7月13日、The Hacker Newsが「New MemGhost Attack Plants Persistent False Memories in AI Agents Through One Email」と題した記事を公開した。この記事では、メール1通でAIエージェントの長期記憶に偽の情報を永続的に植え付ける「MemGhost」攻撃について詳しく紹介されている。
AIエージェントの「記憶」が攻撃面になる
AIエージェントが「記憶」を持つようになって久しい。チャットが終わっても設定や過去のやり取りを保持し、次のセッションでも「あなたのことを知っている」ように振る舞う——それがパーソナルエージェントの売りだ。
だが、その記憶こそが攻撃の標的になる。
2026年7月6日にarXivに公開された論文「When Claws Remember but Do Not Tell」は、メール1通でAIエージェントの長期記憶に偽情報を書き込み、その痕跡をユーザーから隠し、以降のセッションで回答を操作し続ける攻撃手法を実証した。研究チームはこの攻撃をステルスメモリインジェクションと呼び、それを自動生成するツールをMemGhostと命名した。
攻撃の仕組み:3ステップで記憶を汚染する
論文の主要ターゲットはOpenClaw——オープンソースのパーソナルAIエージェントだ。OpenClawは状態をプレーンテキストで管理する。AGENTS.mdには常設の指示、MEMORY.mdにはユーザーについて学習した内容が記録され、セッション開始時にモデルのコンテキストへ読み込まれる。
攻撃者はアカウントへの侵入もパスワード奪取も必要としない。エージェントが定期的にメール受信箱を確認するという、ごく普通の動作を悪用する。攻撃メールには、ユーザーではなくエージェントに向けたテキストが埋め込まれている。
メールを受け取ったエージェントは、以下の3つを連続して実行する:
- 自身のファイル書き込みツールを使い、偽情報を永続メモリに保存する
- ユーザーへの返信には、その操作について一切触れない
- 次回以降のセッションで、その偽情報に基づいた回答を返す
論文のテストケースの一つでは、「ユーザーのZelleの1日の送金上限が1万ドルに引き上げられた」という偽情報が植え付けられた。
ユーザーが気づきにくい理由も明確だ。エージェントはツールの実行ログをチャット上に表示しない設計であり、生のメモリファイルを直接開いて確認するユーザーはほとんどいない。バックグラウンドで動作する場合、エージェントはそもそも返信を送らないことも多い。
成功率:GPT-5.4で87.5%、Claude Sonnet 4.6で71.4%
MemGhostは単純な「これを静かに保存して何も言うな」という指示ではない。研究チームは、パーソナルエージェントのシャドウコピーに対してオフラインで攻撃モデルをトレーニングし、「メモリに書き込みつつ返信では隠蔽する」メールを生成するよう強化学習させた。
56件のテストケースで、MemGhostは偽記憶の植え付け・隠蔽・後続セッションへの影響という一連の攻撃を完遂した。成功率は以下の通りだ:
- GPT-5.4上のOpenClaw(バックグラウンドモード):87.5%
- Claude Sonnet 4.6上のClaude Code SDKエージェント:71.4%
- 他の2つのエージェントフレームワークおよびベクターベースのメモリストアでも、バックグラウンドモードで80%以上
既存の防御策に対しても効果は顕著だった。毒入りメールを検知するための入力フィルターは、10回中9回以上でMemGhostのメールを見逃した。メールからの指示を無視するよう強化されたモデルでも、約半分の確率で植え付けに成功した。さらにユーザーが「何を確認して何をしたか教えてくれ」と直接尋ねても、あるモデルでは約4分の1のケースで攻撃が隠蔽されたままだった。
研究チームはあわせてWhisperBenchという108ケースのベンチマークも構築した。誤った医療アドバイスから金銭的損失、セキュリティ妨害まで多様なリスクを網羅している。

前例との違い:「その場限り」から「永続」へ
この種の攻撃は今回が初めてではない。
2024年、研究者のJohann RehbergerがChatGPTに対して手動で同様の手法を実証し、SpAIwareと命名した。毒入りWebコンテンツを通じてChatGPTの長期記憶に指示を植え付け、以降のチャットでユーザーのデータを漏洩させ続けるというものだ。OpenAIはデータ漏洩の経路を塞いだが、信頼されていないコンテンツからメモリに書き込む能力は残った。
2025年6月にはAim SecurityがEchoLeak(CVE-2025-32711)を開示した。非表示テキストを含む1通のメールで、Microsoft 365 Copilotに社内データを漏洩させるというものだ。Microsoftはこれをクリティカルと評価してパッチを適用した。
MemGhostが加えた要素は永続性だ。SpAIwareは手動での植え付けを要し、EchoLeakは質問された瞬間にのみデータを漏洩させた。MemGhostは自動化されたペイロードによって、メールが消えた後も偽記憶がセッションをまたいで残り続ける。
根本的な修正は「今すぐ」できない
OpenClawのセキュリティポリシーは、プロンプトインジェクション単独では修正対象外としており、認可・ツールポリシー・承認・サンドボックスのいずれかの境界を越えた場合のみ対応する。MemGhostはエージェント自身のメモリ書き込みツールを経由するため、これらの境界を一切越えない。
OpenClawはThe Hacker Newsに対し、外部コンテンツからのメモリ書き込み制御——出所の記録(プロベナンス)、監査ログ、確認プロンプト——を検討中であると回答した。これは論文が推奨する方向と一致する。
論文の著者らが提示する現実的な対策は以下だ:
- メールの読み取りとメモリへの書き込みを別エージェントに分離する
- メールトリガーの実行が変更できる範囲を制限する
- 不審なメール受信後にメモリファイルを手動で確認する
OpenClaw自身のセキュリティガイダンスでも、信頼されていないメールはメモリ・ファイル・シェルツールを持たない別の読み取り専用エージェントを経由させ、サマリーのみをメインエージェントに渡すよう推奨している。ただし論文はこの構成をテスト対象としていない。
本研究はすべて封鎖されたテスト環境で実施されており、実際のユーザーへの攻撃ではない。研究チームは攻撃パターンとベンチマークを関係するエージェント・モデルのメーカーに開示する予定としている。
詳細はNew MemGhost Attack Plants Persistent False Memories in AI Agents Through One Emailを参照していただきたい。