Beyond Max Tokens: Stealthy Resource Amplification via Tool Calling Chains in LLM Agents
作者: Kaiyu Zhou, Yongsen Zheng, Yicheng He, Meng Xue, Xueluan Gong, Yuji Wang, Kwok-Yan Lam
分类: cs.CR, cs.AI
发布日期: 2026-01-16
💡 一句话要点
提出一种隐蔽的、多轮的经济拒绝服务攻击,通过工具调用链放大LLM Agent的资源消耗。
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: LLM Agent 拒绝服务攻击 工具调用链 经济安全 蒙特卡洛树搜索
📋 核心要点
- 现有LLM Agent的拒绝服务攻击主要集中在单轮prompt或RAG注入,无法有效利用多轮Agent-工具交互的成本。
- 提出一种隐蔽的多轮经济DoS攻击,通过调整工具服务器的文本可见字段和返回策略,诱导Agent进行冗长的工具调用序列。
- 实验表明,该攻击能显著增加token消耗、成本和能源消耗,同时保持任务结果正确,绕过传统安全检查。
📝 摘要(中文)
本文揭示了现代大型语言模型(LLM)Agent中Agent-工具通信环路的关键攻击面。现有的拒绝服务(DoS)攻击,主要通过用户提示或注入检索增强生成(RAG)上下文触发,对于这种新范式无效。它们本质上是单轮的,并且常常缺乏面向任务的方法,这使得它们在面向目标的workflow中显得很突出,并且无法利用多轮Agent-工具交互的复合成本。本文提出了一种隐蔽的、多轮的经济DoS攻击,该攻击在工具层运行,伪装成正确完成的任务。该方法调整了文本可见字段和模板控制的返回策略,这些调整位于一个良性的、模型上下文协议(MCP)兼容的工具服务器中,并使用蒙特卡洛树搜索(MCTS)优化器优化这些编辑。这些调整不会改变函数签名,并保留最终的payload,从而引导Agent进入长时间、冗长的工具调用序列,仅使用文本通知。这会在多个轮次中复合成本,逃避单轮限制,同时保持最终答案的正确性以规避验证。在ToolBench和BFCL基准测试的六个LLM上,该攻击将任务扩展到超过60,000个token的轨迹,将成本膨胀高达658倍,并将能源提高100-560倍。它将GPU KV缓存占用率从<1%提高到35-74%,并将协同运行吞吐量降低约50%。由于服务器保持协议兼容且任务结果正确,因此传统检查失败。这些结果将Agent-工具接口提升为一流的安全前沿,需要从验证最终答案转变为监控整个Agent过程的经济和计算成本。
🔬 方法详解
问题定义:论文旨在解决LLM Agent中Agent与工具交互过程中存在的安全漏洞,即如何利用工具调用链进行隐蔽的经济拒绝服务(DoS)攻击。现有方法主要关注单轮攻击,例如通过恶意prompt或RAG注入,但这些方法容易被检测且无法有效利用多轮交互的复合成本。现有方法的痛点在于无法在保持任务完成正确性的前提下,显著增加Agent的资源消耗。
核心思路:论文的核心思路是通过控制工具服务器的行为,诱导Agent进行冗长且不必要的工具调用序列,从而放大资源消耗。关键在于保持最终结果的正确性,以避免被传统的安全检查机制发现。通过调整工具返回的文本信息,使得Agent误以为需要进行更多的工具调用才能完成任务。
技术框架:整体框架包含一个良性的、模型上下文协议(MCP)兼容的工具服务器和一个LLM Agent。攻击者通过调整工具服务器的文本可见字段和模板控制的返回策略来实施攻击。具体流程如下:1) Agent发起工具调用请求;2) 工具服务器返回经过调整的文本信息,引导Agent继续调用其他工具;3) Agent根据返回信息继续发起新的工具调用请求;4) 重复步骤2和3,直到Agent最终完成任务并返回正确结果。整个过程中,攻击者使用蒙特卡洛树搜索(MCTS)优化器来寻找最佳的调整策略。
关键创新:最重要的技术创新点在于提出了一种隐蔽的、多轮的经济DoS攻击方法,该方法能够在保持任务完成正确性的前提下,显著增加Agent的资源消耗。与现有方法相比,该方法具有更高的隐蔽性和更强的攻击效果,能够绕过传统的安全检查机制。
关键设计:关键设计包括:1) 调整工具服务器返回的文本信息,使其包含引导Agent继续调用其他工具的提示;2) 使用蒙特卡洛树搜索(MCTS)优化器来寻找最佳的调整策略,以最大化资源消耗;3) 确保最终结果的正确性,以避免被传统的安全检查机制发现。具体参数设置包括MCTS的搜索深度、探索率等。损失函数的设计目标是最大化token消耗或成本,同时约束最终结果的正确性。
🖼️ 关键图片
📊 实验亮点
实验结果表明,该攻击方法在ToolBench和BFCL基准测试的六个LLM上,能够将任务扩展到超过60,000个token的轨迹,将成本膨胀高达658倍,并将能源提高100-560倍。同时,GPU KV缓存占用率从<1%提高到35-74%,协同运行吞吐量降低约50%。这些数据表明该攻击方法具有显著的资源消耗放大效果,并且能够绕过传统的安全检查机制。
🎯 应用场景
该研究成果可应用于评估和提升LLM Agent的安全性,特别是在Agent与外部工具交互的场景下。通过模拟此类攻击,可以发现Agent在设计和实现上的潜在漏洞,并开发相应的防御机制。此外,该研究也提醒开发者需要关注Agent的经济性和资源消耗,避免因恶意攻击或设计缺陷导致不必要的成本支出。
📄 摘要(原文)
The agent-tool communication loop is a critical attack surface in modern Large Language Model (LLM) agents. Existing Denial-of-Service (DoS) attacks, primarily triggered via user prompts or injected retrieval-augmented generation (RAG) context, are ineffective for this new paradigm. They are fundamentally single-turn and often lack a task-oriented approach, making them conspicuous in goal-oriented workflows and unable to exploit the compounding costs of multi-turn agent-tool interactions. We introduce a stealthy, multi-turn economic DoS attack that operates at the tool layer under the guise of a correctly completed task. Our method adjusts text-visible fields and a template-governed return policy in a benign, Model Context Protocol (MCP)-compatible tool server, optimizing these edits with a Monte Carlo Tree Search (MCTS) optimizer. These adjustments leave function signatures unchanged and preserve the final payload, steering the agent into prolonged, verbose tool-calling sequences using text-only notices. This compounds costs across turns, escaping single-turn caps while keeping the final answer correct to evade validation. Across six LLMs on the ToolBench and BFCL benchmarks, our attack expands tasks into trajectories exceeding 60,000 tokens, inflates costs by up to 658x, and raises energy by 100-560x. It drives GPU KV cache occupancy from <1% to 35-74% and cuts co-running throughput by approximately 50%. Because the server remains protocol-compatible and task outcomes are correct, conventional checks fail. These results elevate the agent-tool interface to a first-class security frontier, demanding a paradigm shift from validating final answers to monitoring the economic and computational cost of the entire agentic process.