Model Denial of Service
Model Denial of Service とは何ですか?
Model Denial of ServiceOWASP LLM04 — driving an LLM application into runaway resource consumption (long contexts, infinite loops, expensive tool fan-out) so it slows, becomes unavailable, or generates a ruinous cloud bill.
Model Denial of Service (LLM04 in the OWASP Top 10 for LLM Applications) covers attacks that exhaust the resources behind an LLM-powered system rather than knock down a network. Specific patterns include flooding the model with maximum-context inputs to drive up token cost; crafting recursive or self-referential prompts that trigger long generations; abusing tool-calling agents to cascade dozens of expensive sub-calls; submitting inputs that defeat caching; and exploiting retrieval pipelines to pull massive documents into every request. The blast radius is operational (the chatbot becomes unusable) and financial (a single attacker can burn five- or six-figure inference bills in hours). Mitigations include strict per-user input/output token caps, max-step limits on agent loops, semantic and exact-match caching, rate-limit on tool fan-out, async queueing with budget guards, and observability dashboards keyed to spend per tenant.
● 例
- 01
An attacker scripts thousands of requests with maximum-allowed context windows, generating six-figure cloud bills before quotas trip.
- 02
An agent prompt-injection convinces the model to enter a tool-use loop that calls the expensive document-summarization API hundreds of times per session.
● よくある質問
Model Denial of Service とは何ですか?
OWASP LLM04 — driving an LLM application into runaway resource consumption (long contexts, infinite loops, expensive tool fan-out) so it slows, becomes unavailable, or generates a ruinous cloud bill. サイバーセキュリティの AI / ML セキュリティ カテゴリに属します。
Model Denial of Service とはどういう意味ですか?
OWASP LLM04 — driving an LLM application into runaway resource consumption (long contexts, infinite loops, expensive tool fan-out) so it slows, becomes unavailable, or generates a ruinous cloud bill.
Model Denial of Service はどのように機能しますか?
Model Denial of Service (LLM04 in the OWASP Top 10 for LLM Applications) covers attacks that exhaust the resources behind an LLM-powered system rather than knock down a network. Specific patterns include flooding the model with maximum-context inputs to drive up token cost; crafting recursive or self-referential prompts that trigger long generations; abusing tool-calling agents to cascade dozens of expensive sub-calls; submitting inputs that defeat caching; and exploiting retrieval pipelines to pull massive documents into every request. The blast radius is operational (the chatbot becomes unusable) and financial (a single attacker can burn five- or six-figure inference bills in hours). Mitigations include strict per-user input/output token caps, max-step limits on agent loops, semantic and exact-match caching, rate-limit on tool fan-out, async queueing with budget guards, and observability dashboards keyed to spend per tenant.
Model Denial of Service からどのように防御しますか?
Model Denial of Service に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Model Denial of Service の別名は何ですか?
一般的な別名: LLM04, LLM DoS, Token-burn attack。
● 関連用語
- ai-security№ 870
OWASP LLM Top 10
大規模言語モデルを基盤とするアプリケーションに対し、最も重大な 10 のセキュリティリスクをまとめた OWASP のリスト。
- attacks№ 333
サービス妨害攻撃 (DoS)
システムの帯域・処理能力・メモリ・アプリケーション資源を枯渇させ、正当な利用者がサービスを利用できなくする攻撃。
- network-security№ 1008
レート制限
レート制限は、識別子(IP、ユーザー、API キー、トークンなど)あたりの単位時間内のリクエスト数を制限する仕組みで、API やアプリを濫用・スクレイピング・総当たり攻撃から守ります。
- ai-security№ 027
エージェント型 AI のセキュリティ
計画立案・ツール呼び出し・実システムへの作用を自律的に行う LLM エージェントを守るための分野。プロンプトインジェクションが遠隔コード実行に、過剰な権限が現実の被害範囲に直結する。
- ai-security№ 969
プロンプトインジェクション
プロンプトに敵対的なテキストを紛れ込ませて LLM の元の指示を上書きし、安全策を無視させたり攻撃者が望む動作を実行させたりする攻撃。
- ai-security№ 689
LLM ガードレール
LLM ベースのアプリケーションが受け付けたり出力したりできる内容を制約し、基盤モデルの周囲で safety・セキュリティ・業務ルールを適用する仕組み。