AESOP ukazuje, že útok môže zahltiť celú AI pipeline, nielen jeden model

Mnohé diskusie o bezpečnosti umelej inteligencie sa stále sústreďujú na jeden model, jednu promptovaciu slabinu alebo jednu inference službu. Reálna produkcia však čoraz častejšie vyzerá inak. Nasadzujú sa celé pipeline, v ktorých jeden model triedi vstup, ďalší rozhoduje o vetvení, iný komponent vyberá ťažší alebo ľahší režim spracovania a až potom sa volá samotná generatívna alebo analytická časť. Nový arXiv preprint AESOP tvrdí, že práve táto architektúra vytvára samostatnú útočnú plochu. Útočník podľa autorov nemusí prelomiť jednotlivý model v klasickom zmysle slova. Stačí mu naučiť sa, ako prinútiť pipeline, aby pri spracovaní rovnakého vstupného rozpočtu volila čo najdrahšie a najpomalšie vetvy.

Autori tento problém nazývajú adversarial path-selection. Znie to abstraktne, no praktický význam je priamočiary. Keď upstream komponenty rozhodujú o tom, koľko ďalších modelov sa aktivuje, aké dlhé sú ich kroky alebo aký veľký workload sa v systéme rozbehne, náklad jedného requestu už neurčuje len cena inferencie jedného modelu. O výsledku rozhoduje aj to, kam je request presmerovaný a akú lavínu ďalších operácií spustí. V systémoch s tvrdšími latančnými a kapacitnými limitmi je to presne rozdiel medzi bežnou prevádzkou a kolapsom front, timeoutmi či prudkým rastom cloudového účtu.

AESOP preto nehodnotí iba klasický útok na presnosť, ale útok na efektivitu. Papier stavia framework, ktorý kombinuje hodnotenie zraniteľnosti jednotlivých ciest s adaptívnym vážením straty tak, aby sa útok cielene tlačil do najdrahších rozhodovacích vetiev. Podľa autorov je podstatné, že rovnaký vstupný rozpočet môže pri „path-aware“ cieli nafúknuť FLOPs výrazne viac než najsilnejšia baseline zameraná na samostatný model. To je dôležitá zmena optiky. V ére multi-modelových agentov, kaskád, safety filtrov a routerov už útočník nemusí maximalizovať iba vecnú chybu. Môže maximalizovať účtovateľný chaos.

Pre prevádzkovateľov AI služieb je zaujímavé, že autori netestujú len laboratórne hračky. V abstrakte hovoria o piatich pipeline a aj o variante, ktorý sa približuje produkcii: dávkovanie, obmedzené buffre a obrany založené na prahoch dôvery. To je dôležité, lebo práve takéto techniky sa v praxi často považujú za dostatočný štít proti nákladovým útokom. AESOP však tvrdí, že obrany útok nezrušia, len zmenia, kde systém začne trpieť. Namiesto elegantného odfiltrovania škodlivého vstupu môže pipeline skončiť pri rozhodovaní medzi prepadom throughputu, vyššou latenciou a agresívnejším odmietaním legitímnych požiadaviek. Inými slovami, obrana sa môže zmeniť na mechanizmus, ktorý len presúva bolesť medzi SLA, cenu a používateľský zážitok.

Tento argument dobre zapadá do širšieho trendu okolo agentických a multimodálnych systémov. Čím viac sa jedna úloha rozkladá do sekvencie špecializovaných komponentov, tým menej stačí merať bezpečnosť po jednotlivých modeloch. Dnes je bežné, že request prejde cez klasifikátor, retrieval vrstvu, planner, tool router, generátor a ešte aj následnú kontrolu výstupu. Každý takýto krok môže mať vlastnú cenu a vlastné vetvenie. Ak sa útok naučí tlačiť systém do „luxusného“ režimu spracovania, vzniká nový druh denial-of-wallet problému. Nie je to výpadok v starom zmysle slova, ale ekonomické a kapacitné vykrvácanie služby cez architektúru, ktorú si prevádzkovateľ pôvodne postavil kvôli kvalite.

Pre cloudové a enterprise tímy je tu aj governance rozmer. Bežné reportovanie bezpečnosti modelov sa sústreďuje na jailbreaky, toxicity, únik dát či chyby v nástrojoch. Menej pozornosti sa venuje tomu, ako sa mení nákladová krivka pri nepriateľských vstupoch. AESOP pripomína, že pri moderných pipeline treba zaviesť aj inú triedu metrík: správanie routingu pod záťažou, citlivosť vetvenia na manipulatívne vstupy, horné limity FLOPs na request a to, či obrany náhodou nenútia systém k ešte drahším fallbackom. To sú otázky, ktoré budú musieť riešiť nielen výskumníci, ale aj ľudia zodpovední za FinOps, SRE a produktové SLA.

Samozrejme, aj tu treba opatrnosť. AESOP je čerstvý preprint a abstrakt je ambiciózny. Kým sa podobné výsledky nepotvrdia na širšej sade architektúr a u komerčných vendorov, nemožno z neho robiť univerzálny dôkaz, že každá zložená pipeline je okamžite ľahko zneužiteľná. No už samotná formulácia problému je dôležitá. Núti bezpečnostnú komunitu prestať uvažovať o modeloch izolovane a pozerať sa na inferenčný stack ako na koordinovaný systém s vlastnou ekonómiou útoku. Presne tam dnes smeruje veľká časť AI infraštruktúry.

Pre AI Feed je AESOP silná výskumná téma preto, že prepája bezpečnosť s reálnou prevádzkou. V najbližších mesiacoch sa bude veľa hovoriť o agentoch, routeroch a viacstupňových workflowoch, no menej o tom, ako tieto architektúry menia útokový povrch z pohľadu ceny a kapacity. Ak má mať AI infraštruktúra skutočne produkčnú kvalitu, nestačí merať len kvalitu odpovede. Bude treba merať aj to, kam sa dá systém zatlačiť, keď niekto cielene útočí na jeho najdrahšie rozhodovacie cesty.