무슨 일이 있었나
연구원들은 2026-06-15에 (CSO Online이 보도했으며, https://www.csoonline.com/article/4185051/attackers-can-turn-ai-agent-guardrails-into-denial-of-service-weapons.html을 참조하는 Manus 피드를 통해 확인됨) 추론 기반 AI 보안 장치—보안 제어로 의도된—가 DoS 벡터로 무기화되는 새로운 공격 클래스를 공개했다. 공격자는 단일 오염된 문서를 주입함으로써 추론 시스템을 확장된 사고 루프에 갇히게 하여, 공유 에이전트 워크플로우를 최대 148배까지 느리게 하고 효과적으로 인프라에 대한 서비스를 거부한다.
왜 중요한가
이는 보안 가정을 역전시킨다: 보안 장치가 더 강력하고 추론 집약적일수록, DoS 영향은 더 심하다. 공유 AI 인프라 (다중 테넌트 LLM API, 엔터프라이즈 에이전트 플랫폼)는 특히 노출되어 있는데, 단일 공격자 제어 입력이 모든 사용자에 대한 서비스를 저하시킬 수 있기 때문이다. 이는 기존 CVE가 없는 새로운 공격 클래스이며, 대부분의 배포가 아직 구현하지 않은 아키텍처 완화 (보안 장치 인프라와 에이전트 컴퓨팅 분리, 추론 깊이에 대한 타임아웃 제한)를 필요로 한다.
공격 경로
공격자는 에이전트의 입력 스트림에 특별히 제작된 단일 오염된 문서를 주입한다. 이 문서는 추론 기반 보안 장치가 모호한 콘텐츠를 평가하는 확장된 사고 루프에 진입하도록 트리거하며, 정상 속도의 148배에서 컴퓨팅 리소스를 소비하고 모든 동시 사용자에 대한 공유 에이전트 인프라를 효과적으로 마비시킨다.
영향받는 시스템
추론 기반 AI 에이전트 보안 장치 시스템 (안전 검사를 위해 확장된 사고/추론을 사용하는 모든 공유 LLM 추론 인프라)
완화 방안
보안 장치 인프라를 주요 에이전트 컴퓨팅과 분리하여 영향 반경을 제한한다. 안전 검사 모델에 대한 최대 추론 깊이 및 토큰 예산 제한을 구현한다. 요청당 비정상적인 추론 기간을 모니터링한다. 참조: https://www.csoonline.com/article/4185051/attackers-can-turn-ai-agent-guardrails-into-denial-of-service-weapons.html