隨著AI大模型的快速發(fā)展普及，其自身也成為攻擊者的重要目標(biāo)對(duì)象。在近期DeepSeek遭遇的攻擊事件中，攻擊者利用多種手段，如僵尸網(wǎng)絡(luò)、UDP洪水攻擊等，向服務(wù)器發(fā)送海量數(shù)據(jù)包，耗盡網(wǎng)絡(luò)帶寬和系統(tǒng)資源。

　　此類資源消耗型攻擊的核心在于，攻擊者無(wú)需直接竊取數(shù)據(jù)或破壞模型，而是通過(guò)污染或消耗目標(biāo)系統(tǒng)的資源，如計(jì)算資源、訓(xùn)練數(shù)據(jù)等，來(lái)達(dá)到資源耗盡、癱瘓系統(tǒng)，以及損害系統(tǒng)性能，致使模型失效的目的。這類攻擊隱蔽性強(qiáng)、破壞性大，已成為AI大模型面臨的主要網(wǎng)絡(luò)威脅之一，給AI技術(shù)的發(fā)展和應(yīng)用帶來(lái)嚴(yán)峻挑戰(zhàn)。

　　通過(guò)對(duì)相關(guān)攻擊事件的梳理，我們總結(jié)了4類最為典型、常見(jiàn)的針對(duì)AI大模型的資源消耗型攻擊，包括API接口調(diào)用攻擊 、惡意注冊(cè)攻擊、大模型供應(yīng)鏈投毒攻擊、大模型循環(huán)占用算力資源攻擊。

　　資源消耗型攻擊手段概覽圖

　　本文將深入剖析這4類攻擊的攻擊特征、具體手段以及防御建議等，為企業(yè)高效構(gòu)建AI大模型的網(wǎng)絡(luò)安全防線提供參考意義。

　　一、大模型API接口調(diào)用攻擊

　?。ㄒ唬┕籼攸c(diǎn)

　　● 低成本高破壞：通過(guò)高頻API調(diào)用消耗算力資源。

　　● 隱蔽性強(qiáng)：偽裝成正常用戶請(qǐng)求，難以實(shí)時(shí)識(shí)別。

　　● 造成直接經(jīng)濟(jì)損耗：按調(diào)用量付費(fèi)的商業(yè)模式下直接增加運(yùn)營(yíng)成本。

　　（二）攻擊手段

　　1. 高頻請(qǐng)求攻擊：使用腳本或分布式節(jié)點(diǎn)發(fā)起每秒數(shù)千次請(qǐng)求(如Python requests庫(kù)自動(dòng)化調(diào)用)。

　　假設(shè)一個(gè)在線AI繪畫(huà)平臺(tái)，攻擊者使用上述類似腳本，通過(guò)自動(dòng)化工具不斷向平臺(tái)的生成圖片接口發(fā)送請(qǐng)求，每秒發(fā)送數(shù)千次。這會(huì)導(dǎo)致平臺(tái)服務(wù)器資源被大量占用，正常用戶的請(qǐng)求無(wú)法及時(shí)處理，甚至可能使服務(wù)器崩潰。

　　2. 復(fù)雜查詢攻擊: 發(fā)送需高算力處理的復(fù)雜Prompt(如長(zhǎng)文本摘要、多輪推理任務(wù))。

　　對(duì)于一個(gè)提供自然語(yǔ)言處理服務(wù)的AI大模型，攻擊者發(fā)送大量包含幾萬(wàn)字的長(zhǎng)文本摘要請(qǐng)求，或者復(fù)雜的多輪推理任務(wù)(如要求模型對(duì)一個(gè)復(fù)雜的邏輯問(wèn)題進(jìn)行多次推理和修正)。由于這些任務(wù)需要大量的計(jì)算資源和時(shí)間來(lái)處理，會(huì)導(dǎo)致服務(wù)器性能下降，影響其他用戶的正常使用。

　　3. 異步調(diào)用濫用: 利用異步API接口發(fā)起大量長(zhǎng)時(shí)間占用資源的任務(wù)。

　　例如，一個(gè)AI語(yǔ)音合成平臺(tái)提供了異步API接口，攻擊者如利用上述代碼，不斷發(fā)起大量長(zhǎng)時(shí)間的語(yǔ)音合成任務(wù)(如合成很長(zhǎng)的音頻文件)。這些異步任務(wù)會(huì)一直占用服務(wù)器資源，導(dǎo)致平臺(tái)資源耗盡，無(wú)法及時(shí)響應(yīng)其他用戶的正常請(qǐng)求。

　?。ㄈ┕袅鞒?/p>

　　[攻擊者] → 自動(dòng)化腳本 → 高頻/復(fù)雜API請(qǐng)求 → [大模型服務(wù)端] → 算力過(guò)載 → 服務(wù)降級(jí)/成本飆升

　?。ㄋ模┓烙ㄗh

　　● 限流策略(如Token Bucket算法)

　　● 請(qǐng)求復(fù)雜度分析(基于Prompt長(zhǎng)度/邏輯深度)

　　● 用戶行為畫(huà)像(檢測(cè)異常調(diào)用模式)

　　二、惡意注冊(cè)攻擊

　?。ㄒ唬┕籼攸c(diǎn)

　　● 資源搶占:通過(guò)虛假賬號(hào)占用免費(fèi)額度或試用資源。

　　● 身份偽造:利用臨時(shí)郵箱/虛擬手機(jī)號(hào)繞過(guò)注冊(cè)限制。

　?。ǘ┕羰侄?/p>

　　1. 自動(dòng)化注冊(cè)工具:如使用Selenium或Headless Browser批量注冊(cè)賬號(hào)。

　　例如，攻擊者利用自動(dòng)化注冊(cè)工具批量注冊(cè)大量虛假賬號(hào)，然后使用這些賬號(hào)大量生成圖像，導(dǎo)致平臺(tái)資源被過(guò)度占用，正常用戶在使用時(shí)出現(xiàn)響應(yīng)緩慢甚至無(wú)法使用的情況，同時(shí)也增加了平臺(tái)的運(yùn)營(yíng)成本。

　　2. API密鑰盜用:通過(guò)撞庫(kù)攻擊獲取有效API密鑰(如GitHub泄露密鑰掃描)。

　　攻擊者通過(guò)掃描這些公開(kāi)倉(cāng)庫(kù)獲取了大量可能的 API 密鑰，然后使用撞庫(kù)的方式嘗試找出有效的密鑰。一旦獲取到有效密鑰，攻擊者就可以免費(fèi)調(diào)用該大模型的服務(wù)，可能會(huì)造成數(shù)據(jù)泄露和平臺(tái)服務(wù)的濫用。

　　3. 資源耗盡攻擊: 利用免費(fèi)賬戶發(fā)起持續(xù)推理請(qǐng)求。

　　攻擊者注冊(cè)大量免費(fèi)賬戶，使用上述腳本不斷向平臺(tái)發(fā)起推理請(qǐng)求，使得平臺(tái)服務(wù)器的計(jì)算資源和帶寬被大量占用。導(dǎo)致正常用戶在與模型對(duì)話時(shí)出現(xiàn)卡頓、無(wú)響應(yīng)等問(wèn)題，影響平臺(tái)的正常服務(wù)。

　?。ㄈ┕袅鞒?/p>

　　[攻擊者] → 注冊(cè)腳本 → 生成虛假身份 → 獲取API Key → 發(fā)起資源消耗請(qǐng)求 → 服務(wù)配額耗盡

　?。ㄋ模┓烙ㄗh

　　● 多因素認(rèn)證(如手機(jī)/郵箱驗(yàn)證)

　　● 設(shè)備指紋識(shí)別(檢測(cè)虛擬機(jī)/代理IP)

　　● 使用資源分層控制

　　三、大模型供應(yīng)鏈投毒攻擊

　　(一)攻擊特點(diǎn)

　　● 長(zhǎng)期潛伏性:污染訓(xùn)練數(shù)據(jù)或依賴庫(kù)后延遲觸發(fā)。

　　● 擴(kuò)散性強(qiáng):通過(guò)開(kāi)源社區(qū)傳播含毒組件(如PyPI惡意包)。

　?。ǘ┕羰侄?/p>

　　1. 訓(xùn)練數(shù)據(jù)投毒: 在公開(kāi)數(shù)據(jù)集中插入誤導(dǎo)性樣本，這些樣本會(huì)影響模型的學(xué)習(xí)過(guò)程，使其在某些情況下做出錯(cuò)誤的預(yù)測(cè)或決策。

　　例如攻擊者可以插入錯(cuò)誤標(biāo)注的圖文對(duì)，如將貓的圖片標(biāo)注為狗，這樣模型在學(xué)習(xí)過(guò)程中就會(huì)將貓和狗的概念混淆。當(dāng)模型部署后，遇到類似的貓圖片時(shí)，可能會(huì)錯(cuò)誤地識(shí)別為狗。

　　2. 依賴庫(kù)劫持:篡改模型依賴的第三方庫(kù)(如修改 transformers 庫(kù)的權(quán)重加載邏輯)。

　　在深度學(xué)習(xí)中，很多模型依賴于第三方庫(kù)來(lái)實(shí)現(xiàn)各種功能，如模型的加載、訓(xùn)練和推理。攻擊者可以通過(guò)修改這些庫(kù)的代碼，使得模型在加載權(quán)重或執(zhí)行其他操作時(shí)出現(xiàn)異常，從而達(dá)到攻擊的目的。例如，攻擊者可以修改權(quán)重加載邏輯，使得模型加載錯(cuò)誤的權(quán)重，導(dǎo)致模型的性能下降或產(chǎn)生錯(cuò)誤的輸出。

　　3. 后門(mén)植入: 在微調(diào)階段注入特定觸發(fā)詞響應(yīng)邏輯。

　　在微調(diào)過(guò)程中，模型會(huì)根據(jù)新的數(shù)據(jù)集進(jìn)行調(diào)整，攻擊者可以在這個(gè)過(guò)程中插入一些特殊的規(guī)則，當(dāng)輸入包含特定的觸發(fā)詞時(shí)，模型會(huì)返回錯(cuò)誤的結(jié)果。例如，攻擊者可以在一個(gè)安全檢測(cè)模型中植入后門(mén)，當(dāng)輸入包含 “安全檢測(cè)”這個(gè)觸發(fā)詞時(shí)，模型返回錯(cuò)誤的檢測(cè)結(jié)果， 從而繞過(guò)正常的安全檢測(cè)機(jī)制。

　?。ㄈ┕袅鞒?/p>

　　[攻擊者] → 污染訓(xùn)練數(shù)據(jù)/依賴庫(kù) → 模型訓(xùn)練/部署 → 用戶調(diào)用含毒模型 → 觸發(fā)惡意行為(如資源泄露)

　?。ㄋ模┓烙ㄗh

　　● 數(shù)據(jù)來(lái)源可信驗(yàn)證(如哈希校驗(yàn))

　　● 依賴庫(kù)簽名審查

　　● 模型行為動(dòng)態(tài)監(jiān)控(異常輸出檢測(cè))

　　四、大模型循環(huán)占用算力資源攻擊

　?。ㄒ唬┕籼攸c(diǎn)

　　● 定向打擊：針對(duì)容器化架構(gòu)的彈性擴(kuò)縮容弱點(diǎn)。

　　● 資源鎖死：通過(guò)遞歸Prompt耗盡單容器資源。

　?。ǘ┕羰侄?/p>

　　1. 無(wú)限遞歸Prompt: 設(shè)計(jì)自我引用的提示詞。

　　攻擊者構(gòu)造包含自我引用的提示詞，讓 AI 不斷重復(fù)處理該提示詞，形成無(wú)限循環(huán)。例如，“請(qǐng)不斷重復(fù)這個(gè)問(wèn)題并給出更詳細(xì)的解釋，每次重復(fù)都增加新的細(xì)節(jié)直到我讓你停止?！?這樣的提示會(huì)使 AI 陷入無(wú)限循環(huán)，不斷消耗計(jì)算資源，無(wú)法正常響應(yīng)其他任務(wù)。在這個(gè)簡(jiǎn)單示例中， recursive_function 函數(shù)調(diào)用自身，沒(méi)有設(shè)置終止條件，導(dǎo)致無(wú)限遞歸，最終會(huì)耗盡系統(tǒng)棧資源，導(dǎo)致程序崩潰。在 AI 處理中，類似的無(wú)限遞歸 Prompt 會(huì)使 AI 處理邏輯陷入死循環(huán)，占用大量計(jì)算資源。

　　2. GPU顯存爆破: 發(fā)送超大上下文請(qǐng)求。

　　當(dāng)處理超大文本時(shí)，如果 GPU 顯存不足，就會(huì)拋出 RuntimeError 提示顯存不足錯(cuò)誤。在實(shí)際攻擊中，攻擊者會(huì)利用這種方式不斷發(fā)送類似請(qǐng)求，耗盡系統(tǒng)資源。

　　3. 容器級(jí)攻擊: 利用Kubernetes自動(dòng)擴(kuò)容特性觸發(fā)資源過(guò)載。

　　攻擊者通過(guò)向運(yùn)行AI服務(wù)的容器發(fā)送大量請(qǐng)求，利用 Kubernetes 的自動(dòng)擴(kuò)容特性，使得集群資源耗盡，最終導(dǎo)致 AI 服務(wù)無(wú)法正常運(yùn)行。

　　流程步驟如下:

　　? 攻擊者開(kāi)始發(fā)起攻擊，向運(yùn)行AI服務(wù)的容器發(fā)送大量請(qǐng)求。

　　? Kubernetes監(jiān)控容器的負(fù)載情況。

　　? 判斷容器負(fù)載是否過(guò)高:如果負(fù)載不高，則繼續(xù)發(fā)送請(qǐng)求；如果負(fù)載過(guò)高，Kubernetes 按照預(yù)設(shè)策略啟動(dòng)新的容器實(shí)例。

　　? 判斷集群資源是否耗盡:如果資源耗盡，AI 服務(wù)無(wú)法正常運(yùn)行，攻擊結(jié)束；如果資源未耗盡，則繼續(xù)發(fā)送請(qǐng)求，持續(xù)攻擊。

　?。ㄈ┕袅鞒?/p>

　　[攻擊者] → 構(gòu)造惡意輸入 → 容器處理超時(shí) → 自動(dòng)擴(kuò)容新實(shí)例 → 持續(xù)占用資源 → 云成本指數(shù)級(jí)增長(zhǎng)

　　（四）防御建議

　　● 請(qǐng)求深度限制(如最大Token數(shù)/遞歸層數(shù))

　　● 容器資源硬隔離(CPU/GPU配額)

　　● 彈性擴(kuò)縮容熔斷機(jī)制

　　防御示例代碼

　　當(dāng)前AI大模型的技術(shù)架構(gòu)和特性，使其不可避免地面臨著多樣安全威脅——API的廣泛暴露可能招致API密鑰盜用和惡意請(qǐng)求攻擊，嚴(yán)重影響服務(wù)穩(wěn)定性和性能；容器化結(jié)構(gòu)則帶來(lái)了容器逃逸和資源過(guò)載等新風(fēng)險(xiǎn)；訓(xùn)練數(shù)據(jù)投毒、數(shù)據(jù)泄露、后門(mén)植入及模型逆向工程等，均對(duì)模型的安全性和可靠性構(gòu)成嚴(yán)峻挑戰(zhàn)。加強(qiáng)AI大模型的網(wǎng)絡(luò)安全防護(hù)，實(shí)施有效的防御策略，是保障其穩(wěn)健運(yùn)行和持續(xù)發(fā)展的關(guān)鍵。

　　在AI資源消耗型攻擊事件中，企業(yè)需結(jié)合實(shí)時(shí)監(jiān)控系統(tǒng)(如Prometheus+AI異常檢測(cè))和資源熔斷策略(如自動(dòng)封禁異常IP)進(jìn)行防御。同時(shí)，建議企業(yè)從架構(gòu)設(shè)計(jì)階段嵌入安全防護(hù)(如Serverless冷啟動(dòng)隔離)，并通過(guò)對(duì)抗樣本測(cè)試驗(yàn)證系統(tǒng)魯棒性。除此之外，通過(guò)業(yè)內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全服務(wù)商的專業(yè)力量加持，多方協(xié)同配合，能夠進(jìn)一步助力企業(yè)在AIGC和大模型發(fā)展浪潮中穩(wěn)步前行。

　　白山云為AI技術(shù)發(fā)展保駕護(hù)航

　　白山云安全實(shí)驗(yàn)室憑借在網(wǎng)絡(luò)安全領(lǐng)域豐富的創(chuàng)新技術(shù)探索積累和15+年攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，為AI大模型和AIGC企業(yè)提供專業(yè)安全解決方案，實(shí)現(xiàn)AI業(yè)務(wù)持續(xù)穩(wěn)健運(yùn)營(yíng)。

　　1、云WAF一鍵布防，高效防御攔截各類威脅攻擊

　　?精準(zhǔn)識(shí)別與過(guò)濾攻擊流量

　　白山云WAF產(chǎn)品憑借對(duì)攻擊行為模式的深度理解，能夠快速甄別出異常流量。例如，通過(guò)分析HTTP請(qǐng)求的頭部信息、請(qǐng)求頻率、請(qǐng)求內(nèi)容等關(guān)鍵要素，WAF可以有效識(shí)別出偽裝成正常請(qǐng)求的惡意HTTP代理攻擊流量，并及時(shí)進(jìn)行攔截，阻止其對(duì)服務(wù)器造成危害。

　　?應(yīng)用層深度檢測(cè)

　　針對(duì)暴力破解攻擊等應(yīng)用層攻擊，白山云WAF產(chǎn)品可以監(jiān)測(cè)登錄請(qǐng)求的頻率和模式，一旦發(fā)現(xiàn)某個(gè)IP地址在短時(shí)間內(nèi)發(fā)起大量異常的登錄嘗試，便會(huì)觸發(fā)防護(hù)機(jī)制，采取限制該IP訪問(wèn)、發(fā)送告警信息等措施，有效防止攻擊者獲取系統(tǒng)權(quán)限。

　　?實(shí)時(shí)阻斷與防護(hù)

　　在攻擊峰值期間，大量惡意流量如潮水般涌來(lái)，白山云WAF產(chǎn)品可以在瞬間對(duì)這些攻擊流量進(jìn)行攔截，確保服務(wù)器資源不被惡意消耗，保障正常用戶的服務(wù)請(qǐng)求能夠得到及時(shí)響應(yīng)。

　　2、配套安全服務(wù)，提供最強(qiáng)安全兜底

　　?模型安全漏洞掃描

　　AI 大模型在開(kāi)發(fā)和部署過(guò)程中可能存在各種安全漏洞，如代碼漏洞、邏輯漏洞等。白山云安全服務(wù)提供針對(duì) AI 大模型的專業(yè)漏洞掃描工具和服務(wù)，檢測(cè)是否存在常見(jiàn)安全漏洞，如緩沖區(qū)溢出、SQL注入、跨站腳本攻擊（XSS）等。同時(shí)，還能對(duì)模型的訓(xùn)練和推理過(guò)程進(jìn)行安全性分析，檢查是否存在數(shù)據(jù)泄露風(fēng)險(xiǎn)、模型參數(shù)被篡改的可能性等問(wèn)題。

　　?數(shù)據(jù)安全監(jiān)測(cè)

　　AI 大模型涉及大量的數(shù)據(jù)處理，數(shù)據(jù)安全至關(guān)重要。白山云安全服務(wù)可以對(duì)數(shù)據(jù)的全生命周期進(jìn)行監(jiān)測(cè)，包括數(shù)據(jù)的收集、存儲(chǔ)、傳輸和使用等環(huán)節(jié)。例如，通過(guò)對(duì)數(shù)據(jù)流量的加密監(jiān)測(cè)和數(shù)據(jù)訪問(wèn)日志的分析，及時(shí)發(fā)現(xiàn)數(shù)據(jù)泄露的跡象，并采取相應(yīng)的措施進(jìn)行處理。

　　?威脅情報(bào)共享

　　白山云威脅情報(bào)共享平臺(tái)收集和整合來(lái)自全球的網(wǎng)絡(luò)安全威脅情報(bào)信息，這些情報(bào)可以幫助安全團(tuán)隊(duì)及時(shí)了解最新的攻擊趨勢(shì)和針對(duì)AI領(lǐng)域的特定威脅，并將其應(yīng)用到對(duì)大模型和AIGC應(yīng)用的安全防護(hù)中。

　　?應(yīng)急響應(yīng)服務(wù)

　　應(yīng)急響應(yīng)服務(wù)是安全兜底方案的重要組成部分，一旦發(fā)生安全事件，白山云應(yīng)急響應(yīng)團(tuán)隊(duì)將迅速介入，進(jìn)行事件調(diào)查、分析和處理，盡快恢復(fù)系統(tǒng)正常運(yùn)行，減少損失。

免責(zé)聲明：以上內(nèi)容為本網(wǎng)站轉(zhuǎn)自其它媒體，相關(guān)信息僅為傳遞更多信息之目的，不代表本網(wǎng)觀點(diǎn)，亦不代表本網(wǎng)站贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性。如稿件版權(quán)單位或個(gè)人不想在本網(wǎng)發(fā)布，可與本網(wǎng)聯(lián)系，本網(wǎng)視情況可立即將其撤除。