该论文系统性地研究了新兴的跨会话存储提示注入（Cross-Session Stored Prompt Injection）威胁，这是针对现代 Agentic 系统（基于 LLM 的自主代理系统）的一种攻击范式。传统提示注入攻击通常局限于单个会话内部，攻击者通过构造恶意输入诱导 LLM 产生不安全行为。然而，Agentic 系统的核心特性在于其跨会话持久化状态——这些系统通过记忆（memory）、文件系统（filesystem）、工具（tools）以及其他长期存在的上下文工件（contextual artifacts）来维护和演化共享的世界状态。这种设计极大地扩展了提示注入的攻击面，使得一次成功的注入能够持久化地嵌入系统状态中，并在未来多次执行中持续产生影响，类似于 Web 安全中的存储型跨站脚本（Stored XSS）。 论文首先对存储提示注入进行了形式化定义，提出了一种分类法（taxonomy），系统梳理了对抗性内容如何通过不同持久化通道（如记忆、文件、数据库等）在 Agentic 系统中留存并影响跨会话行为。在此基础上，作者开发了一套基准测试（benchmark）和沙箱工具包，用于定量评估不同模型、攻击目标及持久化通道下的攻击成功率。实验结果表明，持久化机制将提示注入从一次性的、模型级的威胁转变为一种长期存在的、系统级的漏洞，攻击者可以远程植入恶意逻辑，在后续会话中静默操控 Agent 的行为，而无需持续交互。 这项工作适合安全研究人员、LLM 应用开发者以及 Agentic 系统架构师阅读，它揭示了持久化状态带来的新安全风险，并提供了评估框架，为后续防御研究奠定了基础。值得注意的是，该论文尚未提出具体防御措施，但深入分析了攻击机制和影响范围，属于前沿威胁分析类研究。