何が起きたか
研究者が2026-06-15に開示した(CSO Onlineによって報告され、https://www.csoonline.com/article/4185051/attackers-can-turn-ai-agent-guardrails-into-denial-of-service-weapons.htmlを参照するManus feedで確認)ところによると、セキュリティ制御として意図された推論ベースのAIガードレール自体が、DoSベクトルとして武器化される新規攻撃クラスが存在する。攻撃者が毒性を持つ単一ドキュメントを注入することで、推論システムを拡張思考ループにトラップし、共有エージェントワークフローを最大148倍低速化し、インフラストラクチャへのサービスを実質的に否定する。
なぜ重要か
これはセキュリティ仮定を反転させる:ガードレールの能力と推論集約性が高いほど、DoS影響は悪化する。共有AI基盤(マルチテナントLLM API、エンタープライズエージェントプラットフォーム)は特に露出されており、単一の攻撃者制御入力がすべてのユーザーに対してサービスを低下させる可能性がある。これは既存CVEのない新規攻撃クラスであり、ほとんどのデプロイメントがまだ実装していないアーキテクチャ軽減策(ガードレールインフラをエージェント計算から分離、推論深度への時間制限)が必要である。
攻撃経路
攻撃者がエージェントの入力ストリームに特別に細工された毒性ドキュメントを注入する。ドキュメントは推論ベースのガードレールに曖昧なコンテンツを評価する拡張思考ループへの侵入をトリガーし、通常のレート時の148倍でコンピュートリソースを消費し、すべての同時ユーザーに対して共有エージェントインフラストラクチャを実質的に麻痺させる。
影響を受けるシステム
推論ベースAIエージェントガードレールシステム(安全チェック用の拡張思考/推論を使用する任意の共有LLM推論インフラストラクチャ)
緩和策
ガードレールインフラを主要エージェント計算から分離して爆発半径を抑制する。安全チェックモデルに対して最大推論深度とトークン予算制限を実装する。リクエスト単位での異常な推論期間を監視する。参照:https://www.csoonline.com/article/4185051/attackers-can-turn-ai-agent-guardrails-into-denial-of-service-weapons.html