何が起きたか
研究者は2026-06-15に(CSO Onlineの報道、https://www.csoonline.com/article/4185051/attackers-can-turn-ai-agent-guardrails-into-denial-of-service-weapons.htmlを参照するManus feedで確認)、セキュリティ制御として意図されていた推論ベースのAI保護機構がDoSベクトルとして武器化される新規攻撃クラスを開示した。単一の毒性文書を注入することで、攻撃者は推論システムを拡張思考ループに閉じ込め、共有エージェント ワークフローを最大148倍まで遅化させ、効果的にインフラストラクチャへのサービスを否定する。
なぜ重要か
これはセキュリティ前提を逆転させる:保護機構がより強力で推論集約的であるほど、DoS影響が悪化する。共有AI インフラストラクチャ(マルチテナントLLM API、企業エージェント プラットフォーム)は特に露出している。単一の攻撃者制御入力がすべてのユーザーのサービスを低下させる可能性があるため。これは既存CVEのない新規攻撃クラスであり、ほとんどのデプロイメントがまだ実装していないアーキテクチャ軽減策(保護機構インフラストラクチャとエージェント計算の分離、推論深度のタイムアウト制限)が必要である。
攻撃経路
攻撃者は単一の特別に作成された毒性文書をエージェントの入力ストリームに注入する。文書は推論ベースの保護機構にトリガーを与えて曖昧な内容を評価する拡張思考ループに入らせ、通常レートの148倍でコンピュート リソースを消費し、すべての同時実行ユーザーの共有エージェント インフラストラクチャを効果的に麻痺させる。
影響を受けるシステム
推論ベースのAIエージェント保護機構システム(安全チェック用に拡張思考/推論を使用する任意の共有LLM推論インフラストラクチャ)
緩和策
保護機構インフラストラクチャをプライマリエージェント計算から分離して影響範囲を制限する。安全チェック モデルに対する最大推論深度とトークン予算制限を実装する。リクエストごとの異常な推論期間を監視する。参照:https://www.csoonline.com/article/4185051/attackers-can-turn-ai-agent-guardrails-into-denial-of-service-weapons.html