AgentSys: Agentes de LLM Seguros y Dinámicos Mediante Gestión Explícita Jerárquica de Memoria
AgentSys: Secure and Dynamic LLM Agents Through Explicit Hierarchical Memory Management
February 7, 2026
Autores: Ruoyao Wen, Hao Li, Chaowei Xiao, Ning Zhang
cs.AI
Resumen
La inyección indirecta de instrucciones amenaza a los agentes de LLM al incrustar instrucciones maliciosas en contenido externo, permitiendo acciones no autorizadas y robo de datos. Los agentes de LLM mantienen memoria de trabajo mediante su ventana de contexto, que almacena el historial de interacciones para la toma de decisiones. Los agentes convencionales acumulan indiscriminadamente todas las salidas de herramientas y trazas de razonamiento en esta memoria, creando dos vulnerabilidades críticas: (1) las instrucciones inyectadas persisten durante todo el flujo de trabajo, otorgando a los atacantes múltiples oportunidades para manipular el comportamiento, y (2) el contenido verboso y no esencial degrada las capacidades de toma de decisiones. Las defensas existentes tratan la memoria inflada como un hecho dado y se centran en mantener la resiliencia, en lugar de reducir la acumulación innecesaria para prevenir el ataque.
Presentamos AgentSys, un marco que se defiende contra la inyección indirecta de instrucciones mediante gestión explícita de memoria. Inspirado por el aislamiento de memoria de procesos en sistemas operativos, AgentSys organiza a los agentes jerárquicamente: un agente principal genera agentes de trabajo para llamadas a herramientas, cada uno ejecutándose en un contexto aislado y pudiendo generar trabajadores anidados para subtareas. Los datos externos y las trazas de subtareas nunca entran en la memoria del agente principal; solo los valores de retorno validados por esquema pueden cruzar los límites mediante análisis determinista de JSON. Las ablaciones muestran que el aislamiento por sí solo reduce el éxito del ataque al 2.19%, y añadir un validador/sanitizador mejora aún más la defensa con verificaciones activadas por eventos, cuya sobrecarga escala con las operaciones y no con la longitud del contexto.
En AgentDojo y ASB, AgentSys logra un 0.78% y 4.25% de éxito de ataque mientras mejora ligeramente la utilidad benigna respecto a líneas base indefensas. Permanece robusto frente a atacantes adaptativos y en múltiples modelos fundacionales, demostrando que la gestión explícita de memoria permite arquitecturas de agentes de LLM dinámicas y seguras. Nuestro código está disponible en: https://github.com/ruoyaow/agentsys-memory.
English
Indirect prompt injection threatens LLM agents by embedding malicious instructions in external content, enabling unauthorized actions and data theft. LLM agents maintain working memory through their context window, which stores interaction history for decision-making. Conventional agents indiscriminately accumulate all tool outputs and reasoning traces in this memory, creating two critical vulnerabilities: (1) injected instructions persist throughout the workflow, granting attackers multiple opportunities to manipulate behavior, and (2) verbose, non-essential content degrades decision-making capabilities. Existing defenses treat bloated memory as given and focus on remaining resilient, rather than reducing unnecessary accumulation to prevent the attack.
We present AgentSys, a framework that defends against indirect prompt injection through explicit memory management. Inspired by process memory isolation in operating systems, AgentSys organizes agents hierarchically: a main agent spawns worker agents for tool calls, each running in an isolated context and able to spawn nested workers for subtasks. External data and subtask traces never enter the main agent's memory; only schema-validated return values can cross boundaries through deterministic JSON parsing. Ablations show isolation alone cuts attack success to 2.19%, and adding a validator/sanitizer further improves defense with event-triggered checks whose overhead scales with operations rather than context length.
On AgentDojo and ASB, AgentSys achieves 0.78% and 4.25% attack success while slightly improving benign utility over undefended baselines. It remains robust to adaptive attackers and across multiple foundation models, showing that explicit memory management enables secure, dynamic LLM agent architectures. Our code is available at: https://github.com/ruoyaow/agentsys-memory.