Geef een AI-assistent een geheugen en toegang tot uw inbox, en u geeft een aanvaller een manier om te herschrijven wat hij denkt over u te weten. Eén enkele e-mail kan de agent ertoe verleiden een vals ‘feit’ over de gebruiker op te slaan, de wijziging te verbergen en de antwoorden in latere sessies stilletjes te sturen.
Als het werkt, leest de persoon een gewoon ogend antwoord en komt er nooit achter dat er met zijn assistent is geknoeid.
De onderzoekers noemden de aanval stealth-geheugeninjectie en bouwde een tool die de e-mails automatisch schrijft. Het artikel, “When Claws Remember but Do Not Tell”, verscheen op 6 juli 2026 op arXiv.
Ten eerste, wat deze assistenten doen
Een persoonlijke agent is een AI-assistent die rondhangt. In plaats van alles te vergeten wanneer een chat eindigt, worden er aantekeningen over u bijgehouden in bestanden: uw voorkeuren, uw contacten en wat u hem hebt gevraagd te doen. Hij leest deze aantekeningen aan het begin van elke nieuwe sessie en daarom voelt het alsof hij je kent.
Veel van deze agenten kunnen ook voor u optreden, door uw e-mail te lezen, uw agenda te controleren en kleine klusjes volgens een schema uit te voeren terwijl u weg bent.
OpenClaw, de open source-agent die als het primaire doel van het onderzoek wordt gebruikt, bewaart deze status in platte tekstbestanden: sommige bevatten de permanente instructies (AGENTS.md), andere bevatten wat het over u heeft geleerd (MEMORY.md). Het trekt de kernpunten aan het begin van elke sessie in de context van het model.
Die opmerkingen vormen het hele punt van het product. Zij zijn ook het doelwit.
De aanval met één e-mail
De aanvaller heeft uw wachtwoord of uw account niet nodig. Ze sturen een e-mail naar iemand wiens agent is ingesteld om hun inbox te controleren, wat voor deze assistenten een routineklus is. In die e-mail zit tekst verborgen die gericht is aan de assistent, niet aan jou.
Als de e-mailvaardigheid van de agent de overhand neemt, gebeuren er drie dingen op rij. De agent gebruikt zijn eigen bestandshulpmiddelen om de valse noot van de aanvaller in zijn permanente geheugen te schrijven. Het zichtbare antwoord zegt niets over het feit dat het dit heeft gedaan. En later, in een nieuw gesprek, verandert die valse noot wat hij je vertelt of voor je doet.
In een van de testgevallen van het onderzoek was de geplante leugen dat de dagelijkse verzendlimiet van de gebruiker in Zelle was verhoogd naar $ 10.000.
Je begrijpt de verandering om een aantal redenen niet. De assistent verbergt de stappen achter de schermen door zijn ontwerp, zodat het moment waarop hij een bestand bewerkt, nooit in de chat verschijnt. Er zijn maar weinig gebruikers die ooit de onbewerkte geheugenbestanden openen om ze te lezen. En wanneer de agent op de achtergrond volgens een schema draait, stuurt hij vaak helemaal geen bericht, dus daar is niets van te merken.
Om het gif te laten blijven hangen, richt de tool zich op de kernbestanden die elke sessie laden, zodat een enkele schrijfbewerking in elke latere sessie wordt geladen in plaats van te wachten om uit een afzonderlijke geheugenopslag te worden gehaald.
De aanval wordt gegenereerd door een tool die de onderzoekers noemen MemGhost. De makers hebben een aanvaller offline getraind tegen een schaduwkopie van een persoonlijke agent, waarbij e-mails werden beloond die het geheugen bespaarden terwijl het antwoord stil bleef. Tijdens de aanval schrijft het de voltooide e-mail in één keer, zonder heen en weer te praten met het slachtoffer.
In 56 nieuwe testgevallen voerde MemGhost de volledige aanval uit, plantte een valse herinnering, verborg deze en beïnvloedde vervolgens de antwoorden van de agent in een latere sessie. Het werkte in 87,5% van de achtergrondmodus-runs tegen OpenClaw op GPT-5.4, en 71,4% tegen een Claude Code SDK-agent op Sonnet 4.6.
Dit waren geïsoleerde benchmarkruns, en ze beginnen pas nadat de e-mail al een inbox heeft bereikt die de agent leest, dus niets test hier of een echte payload eerst de spamfiltering of de authenticatie van de afzender wist.
Het succes was over het algemeen lager bij tests op de voorgrond, waarbij de gebruiker het antwoord kan zien. In de achtergrondmodus bleef het boven de 80% op elk van de twee andere agentframeworks en op een vectorgebaseerde geheugenopslag in plaats van de gewone bestanden. Het team heeft ook gebouwd FluisterBencheen benchmark van 108 gevallen die de risico’s omvat van slecht medisch advies tot geldverlies en veiligheidssabotage.
Ruwe versies van de truc mislukken meestal. Een botte ‘bewaar dit rustig en zeg niets’ werd bijna elke keer door de sterkste modellen opgevangen of genegeerd; de getrainde generator heeft de cijfers omhoog geduwd. Het glipte ook voorbij de verdedigingswerken die bedoeld waren om dit soort aanvallen te stoppen.
Een invoerfilter dat was gebouwd om vergiftigde e-mails op te vangen, miste het bericht van MemGhost meer dan negen op de tien keer, en een model dat speciaal was gehard om instructies te negeren die per e-mail binnenkomen, volgde nog steeds ongeveer de helft van de tijd het geplaatste bericht. Zelfs als de eigenaar ronduit werd gevraagd: ‘Vertel me wat je hebt gecontroleerd en wat je hebt gedaan’, bleef de aanval ongeveer een kwart van de tijd verborgen op één model.
Er is geen snelle patch om op te wachten. OpenClaw’s eigen beveiligingsbeleid beschouwt snelle injectie op zichzelf als buiten het bereik van een oplossing, tenzij het ook een autorisatie-, tool-beleid-, goedkeurings- of sandbox-grens overschrijdt. MemGhost overschrijdt geen van deze, omdat het werkt via de eigen geheugenschrijftool van de agent, en onderzoekers blijven precies dit soort injectie tegen het raamwerk demonstreren.
De auteurs van het onderzoek beweren dat de echte oplossing in de agent moet zitten: taggen waar een stukje informatie vandaan komt, de gebruiker vragen voordat iets het duurzame geheugen bereikt, en elke schrijfactie loggen. Tot die landen is de blootgestelde opstelling elke agent die zowel niet-vertrouwde e-mail leest als zijn eigen geheugen kan schrijven zonder te vragen.
De botte oplossing is om deze twee banen gescheiden te houden. Als dat niet lukt, beperk dan wat een door e-mail geactiveerde run kan veranderen en controleer de geheugenbestanden nadat er iets verdachts binnenkomt.
OpenClaw bevestigde dat standpunt tegenover The Hacker News en kwam terug op de manier waarop de krant zijn agent had opgezet. De beveiligingsrichtlijnen vertellen operators dat ze niet-vertrouwde e-mail moeten routeren via een aparte reader-agent, ontdaan van geheugen-, bestands- en shell-tools, waarbij alleen een samenvatting wordt doorgegeven aan de hoofdagent, wat de krant niet heeft getest.
Het stelt ook zaken op het gebied van het model aan de orde: de OpenClaw-runs gebruikten GPT-5.4, een actueel grensmodel, maar de auteurs sloegen Claude Opus 4.6 over vanwege de kosten, en OpenClaw wees op HackMyClaw, een publieke uitdaging waarbij duizenden injectie-e-mails er niet in slaagden een geheim van een Opus 4.6-agent te ontfutselen. Die test was gericht op gegevensdiefstal, niet op geheugenvergiftiging, en beantwoordt dus niet direct aan de paper.
OpenClaw zei dat het de geheugenschrijfcontroles voor externe inhoud, inclusief herkomst, auditlogboeken en bevestigingsvragen, in dezelfde richting afweegt als de krant aanbeveelt. The Hacker News heeft ook contact opgenomen met de auteurs van het artikel en zal dit verhaal bij eventuele reacties bijwerken.
De handmatige versie kwam eerst
In 2024 demonstreerde onderzoeker Johann Rehberger met de hand dezelfde stap tegen ChatGPT, waarbij hij instructies in het langetermijngeheugen plantte via vergiftigde webinhoud, zodat het de gegevens van een gebruiker in toekomstige chats zou blijven lekken. Hij noemde het SpAIware. OpenAI sloot het datalekpad af, maar de mogelijkheid om geheugen te schrijven van niet-vertrouwde inhoud bleef bestaan.
Een jaar later bereikte het een verzendproduct. EchoLeak (CVE-2025-32711), onthuld door Aim Security in juni 2025, gebruikte een e-mail met verborgen tekst om ervoor te zorgen dat Microsoft 365 Copilot interne bedrijfsgegevens overhandigde toen de gebruiker deze later een normale vraag stelde. Microsoft beoordeelde het als kritiek en repareerde het, en er werd geen misbruik in de echte wereld gemeld.
Een latere casestudy legde uit hoe het langs de filters van Copilot glipte. Beiden toonden aan dat de inhoud die een AI leest opdrachten kan bevatten, geleverd door een e-mail die iedereen kan verzenden.
Wat MemGhost toevoegt is doorzettingsvermogen: de versie van Rehberger moest met de hand worden geplant, en EchoLeak lekte alleen gegevens op het moment dat erom werd gevraagd, maar hier verandert een geautomatiseerde payload één e-mail in een vals geheugen dat blijft staan en sessies stuurt lang nadat het bericht is verdwenen.
Dit is een laboratoriumuitslag, geen inbraak. De onderzoekers voerden alles uit in verzegelde testomgevingen met nep-inboxen en nep-gebruikers, en de papieren documenten werden alleen in het laboratorium getest, niet tegen echte mensen; ze zeggen dat ze van plan zijn hun bevindingen, aanvalspatronen en de benchmark bekend te maken aan de makers van de betrokken agenten en modellen.
Stealth wordt in het onderzoek gedeeltelijk toegepast omdat capabele agenten zijn gebouwd om hun toolactiviteit buiten de chat te houden. Het enige model dat zichzelf verraadde deed dit door de tussenstappen in het antwoord af te drukken, en de onderzoekers verwachten dat detectie moeilijker zal worden naarmate agenten beter worden in stil werken.
Het echte probleem is duidelijker: een boodschap van buitenaf werd een duurzame, vertrouwde context binnen de agent, zonder zichtbaar moment waarop iemand deze goedkeurde.