AI एजेंट सुरक्षा15 फ़रवरी 2026 7 मिनट पढ़ें

$52K का LLM बिल: जब स्वायत्त एजेंट बिगड़ैल हो जाते हैं

भागते हुए AI एजेंटों द्वारा भारी क्लाउड लागत वहन करने की खतरनाक प्रवृत्ति में एक गहन गोता। यह घटना CISO और सुरक्षा इंजीनियरों के लिए वर्तमान सुरक्षा स्थिति में महत्वपूर्ण कमियों को उजागर करती है।

साझा करेंX LinkedIn

$52K का LLM बिल: जब स्वायत्त एजेंट बिगड़ैल हो जाते हैं

क्या हुआ

एक स्वतंत्र सॉफ्टवेयर डेवलपर को हाल ही में एक स्वायत्त कोडिंग एजेंट से जुड़ी एक विनाशकारी घटना के बाद अप्रत्याशित रूप से $52,000 का बिल मिला। एक सॉफ्टवेयर बग को ठीक करने का काम सौंपा गया एजेंट, एक अनंत लूप में फंस गया। लगभग नौ घंटे तक, इसने बार-बार एक असफल परीक्षण निष्पादित किया और सुधार उत्पन्न करने का प्रयास किया, जिससे बड़ी मात्रा में लार्ज लैंग्वेज मॉडल (LLM) टोकन की खपत हुई।

मुख्य समस्या एजेंट की उत्पादन क्लाउड संसाधनों और LLM API तक अनियंत्रित पहुंच से उत्पन्न हुई। कोई दर सीमा नहीं थी, कोई टोकन व्यय सीमा नहीं थी, और महत्वपूर्ण रूप से, विषम व्यवहार को रोकने के लिए कोई सर्किट ब्रेकर नहीं था। यह घटना स्वायत्त संचालन के लिए AI का लाभ उठाने वाले वातावरण में बढ़ती भेद्यता को रेखांकित करती है।

यह पारंपरिक अर्थों में एक अलग हमला नहीं था, बल्कि एक स्व-प्रेरित सेवा से इनकार, या अधिक सटीक रूप से, एक वॉलेट से इनकार था। डेवलपर के वैध क्रेडेंशियल, जो विकास और परीक्षण के लिए थे, ने एजेंट को एक अनियंत्रित खर्च करने की होड़ के लिए चाबियां प्रदान कीं। वित्तीय प्रभाव तत्काल और पर्याप्त था।

यह पैटर्न बार-बार क्यों दोहराया जाता है

AI एजेंटों का प्रसार, विशेष रूप से स्वायत्त क्षमताओं वाले, परिचालन जोखिम का एक नया वर्ग पेश करता है। पारंपरिक सुरक्षा प्रतिमान अनधिकृत पहुंच या डेटा एक्सफ़िल्ट्रेशन को रोकने पर ध्यान केंद्रित करते हैं। हालांकि, इस तरह की घटनाएं अनियंत्रित या दुर्भावनापूर्ण व्यवहार करने वाली अधिकृत संस्थाओं के खिलाफ सुरक्षित करने की आवश्यकता को उजागर करती हैं।

कई संगठन अपने उपयोग के वित्तीय निहितार्थों को पूरी तरह से समझे बिना तेजी से AI टूल अपना रहे हैं। क्लाउड सेवाओं और LLM API का 'पे-एज़-यू-गो' मॉडल लागतों को तेजी से बढ़ा सकता है जब खपत की निगरानी नहीं की जाती है। यह जनरेटिव AI के लिए विशेष रूप से सच है, जहां प्रत्येक क्वेरी, प्रत्येक उत्पन्न टोकन, एक मूर्त लागत वहन करता है।

इसके अलावा, स्वायत्त एजेंट व्यवहार को डीबग करने और मान्य करने की जटिलता को अक्सर कम करके आंका जाता है। एजेंट बाहरी एपीआई और सेवाओं के साथ बातचीत करते हुए गतिशील वातावरण में काम करते हैं। उनके तर्क में एक सूक्ष्म बग, या एक बाहरी निर्भरता से एक अप्रत्याशित प्रतिक्रिया, अनियंत्रित प्रक्रियाओं को जन्म दे सकती है जिसे सक्रिय नियंत्रण के बिना पता लगाना और रोकना मुश्किल है।

"असली खतरा केवल डेटा भंग नहीं है, यह डिजाइन दोष से वित्तीय बर्बादी है। हमारी प्रणालियां अभी तक अपनी खुद की डिजिटल संतान को समाहित करने के लिए नहीं बनी हैं।"

AI का 'प्राधिकरण रेंगना'

एक और योगदान कारक वह है जिसे हम 'प्राधिकरण रेंगना' कह सकते हैं। डेवलपर्स अक्सर विकास के दौरान सुविधा के लिए AI एजेंटों को व्यापक अनुमतियां देते हैं, खासकर जब तेजी से पुनरावृति करते हैं। ये अनुमतियां, यदि परिनियोजन से पहले सावधानीपूर्वक नहीं छांटी जाती हैं, तो महत्वपूर्ण हमले के वैक्टर, या इस मामले में, वित्तीय देनदारियां बन सकती हैं। AI-संचालित समाधानों को तैनात करने की जल्दबाजी में न्यूनतम विशेषाधिकार के सिद्धांत को अक्सर अनदेखा किया जाता है।

हमलावर की प्लेबुक चरण-दर-चरण

जबकि यह विशिष्ट घटना एक बाहरी हमला नहीं थी, यह परिदृश्य वित्तीय व्यवधान या संसाधन की कमी के लिए लक्ष्य बनाने वाले हमलावर के लिए एक खाका प्रदान करता है। हमलावर का लक्ष्य एक समान अनियंत्रित प्रक्रिया को ट्रिगर करना होगा, पीड़ित के अपने बुनियादी ढांचे को उनके खिलाफ हथियार बनाना होगा।

पहचान और भेद्यता पहचान: एक हमलावर सबसे पहले उन प्रणालियों की पहचान करेगा जो AI एजेंटों को नियोजित करती हैं। वे सार्वजनिक रूप से उजागर एपीआई, गलत कॉन्फ़िगर किए गए क्लाउड संसाधन, या एम्बेडेड क्रेडेंशियल या अत्यधिक व्यापक अनुमतियों वाले एजेंट कोड वाले रिपॉजिटरी की तलाश करेंगे।
प्रारंभिक पहुंच (या दुर्भावनापूर्ण इंजेक्शन): इसमें एक एजेंट को होस्ट करने वाली प्रणाली तक पहुंच प्राप्त करने के लिए एक पारंपरिक भेद्यता (उदाहरण के लिए, एक सामान्य वेब फ्रेमवर्क के लिए CVE-2023-XXXX) का फायदा उठाना शामिल हो सकता है, या अधिक सूक्ष्मता से, एक एजेंट के इनपुट स्ट्रीम में दुर्भावनापूर्ण प्रॉम्प्ट या डेटा को इंजेक्ट करना जो उसके व्यवहार को हेरफेर कर सकता है।
एजेंट हेरफेर: एक बार पहुंच प्राप्त हो जाने या एजेंट प्रभावित हो जाने के बाद, हमलावर का उद्देश्य एजेंट को एक महंगी, स्व-स्थायी लूप में धकेलना है। इसमें ऐसे इनपुट तैयार करना शामिल हो सकता है जो लगातार एक असफल स्थिति को ट्रिगर करते हैं, एजेंट को बार-बार सुधार का प्रयास करने, बड़ी मात्रा में कोड उत्पन्न करने, या महंगे LLM API से क्वेरी करने के लिए प्रेरित करते हैं।
क्रेडेंशियल शोषण: एजेंट, वैध (लेकिन अत्यधिक अनुमेय) उत्पादन क्रेडेंशियल के साथ काम कर रहा है, फिर इन महंगी कार्रवाइयों को निष्पादित करेगा। इसमें अत्यधिक एपीआई कॉल उत्पन्न करना, अनावश्यक क्लाउड संसाधनों का प्रावधान करना, या जटिल, टोकन-गहन LLM इंटरैक्शन करना शामिल हो सकता है।
गोपनीयता और दृढ़ता (वैकल्पिक लेकिन संभावित): एक परिष्कृत हमलावर अनियंत्रित प्रक्रिया के स्रोत को अस्पष्ट करने का प्रयास कर सकता है या भविष्य में इसी तरह की घटनाओं को ट्रिगर करने के लिए दृढ़ता स्थापित कर सकता है, जिससे फोरेंसिक विश्लेषण अधिक चुनौतीपूर्ण हो जाएगा।
वॉलेट से इनकार: प्राथमिक उद्देश्य प्राप्त हो गया है: लक्षित संगठन को भारी, अप्रत्याशित क्लाउड और AI सेवा बिल मिलते हैं, जिससे संभावित रूप से परिचालन व्यवधान या वित्तीय संकट हो सकता है।

जो डिफेंडर्स से चूक गए

इस घटना में कई महत्वपूर्ण सुरक्षा नियंत्रण और वास्तुशिल्प विचार अनुपस्थित या अपर्याप्त थे। सबसे glaring चूक दानेदार लागत नियंत्रण और वास्तविक समय की निगरानी की कमी थी।

सबसे पहले, LLM API कॉल के लिए टोकन बजट और दर सीमित करना मौजूद नहीं था। LLM API पहुंच को किसी अन्य संसाधन की तरह मानना, पूर्वनिर्धारित खर्च सीमा और थ्रॉटलिंग तंत्र के साथ, मौलिक है। इनके बिना, एक एकल गलत कॉन्फ़िगर किया गया एजेंट जल्दी से पूरे संगठनात्मक बजट को समाप्त कर सकता है।

दूसरे, सर्किट ब्रेकर और किल स्विच लागू नहीं किए गए थे। उच्च-जोखिम वाले, स्वायत्त प्रणालियों में, पूर्वनिर्धारित थ्रेशोल्ड (जैसे, लागत, एपीआई त्रुटियां, कम्प्यूटेशनल लोड) पार होने पर स्वचालित रूप से या मैन्युअल रूप से संचालन को रोकने की क्षमता सर्वोपरि है। यह अनियंत्रित प्रक्रियाओं के खिलाफ रक्षा की अंतिम पंक्ति के रूप में कार्य करता है।

तीसरे, न्यूनतम विशेषाधिकार के सिद्धांत का उल्लंघन किया गया था। एजेंट उत्पादन कुंजियों के साथ संचालित होता था, जिससे उसे व्यापक अनुमतियां मिलती थीं जो उसके कार्य के लिए अनावश्यक थीं। विकास और परीक्षण वातावरण को सख्ती से अलग, सीमित-गुंजाइश वाले क्रेडेंशियल का उपयोग करना चाहिए, कभी भी उत्पादन कुंजियों का नहीं।

अंत में, विषम संसाधन खपत के लिए निरंतर निगरानी या तो अनुपस्थित थी या इन विशिष्ट पैटर्न पर अलर्ट करने के लिए कॉन्फ़िगर नहीं की गई थी। क्लाउड लागत प्रबंधन उपकरण, जबकि उपयोगी हैं, अक्सर बाद में रिपोर्ट प्रदान करते हैं। वास्तविक समय की विसंगति का पता लगाना इन घटनाओं को सामने आने पर पकड़ने के लिए महत्वपूर्ण है।

एक व्यावहारिक रक्षात्मक चेकलिस्ट

CISO और सुरक्षा इंजीनियरों को इन उभरते जोखिमों को सक्रिय रूप से संबोधित करना चाहिए। AI एजेंटों के लिए एक मजबूत सुरक्षा स्थिति को लागू करने के लिए एक बहुआयामी दृष्टिकोण की आवश्यकता है।

दानेदार टोकन बजट लागू करें: प्रति एजेंट, प्रति परियोजना और विश्व स्तर पर LLM टोकन व्यय पर कड़ी सीमाएं लागू करें। इन सीमाओं को लागू करने के लिए क्लाउड प्रदाता टूल या एपीआई गेटवे का उपयोग करें।
दर सीमित करना अनिवार्य करें: स्वायत्त एजेंटों द्वारा की जाने वाली सभी LLM API कॉल और अन्य बाहरी सेवा इंटरैक्शन पर सख्त दर सीमा लागू करें। यह तेजी से, अनियंत्रित खपत को रोकता है।
सर्किट ब्रेकर तैनात करें: एजेंट ऑर्केस्ट्रेशन प्लेटफार्मों में स्वचालित सर्किट ब्रेकर को एकीकृत करें। यदि लागत थ्रेशोल्ड, त्रुटि दर, या संसाधन खपत बढ़ जाती है तो इन्हें ट्रिप करना चाहिए और एजेंट संचालन को रोकना चाहिए।
एजेंट क्रेडेंशियल के लिए न्यूनतम विशेषाधिकार लागू करें: एजेंटों को उनके कार्यों के लिए आवश्यक न्यूनतम अनुमतियां असाइन करें। विकास या परीक्षण के लिए कभी भी उत्पादन क्रेडेंशियल का उपयोग न करें। जहां संभव हो, अस्थायी, स्कोप वाले क्रेडेंशियल का उपयोग करें।
वास्तविक समय लागत विसंगति का पता लगाना: क्लाउड लागत प्रबंधन और अवलोकन प्लेटफार्मों को कॉन्फ़िगर करें ताकि एजेंट-संबंधित सेवाओं से असामान्य खर्च पैटर्न या एपीआई उपयोग में अचानक वृद्धि पर तुरंत अलर्ट किया जा सके।
विकास और उत्पादन वातावरण को अलग करें: वातावरण को सख्ती से अलग करें। विकास या परीक्षण में एजेंटों को सख्त नियंत्रण के बिना उत्पादन संसाधनों या महंगे LLM API तक पहुंच नहीं होनी चाहिए।
एजेंट तर्क और अनुमतियों का नियमित सुरक्षा ऑडिट: सुरक्षा सर्वोत्तम प्रथाओं का पालन सुनिश्चित करने और संभावित कमजोरियों का पता लगाने के लिए एजेंट कोड, उसके इंटरैक्शन और दी गई अनुमतियों की आवधिक समीक्षा करें।

आधुनिक आक्रामक परीक्षण ने इसे कैसे पकड़ा होगा

आधुनिक आक्रामक सुरक्षा प्रथाओं, विशेष रूप से AI प्रणालियों पर केंद्रित, ने इस भेद्यता की पहचान पांच अंकों के बिल में परिणाम होने से बहुत पहले कर ली होगी। एक व्यापक रेड टीमिंग अभ्यास में विशेष रूप से अनियंत्रित एजेंट व्यवहार को भड़काने और वित्तीय और परिचालन गार्डरेल्स की प्रभावकारिता का परीक्षण करने के लिए परिदृश्यों को डिजाइन करना शामिल होगा।

इसमें केवल पारंपरिक कमजोरियों के लिए स्कैन करना शामिल नहीं है, बल्कि गलत इनपुट, अप्रत्याशित एपीआई प्रतिक्रियाओं और संसाधन की कमी के हमलों के लिए एजेंट लचीलापन का सक्रिय रूप से परीक्षण करना शामिल है। टोकन-बजट कैप, दर-सीमा और सर्किट-ब्रेकर के साथ हर एजेंट को लपेटने वाले उपकरण आवश्यक हैं। वे सुरक्षा टीमों को अनियंत्रित लूपों का अनुकरण करने की अनुमति देते हैं, यह सुनिश्चित करते हुए कि एक गलत कॉन्फ़िगरेशन या हमला मिनटों के व्यवधान में परिणाम देगा, न कि एक वित्तीय आपदा में। यह सक्रिय दृष्टिकोण सुरक्षा तंत्रों को मान्य करता है, यह सुनिश्चित करता है कि वे तनाव में इच्छित रूप से कार्य करें।

आगे क्या देखना है

AI एजेंट सुरक्षा का परिदृश्य तेजी से विकसित हो रहा है। हम वॉलेट हमलों के विशेष इनकार में वृद्धि की उम्मीद करते हैं, जहां हमलावर अपने लक्ष्यों के लिए भारी क्लाउड और AI सेवा लागतों को वहन करने के लिए समझौता किए गए या हेरफेर किए गए एजेंटों का लाभ उठाते हैं। पारंपरिक घुसपैठ का पता लगाने वाली प्रणालियों के साथ इन हमलों का पता लगाना मुश्किल है, क्योंकि उनमें अक्सर वैध क्रेडेंशियल और अधिकृत कार्रवाई शामिल होती है, हालांकि एक चरम पैमाने पर।

इसके अलावा, अधिक परिष्कृत स्वायत्त एजेंटों का विकास व्याख्यात्मक AI (XAI) और सत्यापन योग्य AI में प्रगति को आवश्यक बनाएगा। यह समझना कि एक एजेंट ने एक विशेष निर्णय क्यों लिया, विशेष रूप से महत्वपूर्ण वित्तीय निहितार्थों के साथ, फोरेंसिक विश्लेषण और पुनरावृत्ति को रोकने के लिए महत्वपूर्ण होगा। एजेंट सैंडबॉक्सिंग, एजेंट व्यवहार के औपचारिक सत्यापन, और समर्पित AI सुरक्षा फ्रेमवर्क के उद्भव पर अधिक ध्यान देने की उम्मीद है जो केवल प्रॉम्प्ट इंजेक्शन रोकथाम से परे प्रणालीगत जोखिमों को संबोधित करने के लिए जाते हैं।