論文の概要: ThinkTrap: Denial-of-Service Attacks against Black-box LLM Services via Infinite Thinking

• arxiv url: http://arxiv.org/abs/2512.07086v1
• Date: Mon, 08 Dec 2025 01:41:57 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-09 22:03:54.673567
• Title: ThinkTrap: Denial-of-Service Attacks against Black-box LLM Services via Infinite Thinking
• Title（参考訳）: ThinkTrap: Infinite ThinkingによるブラックボックスLDMサービスに対するサービス拒否攻撃
• Authors: Yunzhe Li, Jianan Wang, Hongzi Zhu, James Lin, Shan Chang, Minyi Guo,
• Abstract要約: 大規模言語モデル(LLM)は幅広いアプリケーションにおいて基礎的なコンポーネントとなっている。 新たなタイプの脅威: 無制限の推論によるDoS攻撃。 LLMサービスに対するDoS攻撃のための新しい入力空間最適化フレームワークThinkTrapを提案する。
• 参考スコア（独自算出の注目度）: 39.76888137704647
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Large Language Models (LLMs) have become foundational components in a wide range of applications, including natural language understanding and generation, embodied intelligence, and scientific discovery. As their computational requirements continue to grow, these models are increasingly deployed as cloud-based services, allowing users to access powerful LLMs via the Internet. However, this deployment model introduces a new class of threat: denial-of-service (DoS) attacks via unbounded reasoning, where adversaries craft specially designed inputs that cause the model to enter excessively long or infinite generation loops. These attacks can exhaust backend compute resources, degrading or denying service to legitimate users. To mitigate such risks, many LLM providers adopt a closed-source, black-box setting to obscure model internals. In this paper, we propose ThinkTrap, a novel input-space optimization framework for DoS attacks against LLM services even in black-box environments. The core idea of ThinkTrap is to first map discrete tokens into a continuous embedding space, then undertake efficient black-box optimization in a low-dimensional subspace exploiting input sparsity. The goal of this optimization is to identify adversarial prompts that induce extended or non-terminating generation across several state-of-the-art LLMs, achieving DoS with minimal token overhead. We evaluate the proposed attack across multiple commercial, closed-source LLM services. Our results demonstrate that, even far under the restrictive request frequency limits commonly enforced by these platforms, typically capped at ten requests per minute (10 RPM), the attack can degrade service throughput to as low as 1% of its original capacity, and in some cases, induce complete service failure.
• Abstract（参考訳）: 大規模言語モデル(LLM)は、自然言語の理解と生成、具体的知性、科学的発見など、幅広い応用の基盤となっている。 計算要求が拡大するにつれて、これらのモデルはますますクラウドベースのサービスとしてデプロイされ、ユーザはインターネット経由で強力なLCMにアクセスできるようになる。 しかし、このデプロイモデルは、新しいタイプの脅威をもたらす: 無制限の推論によるDoS攻撃。 これらの攻撃は、バックエンドの計算リソースを浪費したり、正当なユーザへのサービスを劣化させたり、否定したりする可能性がある。 このようなリスクを軽減するため、多くのLLMプロバイダは、不明瞭なモデル内部に対して、クローズドソースのブラックボックス設定を採用する。 本稿では, ブラックボックス環境においても, LLM サービスに対する DoS 攻撃のための新しい入力空間最適化フレームワーク ThinkTrap を提案する。 ThinkTrap の中核となる考え方は、まず離散トークンを連続的な埋め込み空間にマッピングし、入力空間を生かした低次元部分空間において効率的なブラックボックス最適化を実行することである。 この最適化の目的は、いくつかの最先端のLCM間で拡張または非終端生成を誘導する敵のプロンプトを特定し、最小限のトークンオーバーヘッドでDoSを達成することである。 我々は,複数の商用・クローズドソース LLM サービスを対象とした攻撃評価を行った。 我々の結果は、一般的にこれらのプラットフォームによって実施される制限された要求周波数制限の下でも、通常、毎分10リクエスト(10RPM)で抑えられているにもかかわらず、攻撃はサービスのスループットを元の容量の1%まで低下させ、場合によっては完全なサービス障害を引き起こすことを実証している。

関連論文リスト

• PSM: Prompt Sensitivity Minimization via LLM-Guided Black-Box Optimization [0.0]
  本稿では,シールド付加によるシステムプロンプト硬化のための新しいフレームワークを提案する。 我々は、LSM-as-optimizerを利用してShiELDの空間を探索し、敵攻撃の組から導かれる漏洩量を最小限に抑える。 最適化されたShielDは、包括的な抽出攻撃に対する急激なリークを著しく低減することを示した。
  論文  参考訳（メタデータ） (2025-11-20T10:25:45Z)
• Crabs: Consuming Resource via Auto-generation for LLM-DoS Attack under Black-box Settings [18.589945121820243]
  ブラックボックスLSM向けに設計された自動アルゴリズムであるLDM-DoS(AutoDoS)攻撃のためのオートジェネレーションを導入する。 トランスファービリティ駆動の反復最適化によって、AutoDoSは1つのプロンプトで異なるモデル間で動作することができた。 実験の結果、AutoDoSはサービスレスポンスのレイテンシを250$timesuparrow$で大幅に向上し、リソース消費が激化することが示された。
  論文  参考訳（メタデータ） (2024-12-18T14:19:23Z)
• Denial-of-Service Poisoning Attacks against Large Language Models [64.77355353440691]
  LLMはDenial-of-Service(DoS)攻撃に対して脆弱で、スペルエラーや非意味的なプロンプトが[EOS]トークンを生成することなく、無限のアウトプットをトリガーする。 本研究では, LLM に対する毒素を用いた DoS 攻撃について提案し, 1 つの毒素を注入することで, 出力長の限界を破ることができることを示した。
  論文  参考訳（メタデータ） (2024-10-14T17:39:31Z)
• ShadowCode: Towards (Automatic) External Prompt Injection Attack against Code LLMs [56.46702494338318]
  本稿では,コード指向の大規模言語モデルに対する(自動)外部プロンプトインジェクションという,新たな攻撃パラダイムを紹介する。 コードシミュレーションに基づいて誘導摂動を自動生成する,シンプルで効果的な方法であるShadowCodeを提案する。 3つの人気のあるプログラミング言語にまたがる31の脅威ケースを発生させるため、13の異なる悪意のある目標に対して本手法を評価した。
  論文  参考訳（メタデータ） (2024-07-12T10:59:32Z)
• Chain-of-Scrutiny: Detecting Backdoor Attacks for Large Language Models [20.722572221155946]
  大規模言語モデル(LLM)は、攻撃者が設定した特定の「トリガー」を含む入力が悪意ある出力を生成する。 従来の防衛戦略は、モデルアクセスの制限、高い計算コスト、データ要求のため、APIアクセス可能なLLMでは実用的ではない。 バックドア攻撃を緩和するために,LLMのユニークな推論能力を活用するChain-of-Scrutiny (CoS)を提案する。
  論文  参考訳（メタデータ） (2024-06-10T00:53:25Z)
• Jailbreaking Black Box Large Language Models in Twenty Queries [97.29563503097995]
  大規模言語モデル(LLM)は、敵のジェイルブレイクに対して脆弱である。 LLMへのブラックボックスアクセスのみのセマンティックジェイルブレイクを生成するアルゴリズムを提案する。
  論文  参考訳（メタデータ） (2023-10-12T15:38:28Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。