推論AIを過剰思考で遅延させる攻撃を確認
詳細を読む
中国の浙江大学とアリババの研究チームは、今週ソウルで開かれた機械学習の国際会議ICML 2026で、最新の推論AIを意図的に「過剰思考」へ追い込む攻撃手法を発表しました。論理的に矛盾したプロンプトを与えることで、モデルが答えの出ない問題を延々と考え続け、応答が最大26倍まで長くなることを実証しています。大量に仕掛ければ正規利用者のサービス品質を著しく下げる、事実上のサービス妨害(DoS)攻撃になり得ます。
段階的に思考する推論モデルは、コーディングや数学など複雑な課題を解けるようになりました。一方で、成果につながらない無駄な推論を延々と続ける「過剰思考」という弱点が以前から指摘されていました。研究チームはこの弱点を突き、前提の一部を欠いた解けない問題を作ることで過剰思考を強制的に引き起こします。
具体的には、3つの数学ベンチマークから集めた940問をLLMで前提と設問に分解し、進化的アルゴリズムで前提の入れ替えや削除、追加といった「変異」を加えます。各世代で出力語数や「but」「wait」など過剰思考特有の語の頻度を評価し、高スコアの問題を残して5世代繰り返します。モデル内部を見る必要がなく、外部から問い合わせるだけで攻撃用プロンプトを作れる点が大きな特徴です。
攻撃はDeepSeek-R1、アリババのQwen3-Thinking、OpenAIのGPT-o3、GoogleのGemini 2.5 Flashといった主要モデルに対して有効でした。最大の増加はMATHデータセットでのDeepSeek-R1で、通常時の最長応答の26.1倍に達しました。数学だけでなくコーディングや科学的推論、対話でも同様に出力が大きく伸びたといいます。
課題は、攻撃用プロンプトの作成に高価な推論モデルへの反復的な問い合わせが要る点です。ただし研究チームは、より安価な小型モデルで生成したプロンプトでも標的モデルを数倍長く応答させられることを示しました。この転用可能性が攻撃の現実味を高めます。
研究の目的は実用的な攻撃の開発ではなく、こうした脆弱性の存在を明らかにし、提供各社に対策を促すことにあります。料金体系やレート制限、既存の防御策によって影響度は変わるものの、論理矛盾に弱いという性質は現実的なセキュリティ上の懸念だと研究者は指摘します。推論AIの普及が進むいま、見過ごせない課題と言えるでしょう。