Investigadores de Alibaba descubren una vulnerabilidad DoS en modelos de AI de razonamiento
En la conferencia ICML 2026 en Seúl, investigadores de la Universidad de Zhejiang y Alibaba revelaron un nuevo tipo de ataque contra modelos de AI de…
Procesado por IA desde IEEE Spectrum AI; editado por Hamidun News
Investigadores de Alibaba Descubren Vulnerabilidad DoS en Modelos de IA de Razonamiento
En la conferencia ICML 2026 en Seúl a principios de julio de 2026, investigadores de la Universidad de Zhejiang y del gigante tecnológico Alibaba presentaron un nuevo tipo de ataque en modelos de IA de razonamiento: prompts especialmente distorsionados impulsan DeepSeek-R1, GPT-o3 de OpenAI y Gemini 2.5 Flash de Google a bucles infinitos de razonamiento, inflando tamaños de respuesta decenas de veces y creando riesgo de denegación de servicio para servicios comerciales de IA.
Cómo Funciona el Ataque
Los modelos modernos de razonamiento no producen una respuesta instantáneamente — generan un monólogo interno, analizando paso a paso la tarea antes de una respuesta final. Los investigadores transformaron exactamente esta característica en una vulnerabilidad.
El equipo tomó 940 tareas de tres benchmarks matemáticos y descompuso cada una usando un LLM en premisas lógicas y una pregunta final. Un algoritmo genético aplicaba "mutaciones": barajaba premisas entre tareas, añadía condiciones no relacionadas, eliminaba datos clave sin los cuales la tarea se vuelve irresoluble, intercambiaba preguntas finales. Después de cada ronda, el sistema seleccionaba variantes que maximizaban la inflación de respuesta y provocaban marcadores de incertidumbre: "pero," "espera," "quizás," "como alternativa." Cinco iteraciones — y el algoritmo produce un conjunto de prompts específicamente ajustados a cada modelo.
Hechos clave:
- Modelos probados: DeepSeek-R1, Qwen3-Thinking (Alibaba), GPT-o3 (OpenAI), Gemini 2.5 Flash (Google)
- Aumento máximo de longitud de respuesta: 26,1× — DeepSeek-R1 en el dataset MATH
- Dataset original: 940 tareas de tres benchmarks matemáticos
- El ataque funciona a través de API pública — no se requiere acceso a los pesos del modelo
- Los prompts creados por un modelo auxiliar barato funcionan contra sistemas cerrados costosos
¿Por
Qué los Modelos de Razonamiento Resultaron Ser Vulnerables?
Los modelos de razonamiento se cotizan por conteo de tokens: cuanto más larga sea la cadena de razonamiento, mayor es la carga del servidor y más recursos computacionales gasta el proveedor en cada solicitud. Si tal ataque se ejecuta a escala industrial, los usuarios legítimos experimentarán desaceleraciones agudas o indisponibilidad completa del servicio. El efecto se reproduce no solo en matemáticas — los autores probaron tareas en programación, razonamiento científico y escenarios de diálogo, y en todos los casos registraron alargamiento significativo de respuesta.
"Nuestros resultados muestran que el pensamiento excesivo no es un fenómeno aislado de modelos específicos, sino una vulnerabilidad general de los sistemas modernos de razonamiento," escribió
Wei Cao, estudiante de posgrado de la Universidad de Zhejiang, en una carta a IEEE Spectrum.
Un riesgo adicional es la portabilidad del ataque entre modelos. Los prompts maliciosos generados por un modelo abierto barato funcionan efectivamente contra sistemas cerrados costosos, reduciendo el costo del ataque a un nivel prácticamente viable.
Lo Que Esto Significa
La vulnerabilidad resultó ser sistémica: se reproduce en todos los cuatro modelos de razonamiento probados independientemente del desarrollador y la arquitectura. Los autores enfatizan que el objetivo del trabajo es documentar la existencia de la vulnerabilidad, no crear una herramienta DoS lista. El rate limiting, las políticas de precios y los filtros existentes contienen la amenaza pero no la eliminan. Una solución sistémica requerirá trabajo a nivel de arquitectura: limitar longitudes de cadenas de razonamiento, detectar "bucles vacíos" y filtrar datos de entrada lógicamente contradictorios.
Preguntas Frecuentes
¿Qué modelos resultaron ser vulnerables al ataque?
El estudio probó cuatro sistemas de razonamiento: DeepSeek-R1, Qwen3-Thinking de Alibaba, GPT-o3 de OpenAI y Gemini 2.5 Flash de Google. Los cuatro mostraron alargamiento significativo de respuesta en prompts distorsionados.
¿Cuán realista es la amenaza de DoS industrial?
Los autores reconocen limitaciones: el rate limiting, los precios y los filtros de proveedores existentes reducen el efecto práctico. El estudio documenta la existencia de la vulnerabilidad y el vector de ataque — pero no demuestra una herramienta lista con resultado garantizado.
¿Necesitas IA funcionando dentro de tu empresa — no solo en tu feed de noticias?
Construyo IA en producción para empresas — CRM a medida, herramientas internas, agentes autónomos, automatización de procesos. Tuya, adaptada a tu proceso, sin coste por usuario. Creado por Zhemal Khamidun, CPO de AlpinaGPT (plataforma de IA, 6.000+ usuarios).
Lo esencial de la IA — una vez por semana
Siete historias que de verdad importaron, elegidas a mano. Sin ruido ni notas de prensa.
¡Listo! Revisa tu correo para la confirmación.