Route to Rome 공격: 적대적 접미사 최적화를 통한 LLM 라우터의 고가 모델 유도

Route to Rome Attack: Directing LLM Routers to Expensive Models via Adversarial Suffix Optimization

비용을 고려한 라우팅은 사용자 쿼리를 다양한 성능의 모델로 동적으로 분배하여 성능과 추론 비용의 균형을 맞춥니다. 그러나 라우팅 전략은 새로운 보안 문제를 야기하며, 공격자가 라우터를 조작하여 지속적으로 고성능의 고가 모델을 선택하도록 유도할 수 있습니다. 기존의 라우팅 공격은 화이트박스 접근 또는 휴리스틱 프롬프트에 의존하며, 실제 블랙박스 시나리오에서는 효과가 없습니다. 본 연구에서는 블랙박스 LLM 라우터를 속여 고가 모델로 유도하는 적대적 접미사 최적화 기법인 R$^2$A를 제안합니다. 구체적으로, R$^2$A는 블랙박스 라우터를 모방하는 하이브리드 앙상블 대리 라우터를 사용합니다. 또한, 앙상블 기반 대리를 위한 접미사 최적화 알고리즘을 추가적으로 적용합니다. 다양한 오픈 소스 및 상용 라우팅 시스템에 대한 광범위한 실험 결과, R$^2$A는 다양한 분포의 쿼리에 대해 고가 모델로의 라우팅 비율을 크게 증가시키는 것으로 나타났습니다. 코드 및 예제: https://github.com/thcxiker/R2A-Attack.

Cost-aware routing dynamically dispatches user queries to models of varying capability to balance performance and inference cost. However, the routing strategy introduces a new security concern that adversaries may manipulate the router to consistently select expensive high-capability models. Existing routing attacks depend on either white-box access or heuristic prompts, rendering them ineffective in real-world black-box scenarios. In this work, we propose R$^2$A, which aims to mislead black-box LLM routers to expensive models via adversarial suffix optimization. Specifically, R$^2$A deploys a hybrid ensemble surrogate router to mimic the black-box router. A suffix optimization algorithm is further adapted for the ensemble-based surrogate. Extensive experiments on multiple open-source and commercial routing systems demonstrate that {R$^2$A} significantly increases the routing rate to expensive models on queries of different distributions. Code and examples: https://github.com/thcxiker/R2A-Attack.