IEEE Spectrum AI→ original

Pesquisadores da Alibaba descobrem uma vulnerabilidade de DoS em modelos de AI com raciocínio

Na ICML 2026, em Seul, pesquisadores da Universidade de Zhejiang e da Alibaba revelaram um novo tipo de ataque contra modelos de AI com raciocínio. Um…

Processado por IA de IEEE Spectrum AI; editado por Hamidun News
Pesquisadores da Alibaba descobrem uma vulnerabilidade de DoS em modelos de AI com raciocínio
Fonte: IEEE Spectrum AI. Colagem: Hamidun News.
◐ Ouvir artigo

Pesquisadores da Alibaba Descobrem Vulnerabilidade DoS em Modelos de IA com Raciocínio

Na conferência ICML 2026 em Seul no início de julho de 2026, pesquisadores da Universidade de Zhejiang e do gigante tecnológico Alibaba apresentaram um novo tipo de ataque em modelos de IA com raciocínio: prompts especialmente distorcidos levam DeepSeek-R1, GPT-o3 da OpenAI e Gemini 2.5 Flash do Google a loops infinitos de raciocínio, inflando tamanhos de resposta em dezenas de vezes e criando risco de negação de serviço para serviços comerciais de IA.

Como o Ataque Funciona

Modelos modernos de raciocínio não produzem uma resposta instantaneamente — eles geram um monólogo interno, analisando passo a passo a tarefa antes de uma resposta final. Os pesquisadores transformaram exatamente essa característica em uma vulnerabilidade.

A equipe pegou 940 tarefas de três benchmarks matemáticos e decompôs cada uma usando um LLM em premissas lógicas e uma pergunta final. Um algoritmo genético aplicava "mutações": embaralhava premissas entre tarefas, adicionava condições não relacionadas, removia dados-chave sem os quais a tarefa se torna impossível de resolver, trocava perguntas finais. Após cada rodada, o sistema selecionava variantes que maximizavam o inchaço de resposta e provocavam marcadores de indecisão: "mas," "espere," "talvez," "como alternativa." Cinco iterações — e o algoritmo produz um conjunto de prompts especificamente ajustados para cada modelo.

Fatos-chave:

  • Modelos testados: DeepSeek-R1, Qwen3-Thinking (Alibaba), GPT-o3 (OpenAI), Gemini 2.5 Flash (Google)
  • Aumento máximo de comprimento de resposta: 26,1× — DeepSeek-R1 no dataset MATH
  • Dataset original: 940 tarefas de três benchmarks matemáticos
  • Ataque funciona através da API pública — acesso aos pesos do modelo não é necessário
  • Prompts criados por um modelo auxiliar barato funcionam contra sistemas fechados caros

Por que Modelos de Raciocínio se Mostraram Vulneráveis?

Modelos de raciocínio são precificados por contagem de tokens: quanto mais longa a cadeia de raciocínio, maior a carga do servidor e mais recursos computacionais o provedor gasta em cada solicitação. Se tal ataque for executado em escala industrial, usuários legítimos experimentarão desacelerações acentuadas ou indisponibilidade completa do serviço. O efeito é reproduzido não apenas em matemática — autores testaram tarefas em programação, raciocínio científico e cenários de diálogo, e em todos os casos registraram alongamento significativo de resposta.

"Nossos resultados mostram que o pensamento excessivo não é um fenômeno isolado de modelos específicos, mas uma vulnerabilidade geral de sistemas modernos de raciocínio," escreveu

Wei Cao, estudante de pós-graduação da Universidade de Zhejiang, em carta para IEEE Spectrum.

Um risco adicional é a portabilidade do ataque entre modelos. Prompts maliciosos gerados por um modelo aberto barato funcionam efetivamente contra sistemas fechados caros, reduzindo custos de ataque para um nível praticamente viável.

O Que Isso Significa

A vulnerabilidade se mostrou sistêmica: ela se reproduz em todos os quatro modelos de raciocínio testados independentemente do desenvolvedor e arquitetura. Os autores enfatizam que o objetivo do trabalho é documentar a existência da vulnerabilidade, não criar uma ferramenta DoS pronta. Rate limiting, políticas de preços e filtros existentes contêm a ameaça, mas não a eliminam. Uma solução sistêmica exigirá trabalho no nível da arquitetura: limitar comprimentos de cadeias de raciocínio, detectar "loops vazios" e filtrar dados de entrada logicamente contraditórios.

Perguntas Frequentes

Quais modelos se mostraram vulneráveis ao ataque?

O estudo testou quatro sistemas de raciocínio: DeepSeek-R1, Qwen3-Thinking da Alibaba, GPT-o3 da OpenAI e Gemini 2.5 Flash do Google. Todos os quatro mostraram alongamento significativo de resposta em prompts distorcidos.

Quão realista é a ameaça de DoS industrial?

Os autores reconhecem limitações: rate limiting, preços e filtros de provedor existentes reduzem o efeito prático. O estudo documenta a existência da vulnerabilidade e o vetor de ataque — mas não demonstra uma ferramenta pronta com resultado garantido.

ZK
Hamidun News
Notícias de AI sem ruído. Seleção editorial diária de mais de 400 fontes. Produto de Zhemal Khamidun, Head of AI na Alpina Digital.

Precisa de IA funcionando dentro da sua empresa — não só no feed de notícias?

Eu construo IA em produção para empresas — CRM sob medida, ferramentas internas, agentes autônomos, automação de processos. Pertence a você, moldada ao seu processo, sem taxa por usuário. Feito por Zhemal Khamidun, CPO da AlpinaGPT (plataforma de IA, 6.000+ usuários).

O que você acha?
Carregando comentários…