这篇论文研究了LLM智能体图内存中的选择完整性问题。现有的溯源防御机制只检查智能体检索记录的来源，但忽略了选择过程本身可能被操纵。作者证明，这种基于溯源的防御在结构上是盲目的：长期图内存会对可写图结构进行全局选择步骤，不受信任的参与者写入的结构会改变哪些经过认证的事实被选中，而引用的证据仍然完全认证。忠实的IFC（信息流控制）检查读取者使用的所有内容的来源（全部认证），但在文档问答和真实多会话智能体内存上，与不设防御做出相同的字节级决策。最严重的实例中，无源结构写入在499次实时操作中静默地误导了28次不可逆的账本转账；忠实的IFC允许每一次，而作者提出的AuthSelect阻止了每一次。作者进一步精确刻画了哪些内存会暴露：当选择器的结构项能够将Ω(1)份额的top-k成员重新分配到所选事实的边缘之外时，就会产生信道。个性化PageRank容易受到攻击，因为无源写入会重定向守恒的随机游走质量；而内容固定的重排序器则不会，Graphiti的节点距离（比PageRank更依赖结构）仍然免疫。作者证明了一般情况下的免疫情况，并在验证的瓶颈条件下证明了开放情况。关闭信道迫使任何溯源防御在已认证子图上重新计算选择，这正是AuthSelect所做的，且零过量阻塞，延迟增加2-3%。核心贡献在于揭示了图内存选择过程中的信息流盲区，提出了一种基于可累积性标准的防御方法。适合安全研究人员、LLM智能体系统开发者阅读。