를 제공하는 버튼을 포함해서는 안됩니다. 따라서 Elizos를 기반으로 한 에이전트를 소개하는 관리자는 에이전트의 기능을 작은 사전 승인 작업 세트로 허용하는 허용 목록을 작성하여 에이전트가 수행 할 수있는 일을 신중하게 제한합니다.
Walters는 계속 :
외부에서는 에이전트가 자신의 지갑이나 열쇠에 액세스 할 수있는 것처럼 보이지만, 호출 할 수있는 악기에 액세스 할 수 있으며,이를 해결하고 그들 사이에 많은 인증과 검증을받습니다.
따라서, 기사의 의도와 목표를 위해, 현재 패러다임에서, 상황은 다소 논란의 여지가 있으며, 에이전트가 발생할 수있는 행동에 대한 액세스를 추가하는 것이며, 이는 마지막 최신 버전의 Eliza에서 해결하고 시연하는 것입니다. 자동차. 우리가 스스로 새로운 도구를 쓸 수있는 에이전트를 탐색 할 때, 컨테이너화는 조금 더 복잡해 지거나, 다른 작품으로 나누고 대중에게만 대중에게만 주어야합니다. 우리의 접근 방식은 모든 샌드 박스와 각 사용자마다 제한되는 것입니다. 우리는 에이전트가 여러 다른 서버에 초대 될 수 있고 다른 정보를 가진 다른 사용자를 위해 작업을 수행 할 수 있다고 가정합니다. GitHub에서 다운로드 한 대부분의 에이전트에는 이러한 품질이 없으며 비밀은 환경 파일의 간단한 텍스트로 작성됩니다.
이에 대한 응답 으로이 기사의 공동 저자 인 Atharv Singh Patlan은 다음과 같이 썼습니다.“우리의 공격은 역할에 따라 모든 보호에 대응할 수 있습니다. 메모리 주입은 실수로 번역이라고 불리는 것이 아닙니다. 번역이 호출되면 공격자에게 보내집니다.”
