최대 토큰 수 초과: LLM 에이전트의 툴 호출 체인을 이용한 은밀한 리소스 증폭 공격

Beyond Max Tokens: Stealthy Resource Amplification via Tool Calling Chains in LLM Agents

에이전트-툴 간 통신 루프는 현대 대규모 언어 모델(LLM) 에이전트의 중요한 공격 대상입니다. 기존의 서비스 거부(DoS) 공격은 주로 사용자 프롬프트나 주입된 검색 증강 생성(RAG) 컨텍스트를 통해 발생하며, 새로운 패러다임에서는 효과적이지 않습니다. 이러한 공격은 기본적으로 단일 턴으로 이루어지며, 종종 작업 지향적인 접근 방식을 따르지 않아 목표 지향적인 워크플로우에서 눈에 띄게 드러나며, 다중 턴 에이전트-툴 상호 작용의 복합적인 비용을 활용할 수 없습니다. 우리는 올바르게 완료된 작업으로 위장하여 작동하는 은밀하고 다중 턴의 경제적 DoS 공격을 소개합니다. 저희 방법은 정상적인 모델 컨텍스트 프로토콜(MCP) 호환 툴 서버의 텍스트로 보이는 필드와 템플릿 기반 반환 정책을 조정하며, 이러한 변경 사항은 몬테카를로 트리 탐색(MCTS) 최적화기를 사용하여 최적화됩니다. 이러한 조정은 함수 시그니처를 변경하지 않으며 최종 페이로드를 유지하여, 텍스트 기반 알림만을 사용하여 에이전트를 장기적이고 상세한 툴 호출 시퀀스로 유도합니다. 이를 통해 턴마다 비용이 누적되어 단일 턴 제한을 우회하면서도 최종 답변은 정확하게 유지하여 검증을 회피합니다. ToolBench 및 BFCL 벤치마크에서 6개의 LLM을 대상으로 실험한 결과, 저희 공격은 작업을 60,000 토큰을 초과하는 경로로 확장하고, 비용을 최대 658배 증가시키며, 에너지 소비를 100~560배 증가시킵니다. 또한 GPU KV 캐시 사용률을 <1%에서 35~74%로 증가시키고, 동시에 실행되는 처리량을 약 50% 감소시킵니다. 서버가 프로토콜과 호환되고 작업 결과가 정확하기 때문에, 기존의 검사 방법은 실패합니다. 이러한 결과는 에이전트-툴 인터페이스를 중요한 보안 영역으로 격상시키며, 최종 답변 검증에서 벗어나 전체 에이전트 프로세스의 경제적 및 계산 비용을 모니터링하는 패러다임 전환을 요구합니다.

The agent-tool communication loop is a critical attack surface in modern Large Language Model (LLM) agents. Existing Denial-of-Service (DoS) attacks, primarily triggered via user prompts or injected retrieval-augmented generation (RAG) context, are ineffective for this new paradigm. They are fundamentally single-turn and often lack a task-oriented approach, making them conspicuous in goal-oriented workflows and unable to exploit the compounding costs of multi-turn agent-tool interactions. We introduce a stealthy, multi-turn economic DoS attack that operates at the tool layer under the guise of a correctly completed task. Our method adjusts text-visible fields and a template-governed return policy in a benign, Model Context Protocol (MCP)-compatible tool server, optimizing these edits with a Monte Carlo Tree Search (MCTS) optimizer. These adjustments leave function signatures unchanged and preserve the final payload, steering the agent into prolonged, verbose tool-calling sequences using text-only notices. This compounds costs across turns, escaping single-turn caps while keeping the final answer correct to evade validation. Across six LLMs on the ToolBench and BFCL benchmarks, our attack expands tasks into trajectories exceeding 60,000 tokens, inflates costs by up to 658x, and raises energy by 100-560x. It drives GPU KV cache occupancy from <1% to 35-74% and cuts co-running throughput by approximately 50%. Because the server remains protocol-compatible and task outcomes are correct, conventional checks fail. These results elevate the agent-tool interface to a first-class security frontier, demanding a paradigm shift from validating final answers to monitoring the economic and computational cost of the entire agentic process.