事件经过
研究人员在 2026-06-15 披露(由 CSO Online 报告,通过 Manus feed 确认 https://www.csoonline.com/article/4185051/attackers-can-turn-ai-agent-guardrails-into-denial-of-service-weapons.html)了一种新型攻击类别,其中基于推理的 AI 防护栏 — 作为安全控制而设计 — 被武器化为拒绝服务向量。通过注入单个中毒文档,攻击者使推理系统陷入扩展思考循环,使共享代理工作流程的速度降低 148 倍,实际上是拒绝对基础设施的服务。
影响分析
这颠倒了安全假设:防护栏的能力和推理强度越强,拒绝服务的影响就越糟。共享 AI 基础设施(多租户 LLM API、企业代理平台)特别容易受到影响,因为单个攻击者控制的输入可能会降低所有用户的服务。这是一种新型攻击类别,没有现有 CVE,需要大多数部署尚未实施的架构缓解措施(将防护栏基础设施与代理计算分离、对推理深度的超时限制)。
攻击途径
攻击者将单个精心制造的中毒文档注入代理的输入流。该文档触发基于推理的防护栏进入扩展思考循环来评估模糊内容,消耗计算资源速率为正常速率的 148 倍,实际上是使共享代理基础设施对所有并发用户瘫痪。
受影响系统
基于推理的 AI 代理防护栏系统(使用扩展思考/推理进行安全检查的任何共享 LLM 推理基础设施)
缓解措施
将防护栏基础设施与主要代理计算分离以控制影响半径。在安全检查模型上实施最大推理深度和令牌预算限制。监控每个请求的异常推理持续时间。参考:https://www.csoonline.com/article/4185051/attackers-can-turn-ai-agent-guardrails-into-denial-of-service-weapons.html