当人们谈论 AI Agent 安全时,通常担心的是数据泄露、权限越界、Prompt 注入。但在 2026 年 6 月 15 日,The Register 报道了一项让业界侧目的发现:攻击者可以不窃取一行数据,不触发任何告警,却让你的 Agent API 账单膨胀 658 倍。
这不是 DDoS,不是资源耗尽——这是 Agent 自己心甘情愿地烧掉了你的钱。
发现:一种全新的攻击方式
研究人员揭示了一种被称为 “成本注入”(Cost Injection) 的攻击。核心原理并不复杂:
攻击者通过精心设计的工具调用序列,操纵 AI Agent 反复调用高成本的 API 接口,导致单次任务的实际 API 费用飙升至正常成本的 658 倍。
它不需要利用任何代码漏洞,不需要窃取你的 API 密钥,甚至不需要让 Agent 执行恶意操作——只是让 Agent 选择”更贵”的工具来完成本该很便宜的任务。
本质:和三体问题一样的新攻击面
成本注入和传统攻击有根本性不同:
| 维度 | 传统 API 滥用(DDoS/盗刷) | Agent 成本注入 |
|---|---|---|
| 攻击者控制 | 外部流量攻击 | 操纵 Agent 自主选择高成本路径 |
| 检测难度 | 流量模式异常明显 | 看起来是正常工具调用,只是”选择了更贵的方式” |
| 直接损失 | 带宽/算力消耗 | 真金白银的 API 账单 |
| 数据风险 | 无 | 无(纯经济损失) |
| 防御逻辑 | 限流 + WAF | 需要 Agent 层面的经济感知决策 |
这不是传统意义上的安全漏洞,而是 Agent 架构层面的激励错位——Agent 被设计为”完成任务”,而非”最小化完成任务的成本”。
攻击如何工作
虽然 The Register 的报道没有公开完整的攻击实施细节,但根据研究描述,可以推断出典型的攻击路径:
- 埋点:攻击者在对话上下文中植入看似合理的工具调用线索(例如伪装成用户指令或系统提示)
- 诱导:引导 Agent 选择计算量极大、调用频率极高的 API,而非廉价的替代方案
- 放大:利用循环、递归、批量处理等机制,让同一高成本 API 被反复调用数十甚至数百次
- 收割:攻击者可能从以下途径获益——消耗竞争对手预算、制造混乱转移注意力、或某些高成本 API 的回扣机制
为什么是 658 倍?
658 倍不是理论计算——这是实际实验中的数据。它意味着:
- 如果正常完成一次 Agent 任务需要消耗 $1 的 API 费用,攻击后变成 $658
- 如果企业运行着 100 个 Agent 实例,单次攻击可能导致 $65,800 的不合理支出
- 对于一个每天处理 10,000 次 Agent 任务的平台,一次隐蔽的攻击可能在数小时内烧掉数万美元
经济安全:Agent 安全的新维度
这次发现最值得关注的,是它揭示了 Agent 安全的一个缺失维度。
过去的安全模型关注 CIA 三元组(机密性、完整性、可用性)。Agent 安全在 CIA 基础上扩展了身份、权限、对齐等维度。但经济安全(Economic Security)——即 Agent 在完成任务时是否经济高效——从未被纳入安全框架。
随着 Agent 进入生产环境,这一点变得不可忽视:
- 计费模式:主流 LLM 和 API 提供商普遍采用按量计费(pay-per-token / pay-per-call)
- 自主决策:Agent 在工具选择上拥有自主权,缺少成本感知的裁决层
- 规模化:企业运行数百甚至数千个 Agent,单次小额浪费被放大
- 隐蔽性:成本注入在流量层面”一切正常”,难以通过传统监控发现
防御思路
研究者和安全社区提出的应对方向包括:
- 硬预算上限:为每个 Agent/任务设定不可突破的 API 费用天花板(已出现 Guardian Runtime、Budget Firewall 等工具)
- 成本感知路由:Agent 在选择工具时纳入成本作为决策权重,而非仅考虑功能匹配
- 异常成本检测:建立单次任务/每位用户的 API 消耗基线,检测偏离
- 工具调用审计:记录每次工具调用的成本和频率,建立调用图——及时发现循环调用模式
- 短暂 Agent 架构:任务完成后立即释放 Agent 实例,阻断长驻 Agent 被持续利用
其中,硬预算上限是目前最立竿见影的方案——它不依赖 Agent 的”自觉”,而是从基础设施层面强制约束。
结语
“消费 $658 来完成本应 $1 完成的任务”——这个数字本身已经足够说明问题。
Agent 的自主性是它的核心价值,也是它的核心风险。成本注入攻击不是传统的安全漏洞,但它证明了当 Agent 拥有了选择工具的自由,它也需要拥有”选对工具”——包括”选对便宜的工具”——的能力。
经济安全应该成为每家企业部署 Agent 时的必选项,而非锦上添花。毕竟,安全可以渐进提升,但烧掉的钱不会回来。
参考资料
- The Register: AI agent tool-call attack can inflate bills 658-fold (2026-06-15)
- Guardian Runtime: 开源的本地 AI Agent 用量追踪与预算防火墙 — 本站关联文章 (2026-06-12)
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/ai-agent-cost-injection-attack-658x.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)