今天是 2026 年 7 月 7 日,本期 arXiv 日报聚焦 Agent Memory 领域最新论文。本期亮点非常密集——仅 7 月 4-6 日三天就出现了 8 篇 直接相关的记忆系统论文,覆盖架构设计、安全攻防、评测基准和自优化框架四大方向。
📋 今日相关论文列表
1. When Claws Remember but Do Not Tell: Stealthy Memory Injection in Persistent Personal Agents
- arXiv ID: 2607.05189
- 链接: https://arxiv.org/abs/2607.05189
- 领域: 安全攻防
- 摘要要点: 研究持久化个人代理中的「隐蔽记忆注入」攻击。攻击者通过一封邮件载荷,诱导代理将恶意内容写入长期记忆,且在当前回复中不暴露,影响未来行为。提出 MemGhost 攻击框架和 WhisperBench(108 个测试用例),在 OpenClaw + GPT-5.4 上端到端成功率 87.5%,跨架构和记忆后端(filesystem / Mem0)均有效。
2. Your Agent’s Memories Are Not Its Own: Forged Reasoning Attacks on LLM Agent Memory and Defenses
- arXiv ID: 2607.05xxx(7月6日提交)
- 领域: 安全攻防
- 摘要要点: 持久记忆使 LLM Agent 能存储事实知识、决策历史和推理过程,但也引入了新攻击面——Agent 自身的推理历史。提出 Forged Amplifying Rationale Memory Attack(FARMA),通过篡改推理历史来操纵 Agent 后续行为。
3. MRMS: A Multi-Resolution Memory Substrate for Long-Lived AI Agents
- arXiv ID: 2607.04617
- 链接: https://arxiv.org/abs/2607.04617
- 领域: 架构设计
- 摘要要点: 提出多分辨率记忆基底,沿两个正交轴组织:表征轴(结构化记录/向量表示/图关系)和时间轴(短期痕迹/中期抽象/长期语义承诺)。核心设计约束是「同步结构化-向量-图记忆」:结构化记录控制资格,向量表示支持召回,图关系裁决支持/矛盾/替代。核心主张:可靠个性化是记忆设计问题。
4. Memory-Orchestrated Semantic System (MOSS): An Auditable Agentic Memory Architecture
- arXiv ID: 2607.04391
- 链接: https://arxiv.org/abs/2607.04391
- 领域: 架构设计
- 摘要要点: 批判 RAG 的嵌入相似度搜索不透明、难审计、受向量表示理论限制。MOSS 让 Agent 驱动结构化关系数据库的检索,检索执行是符号化且可复现的(查询生成后不再有 LLM 参与)。报告了一年持续生产部署的独特案例:44M token 对话语料、163,494 文档、569 归纳概念、322,662 概念标注。主张可审计、主权性、结构无界的记忆是 Agent 长期陪伴的前提。
5. SelfMem: Self-Optimizing Memory for AI Agents
- arXiv ID: 2607.03726
- 链接: https://arxiv.org/abs/2607.03726
- 领域: 自优化框架
- 摘要要点: 不强制预定义记忆策略,而是提供记忆工具和反馈信号让 Agent 自行探索、评估、优化记忆策略(「授人以渔」)。在 BEAM 基准上,100K/500K/1M token 规模分别比最强基线提升 48.7%/40.8%/41.9%。
6. PLACEMEM: Toward a Compute-Aware Memory Plane for Lifelong Agents
- arXiv ID: 2607.04089
- 链接: https://arxiv.org/abs/2607.04089
- 领域: 系统设计
- 摘要要点: 系统层面提出 Agent 记忆应表示为「版本化胶囊」,统一语义、溯源、有效性和可复用运行时状态。原型实现 vLLM-first,支持持久胶囊状态、并发安全失效、OpenAI 兼容路由 sidecar。关注记忆的修正感知行为和 KV-cache 复用。
7. EvoAgentBench: Benchmarking Agent Self-Evolution via Ability Transfer
- arXiv ID: 2607.05202
- 链接: https://arxiv.org/abs/2607.05202
- 领域: 评测基准
- 摘要要点: 现有记忆基准关注信息保留而非程序性复用。EvoAgentBench 从 Agent 执行轨迹中提取 trace-grounded Ability,构建领域特定 Ability Graph。528/267 训练/测试分割,策展 Ability 内容可跨模型族迁移,但当前无自动方法能在所有设置下持续正向增益。
8. SovereignPA-Bench: Evaluating User-Owned Personal Agents under Evolving Intent, Platform Mediation, and Consent Constraints
- arXiv ID: 2607.05363
- 链接: https://arxiv.org/abs/2607.05363
- 领域: 评测基准
- 摘要要点: 评估个人代理是否在记忆偏好、执行任务时保持用户主权(隐私、同意、证据、抗操纵)。120 个主权压力场景 × 4 模型族 × 8 策略基线 = 3,840 条轨迹。完整主权脚手架优于 memory-only、consent-only 等基线。
🔥 研究趋势分析
趋势一:记忆安全成为紧迫新前线
两篇攻击论文同时出现(7月6日),标志着 Agent Memory 研究从「怎么建」进入「怎么防」的阶段:
- 隐蔽注入:外部内容被无声写入长期记忆,被当作可信状态复用
- 推理历史篡改:攻击面不仅是存储的事实,还包括推理过程本身
- 攻击成功率极高(87.5%),跨架构和后端均有效,对输入级/模型级/系统级防御均具鲁棒性
这意味着:任何使用持久记忆的 Agent 系统,如果缺乏记忆完整性校验机制,都存在被长期操控的风险。
趋势二:从「RAG 万能」到「结构化记忆架构」
三篇架构论文(MRMS、MOSS、PLACEMEM)都不约而同地批判了纯 RAG/向量检索的局限:
| 论文 | 对 RAG 的批判 | 替代方案 |
|---|---|---|
| MOSS | 嵌入相似度搜索不透明、难审计、受向量表示理论限制 | 结构化关系数据库 + 符号化检索 |
| MRMS | 扩展 prompt 窗口不等于连续性 | 多分辨率基底(结构化+向量+图) |
| PLACEMEM | 纯检索不考虑计算开销和修正传播 | 版本化胶囊 + KV-aware 路由 |
共同主张:记忆需要结构化、可审计、可修正,而非无差别的对话历史堆砌。
趋势三:记忆策略从「人工设计」走向「Agent 自学习」
SelfMem 的核心洞察很有代表性:与其人工定义记忆的存储/检索/摘要策略,不如让 Agent 在反馈环境中自行优化。这与认知科学中的「元记忆(metamemory)」概念呼应——知道什么该记、何时该取、如何组织。
趋势四:评测从「准确率」走向「细粒度诊断」
EvoAgentBench 和 SovereignPA-Bench 代表了评测范式的转变:
- EvoAgentBench:从聚合准确率到经验编码/路由/吸收的细粒度诊断
- SovereignPA-Bench:从任务完成度到隐私/同意/证据/抗操纵的主权评估
💡 关键洞察和创新点
洞察 1:记忆是设计问题,不是容量问题
MRMS 的核心主张——「可靠个性化是记忆设计问题」——精准概括了当前领域的共识。更大的上下文窗口不能替代结构化的记忆架构。
洞察 2:可审计性是记忆系统的必要属性
MOSS 的年度生产部署经验表明,符号化检索 + 全链路日志不仅是合规需求,更是记忆系统自身质量的保障。当检索过程对 LLM 黑箱不可见时,错误难以追踪和修正。
洞察 3:记忆安全是 Agent 部署的先决条件
MemGhost 攻击在 OpenClaw 上 87.5% 的成功率,以及跨 Mem0 后端的迁移性,意味着:记忆系统上线前必须考虑完整性保护,否则攻击者可以通过记忆植入实现长期操控。
洞察 4:程序性记忆 > 陈述性记忆
EvoAgentBench 明确区分了两种记忆复用:信息保留(陈述性)vs 程序性复用(可复用的搜索、调试、验证过程)。当前记忆基准多关注前者,但 Agent 自演化的核心是后者。
洞察 5:记忆的版本化和修正传播
PLACEMEM 提出的「版本化胶囊」概念指向一个重要方向:记忆不是静态存储,而是需要支持修正、失效传播、状态复用的活实体。这直接影响推理时的 KV-cache 复用效率。
🔗 与 19 个开源记忆项目的关联
基于之前对 LangChain、MemGPT、AutoGPT、CrewAI、LlamaIndex 等 19 个开源记忆项目的分析,本期论文的关联如下:
架构层面
| 本期论文 | 关联开源项目 | 关联分析 |
|---|---|---|
| MRMS(多分辨率基底) | MemGPT | MemGPT 的核心/归档记忆分层与 MRMS 的短期/中期/长期轴相似,但 MRMS 增加了图关系层和同步约束 |
| MOSS(可审计架构) | LangChain Memory | LangChain 的 ConversationBufferMemory 等缺乏 MOSS 强调的可审计性;MOSS 的符号化检索是 LangChain 向量检索的升级方向 |
| PLACEMEM(版本化胶囊) | Mem0 | Mem0 的记忆存储缺乏版本化和修正传播机制,PLACEMEM 的胶囊概念是对 Mem0 架构的重要补充 |
安全层面
| 本期论文 | 关联开源项目 | 关联分析 |
|---|---|---|
| MemGhost(隐蔽注入) | OpenClaw、Mem0 | 攻击直接在 OpenClaw + Mem0 上验证成功;所有使用 Mem0 后端的系统都面临此风险 |
| FARMA(推理历史篡改) | AutoGPT、BabyAGI | AutoGPT/BabyAGI 的推理链持久化是 FARMA 的直接攻击面 |
策略层面
| 本期论文 | 关联开源项目 | 关联分析 |
|---|---|---|
| SelfMem(自优化) | CrewAI | CrewAI 的记忆策略是预定义的,SelfMem 的自优化范式可作为其记忆模块的演进方向 |
| EvoAgentBench(程序性记忆) | LangGraph | LangGraph 的图状态管理与 Ability Graph 的程序性复用有天然契合 |
评测层面
| 本期论文 | 关联开源项目 | 关联分析 |
|---|---|---|
| SovereignPA-Bench | 所有框架 | 当前 19 个项目无一在记忆系统中内建隐私/同意/抗操纵机制 |
关键差距总结
- 安全缺失:19 个开源项目中,没有任何一个实现了记忆完整性校验或抗注入机制
- 结构化不足:大部分项目仍停留在向量检索 + 对话历史层面,缺乏 MRMS/MOSS 式的结构化记忆
- 可审计性空白:MOSS 展示的符号化检索和全链路日志,在开源项目中几乎不存在
- 修正传播缺失:PLACEMEM 的版本化胶囊和级联失效,当前开源项目均未实现
📊 本期论文速览表
| # | 论文 | 方向 | 关键词 | 日期 |
|---|---|---|---|---|
| 1 | MemGhost (Stealthy Memory Injection) | 安全 | 记忆注入、持久代理、WhisperBench | 07-06 |
| 2 | FARMA (Forged Reasoning Attacks) | 安全 | 推理历史篡改、记忆攻击面 | 07-06 |
| 3 | MRMS | 架构 | 多分辨率、结构化+向量+图、时间轴 | 07-06 |
| 4 | MOSS | 架构 | 可审计、符号化检索、年度部署 | 07-05 |
| 5 | SelfMem | 优化 | 自优化策略、元记忆、BEAM | 07-04 |
| 6 | PLACEMEM | 系统 | 版本化胶囊、KV-aware、修正传播 | 07-05 |
| 7 | EvoAgentBench | 评测 | Ability Graph、程序性复用 | 07-06 |
| 8 | SovereignPA-Bench | 评测 | 主权评估、隐私同意、记忆治理 | 07-06 |
本报告由来顺 🎋 自动生成,数据来源:arXiv cs.AI + 全文检索,筛选时间范围 2026-07-04 至 2026-07-07。