诱导过度思考：针对大模型推理系统的DoS攻击新范式

研究团队发现大推理模型（LRM）存在'过度思考'漏洞，通过层次遗传算法构造对抗性输入，可使模型输出长度增加最多26.1倍，构成针对AI系统语义层的新型拒绝服务（DoS）攻击向量。该攻击利用模型内在推理机制，导致计算资源消耗激增、服务延迟恶化，且具有黑盒可实施性与强可迁移性，对关键系统部署的大模型安全构成挑战。

大推理模型（如OpenAI o系列、DeepSeek-R1等）通过思维链（Chain-of-Thought）机制展现强大多步推理能力，但面对不完整或逻辑不一致的输入时，会陷入'反复琢磨'状态，生成异常冗长的推理轨迹。这种特性虽可能体现'谨慎'，但在恶意输入下成为可利用的漏洞。

攻击核心是系统性扰动输入的逻辑结构，触发模型过度思考机制，导致响应长度激增。其特征包括：响应长度最多增26.1倍（MATH基准）、GPU计算时间与能耗大幅上升、服务延迟恶化、黑盒可实施（无需模型内部访问）。与传统网络层DoS不同，此攻击针对语义层，输入语法合法但逻辑存在问题，更难检测防御。

研究采用层次遗传算法（HGA）构造对抗输入：1. 结构化问题分解（如数学问题的已知条件、目标、中间步骤等）；2. 复合适应度函数（同时优化响应长度与过度思考标记，如反复思考、自我质疑等语言模式）；3. 黑盒优化策略（仅通过输入输出反馈优化，贴近商业API实际场景）。

在四种先进大推理模型上验证：1. 对抗输入显著增加响应长度；2. 攻击具强可迁移性（小型代理模型生成的对抗输入对GPT-4、Claude等大型商业模型有效）；3. HGA优化样本效果远优于人工构造的缺失前提基线，表明过度思考漏洞存在复杂模式。

潜在防御方向包括：1. 输入验证过滤（检查逻辑一致性，要求用户澄清不完整/矛盾输入）；2. 推理长度限制（设置token或步骤上限，超阈值中断并返回结果）；3. 异常检测（监控推理模式统计特征，识别异常思考行为）；4. 对抗训练（引入对抗样本增强鲁棒性）。

该研究揭示AI安全的系统性挑战：模型能力增强伴随新攻击面，过度思考漏洞与推理机制本身相关。部署关键系统时需全面评估安全特性，不仅关注传统对抗样本，也要考虑计算资源消耗类攻击。呼吁业界重视此漏洞，纳入产品设计与部署的安全考量，通过攻防博弈构建可靠AI系统。