Basta una singola email per convincere un agente AI personale a scrivere nella propria memoria una falsa informazione sull'utente, tenerla nascosta nella risposta e riutilizzarla per orientare il proprio comportamento nelle sessioni successive. � il risultato di uno studio comparso su arXiv il 6 luglio, intitolato When Claws Remember but Do Not Tell, che battezza la tecnica iniezione furtiva in memoria (stealth memory injection) e la accompagna con uno strumento capace di generare in automatico le email d'attacco. Il bersaglio � una categoria di assistenti sempre pi� diffusa: gli agenti personali persistenti, che combinano una memoria a lungo termine con l'accesso all'ambiente dell'utente. A differenza di un chatbot che dimentica tutto a fine conversazione, questi agenti conservano annotazioni su preferenze, contatti e compiti in file che rileggono all'inizio di ogni nuova sessione, ed � proprio questo a dare l'impressione che conoscano chi li usa. Molti possono anche agire in autonomia: leggere la posta, controllare il calendario, eseguire piccoli lavori pianificati mentre l'utente � altrove. Il target principale dello studio � OpenClaw, agente open source che mantiene questo stato in file di testo semplice: alcuni contengono le istruzioni permanenti (AGENTS.md), altri ci� che l'agente ha appreso sull'utente (MEMORY.md). All'avvio di ogni sessione i file principali vengono caricati nel contesto del modello. Sono il valore stesso del prodotto, e sono anche il suo punto debole. L'attaccante non ha bisogno della password n� dell'account. Invia una email a chi ha configurato l'agente per controllare la casella, operazione di routine per questi assistenti. Nel testo � nascosta un'istruzione rivolta all'assistente, non al destinatario umano. Se la skill di gestione della posta abbocca, accadono tre cose in sequenza: l'agente usa i propri strumenti di scrittura file per salvare la falsa nota nella memoria persistente, la risposta visibile non ne fa parola, e in una conversazione successiva quella nota altera ci� che l'assistente dice o fa. In uno dei casi di test la bugia piantata era che il limite giornaliero di invio Zelle dell'utente fosse stato alzato a 10.000 dollari. La manomissione sfugge per pi� ragioni convergenti. L'assistente nasconde per progetto i passaggi intermedi, quindi il momento in cui modifica un file non compare mai nella chat; pochi utenti aprono i file di memoria grezzi per rileggerli; e quando l'agente gira in background su pianificazione, spesso non invia alcun messaggio, cos� non c'� nulla da notare. Per far attecchire l'avvelenamento, lo strumento lo indirizza ai file principali caricati a ogni sessione, in modo che una sola scrittura entri in tutte le sessioni future. Un attaccante addestrato a colpo singolo Le versioni rudimentali del trucco falliscono quasi sempre: un banale salva questo di nascosto e non dire nulla veniva intercettato o ignorato dai modelli pi� capaci pressoch� ogni volta. A fare la differenza � MemGhost, il framework di generazione dei payload. I ricercatori hanno addestrato offline un modello attaccante contro una copia-ombra di un agente personale, usando un proxy d'ambiente per emulare l'esecuzione e un proxy d'obiettivo per trasformare l'adozione della memoria e la furtivit� conversazionale in ricompense dense basate su una rubrica di valutazione, con una combinazione di fine-tuning supervisionato e apprendimento per rinforzo. Al momento dell'attacco il sistema scrive l'email finale in un unico passaggio, senza alcuno scambio con la vittima. Sull'impianto sperimentale gli autori hanno costruito WhisperBench, un benchmark da 108 casi che copre cinque categorie di rischio, dai consigli medici sbagliati alla perdita di denaro fino al sabotaggio della sicurezza, e distingue l'avvelenamento di fatti da quello di preferenze, il tutto su un flusso IMAP/SMTP reale e su uno skill di posta autentico. Su 56 casi di test tenuti da parte, MemGhost porta a termine l'intero attacco (impianto della falsa memoria, occultamento e deviazione delle risposte in una sessione successiva) nell'87,5% dei casi contro OpenClaw basato su GPT-5.4 e nel 71,4% contro un agente Claude Code SDK su Sonnet 4.6. La tecnica si trasferisce ad altre architetture, NanoClaw e Hermes Agent, e ad altri backend di memoria, dai file al database vettoriale Mem0, e resta efficace contro difese a livello di input, di modello e di sistema. Il tasso cala quando l'agente lavora in primo piano, dove l'utente pu� vedere la risposta; in background resta sopra l'80% su due ulteriori framework e sull'archivio vettoriale. I ricercatori hanno messo alla prova proprio le contromisure pensate per questo tipo di attacco. Un filtro d'ingresso costruito per intercettare le email avvelenate ha mancato il messaggio di MemGhost pi� di nove volte su dieci; un modello irrobustito per ignorare le istruzioni che arrivano via email ha comunque seguito quella piantata circa una volta su due. E anche quando all'agente veniva chiesto esplicitamente dimmi cosa hai controllato e cosa hai fatto, su un modello l'attacco restava nascosto in circa un quarto dei casi. Va tenuto presente che si tratta di risultati di laboratorio: tutto � stato eseguito in ambienti sigillati con caselle e utenti fittizi, e le prove partono dopo che l'email ha gi� raggiunto una casella letta dall'agente. Nulla verifica quindi se un payload reale supererebbe i filtri antispam o l'autenticazione del mittente. Nessuna patch da attendere Non c'� una correzione rapida in arrivo. La stessa politica di sicurezza di OpenClaw considera la prompt injection, presa da sola, fuori dal perimetro di intervento, a meno che non superi anche un confine di autorizzazione, di policy sugli strumenti, di approvazione o di sandbox. MemGhost non ne oltrepassa nessuno, perch� lavora attraverso lo stesso strumento di scrittura in memoria dell'agente. OpenClaw contesta per� l'impostazione dell'esperimento. La sua guida raccomanda di far passare la posta non fidata attraverso un agente lettore separato, privato degli strumenti di memoria, file e shell, che consegni all'agente principale solo un riassunto, configurazione che lo studio non ha testato. Obietta inoltre che il livello del modello conta: le prove su OpenClaw hanno usato GPT-5.4, mentre gli autori hanno saltato Claude Opus 4.6 per ragioni di costo. A supporto cita HackMyClaw, una sfida pubblica in cui migliaia di email di injection non sono riuscite a estrarre un segreto da un agente Opus 4.6, anche se quel test mirava al furto di dati e non all'avvelenamento della memoria, e quindi non risponde direttamente al lavoro. L'azienda dice comunque di star valutando controlli sulla scrittura in memoria dei contenuti esterni, tra cui provenienza, log di audit e richieste di conferma. La correzione, sostengono gli autori, deve vivere dentro l'agente: etichettare la provenienza di ogni informazione, chiedere conferma all'utente prima che qualcosa raggiunga la memoria durevole, registrare ogni scrittura. La contromisura netta � tenere separati i due compiti, leggere posta non fidata e scrivere nella propria memoria. Finch� qualcosa del genere non arriva, resta esposto qualsiasi agente che faccia entrambe le cose senza chiedere. Un precedente c'era gi�. Nel 2024 il ricercatore Johann Rehberger aveva mostrato a mano la stessa mossa contro ChatGPT, piantando istruzioni nella memoria a lungo termine tramite contenuti web avvelenati: la chiam� SpAIware. OpenAI chiuse la via di fuga dei dati, ma la possibilit� di scrivere in memoria a partire da contenuti non fidati rimase. Un anno dopo l'idea raggiunse un prodotto in commercio con EchoLeak (CVE-2025-32711), divulgata da Aim Security nel giugno 2025: una singola email con testo nascosto induceva Microsoft 365 Copilot a consegnare dati aziendali interni quando l'utente, pi� tardi, gli poneva una domanda qualsiasi. Microsoft la classific� critica e la corresse, senza abusi reali segnalati. Ci� che MemGhost aggiunge � la persistenza: dove le versioni precedenti andavano piantate a mano o rubavano dati solo nell'istante della richiesta, qui un payload automatico trasforma una email in un ricordo falso che resta e continua a orientare le sessioni.