Incluso un modelo entrenado para ignorar instrucciones externas retuvo datos falsos en su memoria en el 49% de los casos.

Bastó un solo correo electrónico para sustituir de forma imperceptible la memoria a largo plazo de un asistente personal de IA y afectar sus respuestas en varias sesiones. Este escenario fue demostrado por expertos de la Universidad Tecnológica de Nanyang, la Universidad Johns Hopkins y la agencia singapurense A*STAR.
Los autores estudiaron asistentes que leen correo, gestionan calendarios y archivos y además recuerdan preferencias e información sobre el usuario. Esa memoria se conserva entre sesiones, por lo que una vez registrada la información puede influir en las decisiones del sistema durante mucho tiempo.
El ataque propuesto MEMGHOST comienza con un correo electrónico ordinario. En su interior hay una instrucción oculta que hace que el asistente acepte una afirmación falsa como un hecho verídico o como una preferencia del usuario y la guarde en la memoria. La respuesta del sistema aparenta normalidad y no informa al propietario sobre el cambio de datos.
Más tarde, la entrada guardada se activa en el contexto adecuado. El asistente puede dar una recomendación peligrosa, distorsionar información financiera, cambiar configuraciones de seguridad o interrumpir el flujo de trabajo. Los autores consideran el ataque exitoso si los datos falsos se almacenaron en la memoria permanente, el usuario no detectó la sustitución y la entrada guardada cambió el comportamiento posterior del sistema.
Para la evaluación, los especialistas crearon el conjunto WHISPERBENCH de 108 escenarios, que cubren riesgos para la salud, las finanzas, la veracidad de la información, la ciberseguridad y el funcionamiento de los sistemas. En cada prueba, el buzón contenía mensajes ordinarios y un correo malicioso, tras lo cual se le hacía al asistente una pregunta separada en una nueva sesión.
MEMGHOST fue entrenado previamente en un entorno aislado que imitaba a un asistente personal. Este enfoque permitió preparar el correo malicioso sin acceso al sistema de la víctima y sin posibilidad de ajustar el ataque tras el envío. En las pruebas sobre 56 escenarios no utilizados anteriormente, el método alcanzó un 87,5% de éxito completo contra OpenClaw con GPT-5.4 y un 71,4% contra Claude Code SDK con Sonnet 4.6 en el procesamiento de correo en segundo plano.
El ataque también funcionó en NanoClaw y Hermes, y reemplazar la memoria basada en archivos por el almacenamiento vectorial Mem0 no resolvió el problema. En modo en segundo plano, la proporción de ataques exitosos fue del 80,4% en NanoClaw, 82,1% en Hermes y 85,7% en las configuraciones con Mem0.
OpenClaw no estuvo de acuerdo con la forma en que los autores configuraron el sistema para las pruebas. La empresa declaró que recomienda procesar los correos no confiables mediante un agente lector separado que no tenga acceso a la memoria, a los archivos ni al shell de comandos. Al asistente principal solo se le transmite un resumen del mensaje. Los autores del estudio no comprobaron ese esquema.
Los desarrolladores también señalaron la elección de modelos. En las pruebas OpenClaw usó GPT-5.4, mientras que los autores no incluyeron Claude Opus 4.6 por su coste. OpenClaw citó la prueba pública HackMyClaw, donde miles de correos con instrucciones ocultas no lograron extraer un secreto de un agente basado en Opus 4.6. Sin embargo, HackMyClaw comprueba el robo de datos, no la sustitución de memoria, por lo que no puede refutar directamente los resultados del nuevo estudio.
Las medidas de protección contra instrucciones ocultas demostraron eficacia limitada. El filtro DataSentinel dejó pasar el 91,59% de los correos preparados, y el sistema de control de acciones AgentDoG no detectó el 93,46% de ataques contra el agente de IA. Incluso un modelo entrenado para ignorar comandos procedentes de datos externos registró información falsa en la memoria en el 49,07% de los casos.
OpenClaw está considerando restricciones adicionales para la escritura de datos procedentes de fuentes externas. Entre las medidas posibles, los desarrolladores mencionan la fijación del origen de la información, registros de cambios y la solicitud de confirmación antes de guardar información en la memoria. Ese enfoque coincide con las recomendaciones de los autores del trabajo.
Los autores califican la memoria a largo plazo como una nueva frontera de confianza para los asistentes personales de IA. El simple análisis de los correos entrantes no basta. Los desarrolladores necesitarán reglas separadas que prohíban que el contenido externo se convierta directamente en información permanente sobre el usuario. El trabajo fue publicado como un artículo científico preliminar, y todas las pruebas se realizaron en entornos aislados con cuentas ficticias.