Nová kybernetická hrozba pre AI: Ako Denial-of-Wallet (DoW) útoky nenápadne predražujú RAG systémy

Keď sa povie kybernetický útok, väčšina z nás si predstaví ukradnuté dáta alebo zhodené servery prostredníctvom DDoS (Denial-of-Service). S masívnym prechodom na cloud a serverless architektúru sa však zrodila nová, finančne deštruktívna hrozba: Denial-of-Wallet (DoW). Pri DoW útokoch útočník nezhodí váš systém. Namiesto toho zneužije jeho schopnosť automatického škálovania a umelo vygeneruje obrovskú prevádzku, čo vedie k astronomickým účtom za cloudovú infraštruktúru.

Dnes sa táto nočná mora presúva do sveta umelej inteligencie a veľkých jazykových modelov (LLM). Útočníci sa začínajú zameriavať na extrémnu spotrebu API tokenov a drahého GPU výkonu. A najnovší výskum odhaľuje, že populárne AI aplikácie sú voči tejto hrozbe mimoriadne zraniteľné.

Čo je to RA-ICA a prečo ohrozuje vaše RAG systémy?

V najnovšej vedeckej štúdii s názvom Inference Cost Attacks for Retrieval-Augmented Large Language Models z roku 2026 predstavili vedci z The Hong Kong Polytechnic University nový druh kritickej zraniteľnosti: Retrieval-Augmented Inference Cost Attack (RA-ICA).

Doterajšie pokusy o predraženie LLM (tzv. Inference Cost Attacks) vyžadovali priamu manipuláciu s používateľským dopytom (promptom). V praxi a produkčnom prostredí je to však veľmi ťažko realizovateľné. Nový útok RA-ICA však využíva slabinu priamo v RAG systémoch (Retrieval-Augmented Generation), ktoré moderné AI aplikácie používajú na vyhľadávanie aktuálnych informácií z externých webov a databáz.

Útočník vôbec nemusí prekonávať vašu aplikačnú bezpečnosť. Stačí, ak „otrávi“ verejné dáta na internete špeciálne upraveným dokumentom. Keď sa zákazník vo vašej aplikácii spýta na bežnú otázku, RAG systém si tento škodlivý text v dobrej viere sám stiahne, čím sa finančná pasca okamžite aktivuje.

Framework CREEP: 3 stratégie, ako AI hackuje inú AI

Výskumníci vytvorili automatizovaný útočný nástroj s názvom CREEP (Computational Resource Exhaustion via External Poisoning). Ten využíva vlastných LLM agentov na generovanie textov, ktoré sú sémanticky vysoko relevantné pre RAG vyhľadávanie, no pre váš jazykový model znamenajú obrovskú výpočtovú záťaž.

Systém CREEP využíva tri hlavné taktiky na oklamanie umelej inteligencie:

• Vloženie návnady (Decoy Injection): Agent do dokumentu skryje logické hádanky alebo zložité matematické či plánovacie úlohy. Keď ich váš RAG systém načíta, model ich začne počas uvažovania nevedomky riešiť, čím zbytočne spáli obrovské množstvo tokenov.
• Vloženie rozporov (Contradiction Injection): Škodlivý text obsahuje fakty, ktoré si navzájom odporujú. LLM je donútené analyzovať tieto rozpory (vyvoláva tzv. overthinking), čo drasticky predlžuje čas generovania odpovede a dopytovania GPU.
• Účelová manipulácia (Task-Oriented Manipulation): Útočná AI priamo optimalizuje text tak, aby maximalizovala výpočtové náklady vášho systému, pričom mimoriadne dbá na to, aby text pôsobil nenápadne a vyhol sa detekcii.

Celý tento proces je poháňaný inovatívnym algoritmom posilňovaného učenia MA-GRPO (Memory-Augmented Group Relative Policy Optimization), ktorý si ukladá do pamäte najúspešnejšie historické útoky a neustále zdokonaľuje ich efektivitu.

Šokujúce štatistiky: Faktúry za API tokeny vyššie až o 1300 %

Testovanie útoku RA-ICA na top modeloch súčasnosti (ako GPT-5, Claude-Sonnet-4 či DeepSeek-R1) v rámci benchmarkových datasetov (Natural Questions, HotpotQA) prinieslo pre firemné financie alarmujúce výsledky:

• Dramatický nárast nákladov: Optimalizovaný útok dokázal zvýšiť spotrebu tokenov neuveriteľne – až 13,12-násobne.
• Extrémna úspešnosť: Útočné dokumenty boli RAG systémom vyhľadané a stiahnuté s úspešnosťou viac ako 90 %.
• Dokonalé maskovanie (Stealth mód): Útok je prakticky neviditeľný. Nijako nedeformuje správnosť konečnej odpovede pre používateľa, takže vaše bežné bezpečnostné AI filtre nič podozrivé nezistia. Zákazník je spokojný, vaša peňaženka však krváca.

Ako chrániť firemné LLM pred finančným vyčerpaním?

Zabezpečenie AI aplikácií už nemôže byť orientované výlučne na prevenciu úniku dát a boj proti halucináciám modelov. Tento výskum jasne dokazuje, že novým frontom kybernetickej bezpečnosti v 21. storočí je ekonomická ochrana infraštruktúry.

Ak vaša aplikácia využíva RAG systémy na získavanie dát z otvoreného internetu, stáva sa ľahkým terčom pre Denial-of-Wallet útoky. Vývojári a architekti musia okamžite začať implementovať prísnu sanitáciu a validáciu externých dokumentov predtým, než ich naservírujú jazykovému modelu na spracovanie. Ochrana tokenov je dnes rovnako dôležitá ako ochrana samotných dát.

Medzi konkrétne opatrenia, ktoré odporúčame, patrí:

• Sanitácia a validácia externých dokumentov ešte predtým, než sa dostanú do kontextu modelu.
• Limity na dĺžku uvažovania a počet tokenov (reasoning a output budget) pre každý jednotlivý dopyt.
• Monitoring spotreby tokenov a nákladov v reálnom čase s automatickými upozorneniami na anomálie.
• Hodnotenie dôveryhodnosti zdrojov, z ktorých RAG systém čerpá, a uprednostnenie overených databáz pred otvoreným internetom.
• Rate limiting a kontrola vstupov na úrovni celej RAG pipeline.

Ako môže pomôcť Haxoris

Aby sa z tejto hrozby nestala drahá realita, Haxoris vie pomôcť napríklad takto:

• Penetračné testovanie LLM a AI integrácií.
• Bezpečnostný audit RAG pipeline a externých dátových zdrojov.
• Red teaming AI aplikácií so zameraním na zneužitie zdrojov a nákladov.
• Návrh kontrol pre spotrebu tokenov a ochranu prevádzkových nákladov.

Záver

Denial-of-Wallet a útoky typu RA-ICA ukazujú, že bezpečnosť AI sa už netýka len dát a halucinácií. Vaša peňaženka sa stala plnohodnotným cieľom útoku.

Útok, ktorý nijako nepokazí odpoveď pre zákazníka, no ticho znásobí váš účet za API a GPU, je presne ten typ hrozby, ktorý si firmy všimnú až vtedy, keď príde faktúra. Preto je lepšie otestovať svoje RAG systémy skôr, než to za vás spraví útočník.

Zdroj

Inference Cost Attacks for Retrieval-Augmented Large Language Models (2026), The Hong Kong Polytechnic University.