AI Recommendation Poisoning 被正式點名，記憶層攻擊正在成為下一個安全缺口

最該補上的 AI 安全主線，不一定是新漏洞名稱，而是攻擊面已經開始往記憶與推薦層下沉。當研究者直接把這件事命名為 AI Recommendation Poisoning，意味著市場得承認：模型不只會被一次性提示污染，也可能被長期偏好、記憶與來源排序慢慢帶歪。

官方研究、安全媒體、開發者論壇、推薦系統歷史問題和 agent 工具的真實風險放在一起看，這條線最麻煩的地方在於它不像傳統漏洞那樣一下炸開，而是會緩慢改寫系統未來的每一次輸出。

它危險的地方在於像慢性病，不像急診

傳統 prompt injection 多半是一次性的上下文污染；記憶層與推薦層 poisoning 更像慢性偏移。系統表面上不一定立刻崩壞，但會慢慢更偏向某些來源、某些商品、某些判斷路徑。等使用者發現時，輸出邏輯早就被帶歪了。

這種風險在 agent 身上尤其危險，因為 agent 不只是回答，它還會根據歷史資訊做後續動作。記憶、偏好或來源排序一旦被污染，風險就會從答案錯誤升級成行動錯誤。這條線和 OpenClaw 反噬案例被放大，AI 代理人的信任危機已經不是理論問題是同一類風險的不同層，一個是權限，一個是記憶。

短期上下文、長期記憶與推薦層資料不能混成一團。長期記憶必須可檢查、可清除、可回退。推薦排序不該完全交給黑盒權重，至少要保留可檢視與校正空間。這些做法短期看起來麻煩，但如果不先做，未來 AI 安全事故會愈來愈不像 bug，而更像慢性操縱。

把這條新聞和 AI 代理人要變好用，關鍵可能不是更會說，而是更會找一起看，會更容易理解下一代 AI 安全的主戰場。攻擊者不一定要讓模型立刻出錯，只要讓模型慢慢信錯東西，就足夠危險。