Auf den Punkt: Angreifer können Reasoning-Guardrails von KI-Agenten durch gezielt manipulierte Eingaben zu einer Ressourcenerschöpfung führen, ohne die Sicherheitsmechanismen selbst zu umgehen.
Forscher haben eine neue Angriffstechnik entdeckt, die die Reasoning-basierten Sicherheitsmechanismen von KI-Agenten ausnutzt und diese in Denial-of-Service-Attacken umwandelt. Ein einziges vergiftetes Dokument kann dabei die Verarbeitungsgeschwindigkeit um das bis zu 148-fache verlangsamen.
Wissenschaftler der Hong Kong University of Science and Technology haben in ihrer Forschung demonstriert, dass reasoning-basierte Sicherheitsmechanismen eine neue Angriffsfläche darstellen. Der sogenannte Reasoning-Extension-DoS-Angriff zielt nicht auf das zugrunde liegende KI-Modell, sondern auf die Sicherheitsschicht selbst — und damit auf die Verfügbarkeit und Performance des Systems statt auf dessen Integrität.
In Tests gegen vier KI-Agent-Frameworks gemessen die Forscher erhebliche Verzögerungen: LangGraph verzeichnete eine Verlangsamung um das 148-fache, BrowserGym um das 131-fache, OpenHands um 36,3x und OSWorld um 18x. Die Technik funktionierte dabei über acht verschiedene LLM-Familien hinweg, was bedeutet, dass Angreifer kein tiefgehendes Wissen über spezifische proprietäre Systeme benötigen.
Anders als Prompt-Injection und Jailbreak-Angriffe, die Modellausgaben manipulieren oder Sicherheitskontrollen umgehen, zielt dieser Ansatz auf den Reasoning-Prozess selbst. Die Forscher warnen: Ein einzelnes vergiftetes Dokument kann eine gemeinsam genutzte Guardrail-Infrastruktur sättigen und damit alle co-platzierten Agenten lahmlegen. Besonders problematisch ist der Befund, dass stärkere Sicherheitsprüfungen oft mit langsamerer Performance einhergehen — je intensiver die Guardrails reasonen, desto länger dauert die Verarbeitung.
Für CISOs stellt dies eine strategische Herausforderung dar: KI-Governance-Infrastruktur wird zunehmend zur kritischen Infrastruktur, besonders wenn mehrere Agenten zentrale Sicherheitsmechanismen teilen. Die Konzentration auf gemeinsame Safety-Systeme schafft Konzentrationsrisiken. Bei geschäftskritischen Workflows wie automatisierter Schadensabwicklung, KI-gestützter Incident Response oder Echtzeit-Betrugserkennung könnten selbst temporäre Latenzprobleme materielle Auswirkungen haben.
Bestehende Abwehrmaßnahmen bieten nur teilweisen Schutz: Konventionelle Prompt-Injection-Filter bleiben anfällig, während strikte Token-Limits nur zwischen Fail-Open und Fail-Closed-Verhalten hin und her verschieben. CISOs müssen daher Resilience, Skalierbarkeit und Fehlertoleranz ihrer KI-Control-Planes ähnlich wie für Identity Services oder API-Gateways planen.
Quelle: www.csoonline.com · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.