IEEE Spectrum AI→ оригинал

Исследователи из Alibaba обнаружили DoS-уязвимость в рассуждающих AI-моделях

На конференции ICML 2026 в Сеуле исследователи из Чжэцзянского университета и Alibaba раскрыли новый тип атаки на рассуждающие AI-модели. Генетический…

AI-обработка оригинала IEEE Spectrum AI; редакция Hamidun News
Исследователи из Alibaba обнаружили DoS-уязвимость в рассуждающих AI-моделях
Источник: IEEE Spectrum AI. Коллаж: Hamidun News.
◐ Слушать статью

На конференции ICML 2026 в Сеуле в начале июля 2026 года исследователи из Чжэцзянского университета и технологического гиганта Alibaba представили атаку нового типа на рассуждающие AI-модели: специально искажённые промпты вводят DeepSeek-R1, GPT-o3 от OpenAI и Gemini 2.5 Flash от Google в бесконечные циклы рассуждений, раздувая объём ответов в десятки раз и создавая риск denial-of-service для коммерческих AI-сервисов.

Как работает атака

Современные рассуждающие модели не выдают ответ мгновенно — они генерируют внутренний монолог, шаг за шагом разбирая задачу перед финальным ответом. Именно эту особенность исследователи превратили в уязвимость.

Команда взяла 940 задач из трёх математических бенчмарков и разложила каждую с помощью LLM на логические посылки и финальный вопрос. Генетический алгоритм применял «мутации»: переставлял посылки между задачами, добавлял несвязанные условия, убирал ключевые данные без которых задача нерешаема, менял местами финальные вопросы. После каждого раунда система отбирала варианты, максимально раздувающие ответы и провоцирующие слова-маркеры нерешительности: «но», «подождите», «может быть», «в качестве альтернативы». Пять итераций — и алгоритм выдаёт набор промптов, специально заточенных под конкретную модель.

Ключевые факты:

  • Протестированные модели: DeepSeek-R1, Qwen3-Thinking (Alibaba), GPT-o3 (OpenAI), Gemini 2.5 Flash (Google)
  • Максимальный прирост длины ответа: 26,1× — DeepSeek-R1 на датасете MATH
  • Исходный датасет: 940 задач из трёх математических бенчмарков
  • Атака работает через публичный API — доступ к весам модели не нужен
  • Промпты, созданные дешёвой вспомогательной моделью, работают и против дорогих закрытых систем

Почему рассуждающие модели оказались уязвимы?

Рассуждающие модели тарифицируются по числу токенов: чем длиннее цепочка рассуждений, тем выше нагрузка на серверы и тем больше вычислительных ресурсов тратит провайдер на каждый запрос. Если запустить такую атаку в промышленном масштабе, легитимные пользователи почувствуют резкое замедление или полную недоступность сервиса. Эффект воспроизводится не только на математике — авторы тестировали задачи по программированию, научному рассуждению и диалоговым сценариям, и во всех случаях зафиксировали значительное удлинение ответов.

«Наши результаты показывают, что сверхмышление — не изолированный феномен конкретных моделей, а общая уязвимость современных рассуждающих систем», — написал

Вэй Цао, магистрант Чжэцзянского университета, в письме редакции IEEE Spectrum.

Дополнительный риск — переносимость атаки между моделями. Вредоносные промпты, сгенерированные дешёвой открытой моделью, эффективно работают против дорогих закрытых систем, снижая стоимость атаки до практически осуществимого уровня.

Что это значит

Уязвимость оказалась системной: она воспроизводится на всех четырёх протестированных рассуждающих моделях вне зависимости от разработчика и архитектуры. Авторы подчёркивают, что цель работы — зафиксировать наличие уязвимости, а не создать готовый DoS-инструмент. Rate limiting, политики ценообразования и существующие фильтры сдерживают угрозу, но не устраняют её. Для системного решения потребуется работа на уровне архитектуры: ограничение длины цепочек рассуждений, детектирование «пустых петель» и фильтрация логически противоречивых входных данных.

Частые вопросы

Какие модели оказались уязвимы к атаке?

В исследовании протестированы четыре рассуждающие системы: DeepSeek-R1, Qwen3-Thinking от Alibaba, GPT-o3 от OpenAI и Gemini 2.5 Flash от Google. Все четыре показали значительное удлинение ответов на искажённых промптах.

Насколько реальна угроза промышленного DoS?

Авторы признают ограничения: rate limiting, ценообразование и существующие фильтры провайдеров снижают практический эффект. Исследование фиксирует наличие уязвимости и вектор атаки — но не демонстрирует готовый инструмент с гарантированным результатом.

ЖХ
Hamidun News
AI‑новости без шума. Ежедневный редакторский отбор из 400+ источников. Продукт Жемала Хамидуна, Head of AI в Alpina Digital.

Хотите не читать про ИИ, а внедрить его?

«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.

Что вы думаете?
Загружаем комментарии…