摘要
随着工具使用型LLM代理越来越多地基于文本可见的元数据(如工具名称、描述和返回信息)选择并链接第三方工具以协调实际工作负载,本文指出这种便利性带来了供应链攻击的风险。恶意MCP工具服务器可以与正常工具一同注册,并诱导代理进入过度思考循环,其中看似简单或合理的工具调用组合成循环轨迹,导致端到端的token数量和延迟增加,而单个步骤看起来并无异常。本文将此形式化为结构性过度思考攻击,区别于单纯的token冗余,并实现了跨三个服务器的14个恶意工具,触发重复、强制优化和分心行为。实验表明,该攻击在异构注册表和多个具备工具能力的模型中均能引发严重的资源放大(高达142.4倍token),并可能降低任务效果。最后发现,解码阶段的简洁性控制无法可靠防止循环的产生,因此防御应关注工具调用结构而非仅依赖token数量。
AI 推荐理由
论文涉及Agent在使用工具时可能产生的循环问题,与记忆机制中的轨迹重复相关。
论文信息