Novo ataque MemGhost insere “memórias” falsas persistentes em agentes de IA com um único email
14 de Julho de 2026

Dê a um assistente de IA memória e acesso à sua caixa de entrada, e você estará entregando a um atacante uma forma de reescrever o que ele acredita saber sobre você.

Um único e-mail pode enganar esse agente para salvar uma falsa “informação” sobre o usuário, ocultar a alteração e, de forma silenciosa, direcionar suas respostas em sessões futuras.

Quando isso funciona, a pessoa lê uma resposta que parece normal e nunca descobre que o assistente foi adulterado.

Os pesquisadores batizaram o ataque de stealth memory injection e criaram uma ferramenta que escreve os e-mails automaticamente.

O artigo, “When Claws Remember but Do Not Tell”, foi publicado no arXiv em 6 de julho de 2026.

### Primeiro, o que esses assistentes fazem

Um agente pessoal é um assistente de IA que permanece ativo ao longo do tempo.

Em vez de esquecer tudo quando um bate-papo termina, ele guarda anotações sobre você em arquivos, incluindo suas preferências, seus contatos e o que você pediu para ele fazer.

Ele lê essas anotações no início de cada nova sessão, o que faz parecer que realmente o conhece.

Muitos desses agentes também podem agir em seu nome, lendo seus e-mails, verificando sua agenda e executando pequenas tarefas de forma programada enquanto você está ausente.

OpenClaw, o agente de código aberto usado como alvo principal do estudo, mantém esse estado em arquivos de texto simples.

Alguns armazenam suas instruções permanentes em AGENTS.md, e outros registram o que ele aprendeu sobre você em MEMORY.md.

Ele carrega os arquivos centrais para o contexto do modelo no início de cada sessão.

Essas anotações são justamente a razão de existir do produto.

E também são o alvo.

### O ataque de um único e-mail

O atacante não precisa da sua senha nem da sua conta.

Ele envia um e-mail para alguém cujo agente foi configurado para verificar a caixa de entrada, o que, para esses assistentes, é uma tarefa rotineira.

Escondido nesse e-mail há um texto direcionado ao assistente, não a você.

Se a habilidade do agente para ler e-mails cair na armadilha, três coisas acontecem em sequência.

O agente usa suas próprias ferramentas de arquivo para gravar a falsa nota do atacante na memória persistente.

A resposta visível não menciona essa ação.

E, mais tarde, em uma conversa nova, essa falsa informação altera o que ele diz ou faz por você.

Em um dos testes do estudo, a mentira inserida dizia que o limite diário de envio via Zelle do usuário havia sido aumentado para US$ 10.000.

A alteração passa despercebida por alguns motivos.

O assistente esconde por padrão suas etapas internas, então o momento em que edita um arquivo nunca aparece no bate-papo.

Poucos usuários abrem os arquivos brutos de memória para conferir.

E, quando o agente roda em segundo plano de forma programada, muitas vezes não envia mensagem alguma, então não há nada a notar.

Para fazer o envenenamento persistir, a ferramenta mira os arquivos centrais que são carregados em toda sessão, de modo que uma única gravação seja reaproveitada em todas as interações seguintes, em vez de depender de uma memória separada para ser consultada depois.

O ataque é gerado por uma ferramenta que os pesquisadores chamam de MemGhost.

Seus criadores treinaram um modelo atacante offline contra uma cópia espelho de um agente pessoal, recompensando e-mails que conseguiam salvar a memória enquanto mantinham a resposta em silêncio.

No momento do ataque, a ferramenta escreve o e-mail final de uma só vez, sem troca de mensagens com a vítima.

Em 56 casos novos de teste, o MemGhost executou o ataque completo, inserindo uma falsa memória, ocultando isso e depois influenciando as respostas do agente em uma sessão posterior.

O método funcionou em 87,5% das execuções em segundo plano contra o OpenClaw com GPT-5.4, e em 71,4% contra um agente do Claude Code SDK em Sonnet 4.6.

Esses foram testes de referência isolados, e eles começam apenas depois que o e-mail já chegou a uma caixa de entrada lida pelo agente, então nada disso verifica se um payload real passaria por filtros de spam ou autenticação do remetente antes.

O sucesso foi geralmente menor nos testes em primeiro plano, quando o usuário pode ver a resposta.

Em segundo plano, porém, a taxa permaneceu acima de 80% em outros dois frameworks de agente e também em um armazenamento de memória vetorial no lugar dos arquivos simples.

A equipe também criou o WhisperBench, uma referência com 108 casos que cobre riscos que vão de orientação médica incorreta a perdas financeiras e sabotagem de segurança.

Versões rudimentares do truque falham na maioria das vezes.

Um “salve isso discretamente e não diga nada” direto e sem refinamento foi detectado ou ignorado pelos modelos mais fortes quase sempre.

O que elevou os números foi o gerador treinado.

Ele também conseguiu escapar das defesas criadas para impedir esse tipo de ataque.

Um filtro de entrada desenvolvido para detectar e-mails envenenados deixou passar a mensagem do MemGhost em mais de nove em cada dez vezes.

E um modelo especificamente endurecido para ignorar instruções que chegam por e-mail ainda seguiu a instrução inserida em cerca da metade das vezes.

Mesmo quando o proprietário foi levado a perguntar diretamente “diga o que você verificou e o que fez”, o ataque continuou oculto em cerca de um quarto das vezes em um dos modelos.

Não há um patch rápido esperando para ser aplicado.

A própria política de segurança do OpenClaw trata prompt injection, por si só, como algo fora do escopo de uma correção, a menos que também ultrapasse uma fronteira de autorização, política de ferramentas, aprovação ou sandbox.

O MemGhost não cruza nenhuma dessas fronteiras, porque opera por meio da própria ferramenta de gravação de memória do agente, e pesquisadores continuam demonstrando exatamente esse tipo de injeção contra o framework.

Os autores do estudo defendem que a verdadeira correção precisa estar dentro do agente, com marcação da origem de cada informação, pedido de confirmação ao usuário antes que algo entre na memória durável e registro de todas as gravações.

Até lá, a configuração exposta é qualquer agente que leia e-mails não confiáveis e possa escrever na própria memória sem pedir autorização.

A correção mais direta é separar essas duas funções.

Se isso não for possível, limite o que uma execução acionada por e-mail pode alterar e revise os arquivos de memória depois de qualquer mensagem suspeita.

Segundo o The Hacker News, o OpenClaw confirmou essa posição e contestou a forma como o artigo configurou o agente.

A orientação de segurança da empresa recomenda encaminhar e-mails não confiáveis para um agente leitor separado, sem ferramentas de memória, arquivos ou shell, repassando ao agente principal apenas um resumo, o que o estudo não testou.

A empresa também afirma que o nível do modelo importa.

As execuções do OpenClaw usaram GPT-5.4, um modelo de ponta atual, mas os autores deixaram de fora o Claude Opus 4.6 por custo.

O OpenClaw citou o HackMyClaw, um desafio público em que milhares de e-mails de injeção não conseguiram extrair um segredo de um agente Opus 4.6.

Esse teste mirava roubo de dados, não envenenamento de memória, então não responde diretamente ao artigo.

O OpenClaw disse que está avaliando controles de gravação de memória para conteúdo externo, incluindo procedência, registros de auditoria e prompts de confirmação, na mesma direção recomendada pelo artigo.

A versão manual veio antes

Em 2024, o pesquisador Johann Rehberger demonstrou o mesmo movimento manualmente contra o ChatGPT, inserindo instruções na memória de longo prazo por meio de conteúdo web envenenado para que ele continuasse vazando dados de um usuário em conversas futuras.

Ele chamou isso de SpAIware.

A OpenAI fechou a rota de vazamento de dados, mas a capacidade de escrever memória a partir de conteúdo não confiável permaneceu.

Um ano depois, isso chegou a um produto em produção.

O EchoLeak, identificado como CVE-2025-32711 e revelado pela Aim Security em junho de 2025, usou um único e-mail com texto oculto para fazer o Microsoft 365 Copilot entregar dados internos da empresa quando o usuário depois fazia uma pergunta comum.

A Microsoft classificou o problema como crítico e aplicou um patch, e não houve relato de abuso no mundo real.

Um estudo de caso posterior detalhou como o ataque escapou dos filtros do Copilot.

Ambos mostraram que o conteúdo lido por uma IA pode carregar comandos, entregues por um e-mail que qualquer pessoa pode enviar.

O que o MemGhost acrescenta é persistência.

A versão de Rehberger precisava ser inserida manualmente, e o EchoLeak só vazava dados no momento em que era acionado.

Aqui, porém, um payload automatizado transforma um único e-mail em uma falsa memória que permanece e passa a direcionar sessões muito depois de a mensagem ter desaparecido.

Este é um resultado de laboratório, não uma invasão em curso.

Os pesquisadores executaram tudo em ambientes isolados, com caixas de entrada falsas e usuários falsos, e o artigo documenta apenas testes de laboratório, não uso contra pessoas reais.

Eles afirmam que pretendem divulgar suas descobertas, padrões de ataque e a referência para os criadores dos agentes e modelos afetados.

A furtividade se mantém no estudo em parte porque agentes mais capazes são construídos para manter suas atividades com ferramentas fora do bate-papo.

O único modelo que se denunciou fez isso ao imprimir suas etapas intermediárias na resposta, e os pesquisadores esperam que a detecção fique ainda mais difícil à medida que os agentes se tornem melhores em operar sem chamar atenção.

O problema real é mais simples: uma mensagem externa virou contexto durável e confiável dentro do agente, sem um momento visível em que alguém tenha aprovado isso.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...