Stealth-Attacke: LLM-Agenten kosten explodieren durch heimliche Tool-Ketten

Eine neue Studie aus dem arXiv-Repository hat gezeigt, dass moderne Large Language Model (LLM)-Agenten durch eine heimliche, mehrstufige Angriffstechnik massiv in die Höhe schnellen können. Der Angriff nutzt die Kommunikation zwischen Agent und Tool aus, um die Kosten für die Ausführung von Aufgaben in die Höhe zu treiben, ohne dabei die endgültige Antwort zu verfälschen.

Der Angriff ist ein sogenannter „multi‑turn economic DoS“, bei dem die Kosten über mehrere Interaktionen hinweg kumulativ steigen. Im Gegensatz zu bisherigen DoS‑Methoden, die meist auf einzelne Nutzeranfragen abzielen, bleibt die Vorgehensweise unter dem Deckmantel einer korrekt ausgeführten Aufgabe verborgen. Dadurch entgeht sie den üblichen Prüfmechanismen, die auf einzelne Anfragen beschränkt sind.

Die Technik arbeitet auf der Tool‑Ebene und verändert lediglich text‑sichtbare Felder sowie eine template‑basierte Rückgabepolitik in einem MCP‑kompatiblen Tool‑Server. Durch einen Monte‑Carlo‑Tree‑Search‑Optimierer werden diese Änderungen so angepasst, dass die Funktionssignaturen unverändert bleiben und die finale Nutzlast korrekt ist. Gleichzeitig werden die Agenten in langwierige, textbasierte Tool‑Aufruf‑Sequenzen getrieben, die die Kosten über mehrere Runden hinweg erhöhen.

In Tests mit sechs verschiedenen LLMs auf den ToolBench- und BFCL-Benchmarks konnten die Forscher Aufgaben in Pfade mit mehr als 60.000 Tokens ausdehnen, die Kosten um bis zu 658‑fach steigern und den Energieverbrauch um 100‑560‑fach erhöhen. Der GPU‑KV‑Cache wurde von unter 1 % auf 35‑74 % belegt, während die gleichzeitige Durchsatzrate um rund 50 % sank. Trotz dieser enormen Belastung blieb der Server protokollkompatibel und die Endergebnisse blieben korrekt, sodass herkömmliche Prüfungen versagen.

Die Ergebnisse unterstreichen die Notwendigkeit, neue Sicherheitsmechanismen zu entwickeln, die nicht nur einzelne Anfragen, sondern auch die kumulative Auswirkung mehrstufiger Tool‑Interaktionen berücksichtigen. Nur so kann verhindert werden, dass LLM‑Agenten zu unkontrollierbaren Kostenfressern werden, während sie gleichzeitig ihre Aufgaben korrekt erfüllen.