MemGhost vergiftet das Gedächtnis von KI-Agenten per E-Mail : Manipulierte Nachrichten können falsche Fakten dauerhaft im Agentenspeicher verankern
Ein KI-Agent liest eine präparierte E-Mail, speichert unbemerkt eine falsche Information und verwendet sie noch in späteren Sitzungen. Die als MemGhost bezeichnete Angriffstechnik zeigt, wie aus Prompt Injection eine dauerhafte Manipulation des Agentengedächtnisses werden kann.
Persistente KI-Agenten unterscheiden sich von gewöhnlichen Chatbots durch ihr Gedächtnis. Sie speichern Vorlieben, Kontakte oder wiederkehrende Aufgaben und laden diese Informationen bei späteren Sitzungen erneut in den Modellkontext. Erhalten solche Assistenten zugleich Zugriff auf E-Mails, Kalender und lokale Dateien, kann jedoch fremder Inhalt in einen dauerhaft vertrauten Datenbestand gelangen.
Genau darauf zielt die in der Arbeit „When Claws Remember but Do Not Tell“ beschriebene Stealth Memory Injection. Die am 6. Juli 2026 auf arXiv veröffentlichte Studie untersucht vor allem OpenClaw. Der Open-Source-Agent speichert Anweisungen und Nutzerdaten unter anderem in Klartextdateien wie AGENTS.md und MEMORY.md, die bei jedem Start erneut eingelesen werden.
Vom E-Mail-Text zur dauerhaften Erinnerung
Der Angreifer benötigt weder Passwort noch Kontozugriff. Es genügt eine präparierte E-Mail an einen Nutzer, dessen Agent regelmäßig den Posteingang verarbeitet. Im Nachrichtentext befinden sich versteckte oder unauffällig formulierte Anweisungen für das Sprachmodell.
Folgt der Agent diesen Befehlen, läuft der Angriff in drei Schritten ab:
- Der Agent schreibt eine falsche Information mit seinen eigenen Werkzeugen in den persistenten Speicher.
- Die sichtbare Antwort verschweigt die Änderung.
- Spätere Sitzungen übernehmen die manipulierte Information als vermeintliche Tatsache.
In einem Testszenario speicherte der Agent etwa die Behauptung, das tägliche Überweisungslimit des Nutzers bei Zelle sei auf 10.000 US-Dollar erhöht worden. Da viele Agenten ihre Werkzeugaufrufe nicht im Chat anzeigen, bleibt der Schreibvorgang unsichtbar. Bei zeitgesteuerten Hintergrundläufen erscheint häufig überhaupt keine Nachricht.
Automatisierte Prompt Injection
Die Autoren entwickelten für den Angriff das Werkzeug MemGhost. Ein Angreifermodell wurde offline gegen eine nachgebildete Agentenumgebung trainiert. Belohnt wurden E-Mails, die eine Speicheränderung auslösten, ohne dass die Antwort den Vorgang offenbarte. Beim eigentlichen Angriff erzeugt das System die Nachricht anschließend ohne weitere Interaktion.
In 56 neuen Testfällen gelang der vollständige Angriff bei OpenClaw mit GPT-5.4 in 87,5 Prozent der Hintergrundläufe. Bei einem auf dem Claude Code SDK und Sonnet 4.6 basierenden Agenten lag die Quote bei 71,4 Prozent. Auch bei zwei weiteren Agenten-Frameworks und einem vektorbasierten Speicher erreichte die Erfolgsrate im Hintergrundbetrieb jeweils mehr als 80 Prozent.
Die Ergebnisse stammen allerdings aus isolierten Laborumgebungen. Nicht untersucht wurde, ob reale Nachrichten Spamfilter, Absenderprüfungen oder andere vorgelagerte Kontrollen passieren würden.
Filter erkennen die Manipulation häufig nicht
Einfache Anweisungen wie „Speichere dies und sage nichts“ scheiterten meist. Der trainierte Generator formulierte die Angriffe jedoch so, dass ein Eingabefilter mehr als neun von zehn Nachrichten übersah. Ein speziell gegen E-Mail-Anweisungen gehärtetes Modell folgte der Manipulation noch in etwa der Hälfte der Versuche.
Selbst die ausdrückliche Aufforderung des Nutzers, alle ausgeführten Schritte offenzulegen, deckte den Angriff bei einem Modell in rund einem Viertel der Fälle nicht auf. Mit WhisperBench stellten die Autoren zudem einen Benchmark mit 108 Szenarien zusammen, darunter finanzielle Schäden, falsche medizinische Hinweise und Sabotage von Sicherheitsmaßnahmen.
Herkunft muss Teil des Gedächtnisses werden
MemGhost nutzt keine klassische Schwachstelle wie einen Speicherfehler, eine Rechteausweitung oder das Umgehen einer Sandbox. Der Agent arbeitet mit den Berechtigungen, die ihm regulär zugewiesen wurden: Er liest eine E-Mail, interpretiert deren Inhalt und verwendet anschließend sein legitimes Speicherwerkzeug, um eine neue Information in das Langzeitgedächtnis zu schreiben.
Gerade darin liegt das Problem. Für das Agentensystem ist der Schreibvorgang formal erlaubt. Es fehlt jedoch eine belastbare Trennung zwischen einer Information, die der Nutzer selbst bestätigt hat, und einer Behauptung, die aus einer fremden, nicht vertrauenswürdigen E-Mail stammt. Sobald der externe Inhalt in einer Kerndatei oder einem persistenten Speicher landet, verliert er häufig seine ursprüngliche Kennzeichnung. In späteren Sitzungen erscheint die manipulierte Information deshalb nicht mehr als zweifelhafte Aussage eines unbekannten Absenders, sondern als Teil des eigenen, vermeintlich verlässlichen Gedächtnisses.
Die Autoren sehen die Abhilfe daher nicht allein in besseren Filtern vor dem Posteingang. Die Kontrolle muss innerhalb der Agentenarchitektur ansetzen und den gesamten Lebenszyklus einer Erinnerung erfassen: von der Quelle über den Schreibvorgang bis zur späteren Nutzung.
Dazu empfehlen sie insbesondere:
- Herkunft und Vertrauensniveau jeder Erinnerung speichern: Zu jedem Eintrag sollte nachvollziehbar bleiben, ob er vom Nutzer selbst, aus einer E-Mail, von einer Webseite, aus einem Dokument oder aus einer Schlussfolgerung des Modells stammt. Eine unbestätigte Angabe aus externer Kommunikation darf nicht denselben Stellenwert erhalten wie eine ausdrücklich vom Nutzer bestätigte Tatsache.
- Dauerhafte Speicheränderungen bestätigen lassen: Bevor ein Agent neue Informationen in seinen Langzeitspeicher übernimmt, sollte er dem Nutzer den vorgesehenen Eintrag sichtbar anzeigen und eine Freigabe verlangen. Das gilt besonders für Finanzdaten, Kontakte, Sicherheitsregeln, medizinische Angaben und andere Informationen, die spätere Entscheidungen beeinflussen können.
- Jeden Schreibvorgang protokollieren: Änderungen am Gedächtnis sollten in einem Audit-Protokoll mit Quelle, Zeitpunkt, Ziel, altem und neuem Wert sowie dem auslösenden Agentenlauf dokumentiert werden. Nur so lässt sich später erkennen, wann und wodurch eine falsche Erinnerung entstanden ist. Das Protokoll sollte außerhalb der Schreibrechte des Agenten liegen, damit dieser seine Spuren nicht selbst verändern kann.
- E-Mail-Verarbeitung von privilegierten Werkzeugen trennen: Ein Agent, der nicht vertrauenswürdige Nachrichten liest, sollte keinen direkten Zugriff auf Langzeitspeicher, Dateien oder Shell-Kommandos besitzen. Seine Aufgabe sollte sich darauf beschränken, Inhalte zu lesen, zu klassifizieren und zusammenzufassen.
- Nur bereinigte Zusammenfassungen weiterreichen: Der Hauptagent sollte nicht den vollständigen Originaltext einer externen E-Mail erhalten, sondern lediglich eine strukturierte, geprüfte Zusammenfassung. Dadurch sinkt das Risiko, dass versteckte oder geschickt formulierte Anweisungen aus der Nachricht unverändert in den privilegierten Kontext gelangen.
Auch OpenClaw verweist auf eine solche getrennte Reader-Architektur. Nicht vertrauenswürdige E-Mails sollen demnach durch einen eigenen, stark eingeschränkten Agenten verarbeitet werden, der keine Speicher-, Datei- oder Shell-Werkzeuge besitzt. Dieser Reader übergibt lediglich eine Zusammenfassung an den Hauptagenten. Zugleich prüft das Projekt zusätzliche Schutzmechanismen wie Herkunftsnachweise für Erinnerungen, Audit-Protokolle und Bestätigungsdialoge vor Speicheränderungen.
Damit beschreibt die Studie weniger einen einzelnen Programmfehler als ein grundlegendes Architekturproblem: Externer Inhalt wird von einem Agenten gelesen, intern verarbeitet und anschließend ohne klaren Vertrauenswechsel in dauerhaftes Wissen umgewandelt. Genau dieser Übergang muss sichtbar, kontrollierbar und technisch abgesichert werden. Eine fremde Nachricht darf nicht allein deshalb zu vertrauenswürdigem Kontext werden, weil ein Agent sie selbst in sein Gedächtnis geschrieben hat.
Häufige Fragen zu MemGhost
Was ist MemGhost?
MemGhost beschreibt einen Angriff auf KI-Agenten, bei dem fremde Inhalte aus E-Mails in das Langzeitgedächtnis eines Agenten gelangen. Die manipulierte Information kann später wie eine vertrauenswürdige Erinnerung wirken.
Warum ist MemGhost keine klassische Sicherheitslücke?
MemGhost nutzt keinen Speicherfehler, keine Rechteausweitung und kein Sandbox-Bypassing. Der Agent verwendet regulär erlaubte Berechtigungen: Er liest externe Inhalte und schreibt anschließend Informationen in sein Langzeitgedächtnis.
Wie manipuliert MemGhost das Gedächtnis eines Agenten?
Ein Agent liest eine nicht vertrauenswürdige E-Mail, interpretiert deren Inhalt und speichert daraus eine neue Erinnerung. Wenn Quelle und Vertrauensniveau verloren gehen, erscheint die Aussage später als Teil des eigenen Agentenwissens.
Warum ist das Speichern externer Inhalte riskant?
Externe Inhalte können falsche oder manipulierte Aussagen enthalten. Werden sie ohne Kennzeichnung dauerhaft gespeichert, kann der Agent sie in späteren Sitzungen als verlässliche Grundlage für Entscheidungen verwenden.
Welche Schutzmaßnahmen helfen gegen MemGhost?
Wirksame Schutzmaßnahmen sind Herkunftsnachweise für jede Erinnerung, Nutzerbestätigung vor Speicheränderungen, Audit-Protokolle und eine getrennte Reader-Architektur für nicht vertrauenswürdige E-Mails.
Warum reicht ein E-Mail-Filter gegen MemGhost nicht aus?
Ein E-Mail-Filter kann schädliche Nachrichten reduzieren, löst aber nicht das Architekturproblem. Entscheidend ist, wie der Agent externe Inhalte bewertet, speichert und später wieder als Kontext nutzt.

