論文の概要: Beyond Max Tokens: Stealthy Resource Amplification via Tool Calling Chains in LLM Agents

• arxiv url: http://arxiv.org/abs/2601.10955v1
• Date: Fri, 16 Jan 2026 02:47:45 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-19 20:21:50.34031
• Title: Beyond Max Tokens: Stealthy Resource Amplification via Tool Calling Chains in LLM Agents
• Title（参考訳）: Beyond Max Tokens: LLMエージェントのチェイン呼び出しによる静的リソース増幅
• Authors: Kaiyu Zhou, Yongsen Zheng, Yicheng He, Meng Xue, Xueluan Gong, Yuji Wang, Kwok-Yan Lam,
• Abstract要約: エージェント・ツール通信ループは、Large Language Model (LLM)エージェントにおけるクリティカルアタックサーフェスである。 既存のDoS(DoS)攻撃は、この新しいパラダイムには効果がない。 正常に完了したタスクのヒントのもと、ツール層で機能するステルスで多ターンの経済DoS攻撃を導入する。
• 参考スコア（独自算出の注目度）: 31.789859492703016
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The agent-tool communication loop is a critical attack surface in modern Large Language Model (LLM) agents. Existing Denial-of-Service (DoS) attacks, primarily triggered via user prompts or injected retrieval-augmented generation (RAG) context, are ineffective for this new paradigm. They are fundamentally single-turn and often lack a task-oriented approach, making them conspicuous in goal-oriented workflows and unable to exploit the compounding costs of multi-turn agent-tool interactions. We introduce a stealthy, multi-turn economic DoS attack that operates at the tool layer under the guise of a correctly completed task. Our method adjusts text-visible fields and a template-governed return policy in a benign, Model Context Protocol (MCP)-compatible tool server, optimizing these edits with a Monte Carlo Tree Search (MCTS) optimizer. These adjustments leave function signatures unchanged and preserve the final payload, steering the agent into prolonged, verbose tool-calling sequences using text-only notices. This compounds costs across turns, escaping single-turn caps while keeping the final answer correct to evade validation. Across six LLMs on the ToolBench and BFCL benchmarks, our attack expands tasks into trajectories exceeding 60,000 tokens, inflates costs by up to 658x, and raises energy by 100-560x. It drives GPU KV cache occupancy from <1% to 35-74% and cuts co-running throughput by approximately 50%. Because the server remains protocol-compatible and task outcomes are correct, conventional checks fail. These results elevate the agent-tool interface to a first-class security frontier, demanding a paradigm shift from validating final answers to monitoring the economic and computational cost of the entire agentic process.
• Abstract（参考訳）: エージェントツール通信ループは、現代のLarge Language Model (LLM)エージェントにおいて重要な攻撃面である。 既存のDoS(DoS)攻撃は、ユーザプロンプトやRAG(Injected Search-augmented Generation)コンテキストによって引き起こされるが、この新しいパラダイムには効果がない。 基本的にシングルターンであり、タスク指向のアプローチが欠如していることが多いため、目標指向のワークフローでは目立たずであり、マルチターンエージェント-ツールインタラクションの複雑なコストを活用できない。 正常に完了したタスクのヒントのもと、ツール層で機能するステルスで多ターンの経済DoS攻撃を導入する。 本手法は,MCP(Model Context Protocol)互換のツールサーバにおいて,テキスト可視フィールドとテンプレートが支配する戻りポリシーを調整し,モンテカルロ木探索(MCTS)最適化器を用いてこれらの編集を最適化する。 これらの調整は、関数シグネチャを変更せず、最終ペイロードを保持し、テキストのみの通知を使用してエージェントを長い冗長なツール呼び出しシーケンスにステアリングする。 この化合物はターンにまたがってコストがかかり、単一のターンキャップを脱却し、最終的な答えを正して検証を回避している。 ToolBench と BFCL ベンチマークの6つの LLM にまたがって、我々の攻撃はタスクを6万トークンを超えるトラジェクトリに拡張し、コストを最大 658 倍にし、エネルギーを 100-560 倍に増やします。 GPU KVキャッシュ占有率を1%から35-74%に向上させ、同時実行スループットを約50%削減する。 サーバはプロトコル互換であり、タスクの結果が正しいため、従来のチェックは失敗する。 これらの結果はエージェントツールインターフェースを第一級セキュリティフロンティアに高め、最終回答の検証からエージェントプロセス全体の経済的・計算的コストの監視へのパラダイムシフトを要求する。

関連論文リスト

• BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents [58.83028403414688]
  大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。 エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。 LLMエージェントにおけるバックドア脅威を統一したエージェント中心のビューを提供するモジュールおよびステージアウェアフレームワークである textbfBackdoorAgent を提案する。
  論文  参考訳（メタデータ） (2026-01-08T03:49:39Z)
• $α^3$-Bench: A Unified Benchmark of Safety, Robustness, and Efficiency for LLM-Based UAV Agents over 6G Networks [3.099103925863002]
  3ドルベンチは無人航空機の自律性を評価するためのベンチマークである。 各ミッションは、LLMベースのUAVエージェントと人間のオペレータ間の言語経由の制御ループとして定式化される。 UAVBenchシナリオに基づく113kの会話型UAVエピソードの大規模コーパスを構築した。 本稿では,タスクアウトカム,安全ポリシ,ツール一貫性,インタラクション品質,ネットワークロバストネス,通信コストの6つの柱を統合した3ドルの複合指標を提案する。
  論文  参考訳（メタデータ） (2026-01-01T12:07:06Z)
• Stop Wasting Your Tokens: Towards Efficient Runtime Multi-Agent Systems [11.42175340352007]
  SupervisorAgentは、ランタイムと適応的な監視のための軽量でモジュール化されたフレームワークです。 SupervisorAgentは、エラーを積極的に修正し、非効率な振る舞いを誘導し、観察を浄化するために、臨界点に介入する。 挑戦的なGAIAベンチマークでは、SupervisorAgentは成功率を損なうことなく、Smolagentフレームワークのトークン消費を平均29.45%削減した。
  論文  参考訳（メタデータ） (2025-10-30T15:12:59Z)
• STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents [38.755035623707656]
  本稿では,エージェントツールの利用を生かした新しいマルチターンアタックフレームワークSTACについて紹介する。 我々は,483のSTACケースを自動生成し,評価するために,1,352セットのユーザエージェント環境相互作用を特徴とするフレームワークを適用した。 GPT-4.1を含む最先端のLSMエージェントはSTACに対して極めて脆弱であり,攻撃成功率(ASR)は90%以上である。
  論文  参考訳（メタデータ） (2025-09-30T00:31:44Z)
• Runaway is Ashamed, But Helpful: On the Early-Exit Behavior of Large Language Model-based Agents in Embodied Environments [54.67512489842682]
  大規模言語モデル(LLM)は、複雑な実施環境において、強力な計画と意思決定能力を示す。 LLMをベースとしたエージェントの早期退避行動を探究する第一歩を踏み出す。
  論文  参考訳（メタデータ） (2025-05-23T08:23:36Z)
• AegisLLM: Scaling Agentic Systems for Self-Reflective Defense in LLM Security [74.22452069013289]
  AegisLLMは、敵の攻撃や情報漏洩に対する協調的なマルチエージェント防御である。 テスト時のエージェント推論システムのスケーリングは,モデルの有用性を損なうことなく,ロバスト性を大幅に向上させることを示す。 アンラーニングやジェイルブレイクを含む主要な脅威シナリオに対する総合的な評価は、AegisLLMの有効性を示している。
  論文  参考訳（メタデータ） (2025-04-29T17:36:05Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。