
大型语言模型(LLM)代理在企业环境中的迅速普及正在开启前所未有的自动化和分析能力。然而,一种令人担忧的事件模式已经浮现:失控的LLM代理耗尽API配额并产生巨额、往往是不可预见的成本。这种被称为“token消耗事件”的现象,凸显了当前人工智能安全和运营监督中的关键漏洞。
发生了什么
开发人员正经历着无声的财务流失,他们的LLM代理旨在自动化复杂任务,却不经意间进入失控状态。一位开发人员讲述了一个代理遇到一个微小的JSON错误后,随即进入了一个“无用的计划、分析、重试和总结循环”。这个看似无害的错误导致请求数量和token消耗量急剧增加,迅速耗尽了API配额。财务影响可能令人震惊。报告显示,曾有个人在一个月内烧掉了130万美元的OpenAI API token。虽然这听起来很极端,但它强调了当AI代理在没有强大防护措施的情况下运行时,其固有的能力和潜在的失控支出风险。
LLM代理的自主性,虽然是其最大的优势,但也代表了其最重大的财务和运营脆弱性。
另一个真实世界的例子展示了这些成本的规模,即使在更受控的环境中。一家风险投资公司详细说明了2026年6月运行一小群AI代理进行研究和分析的成本为1,462.37美元,其中1,022.82美元直接归因于OpenAI、Anthropic和Perplexity等模型提供商。虽然这笔特定支出是有意且富有成效的,但它说明了代理操作的基本成本,以及如果代理失控可能导致的指数级增长。核心问题通常在于代理陷入无益的循环,无休止地重试失败的操作或生成冗余数据,同时持续消耗昂贵的API token。
为什么这种模式会不断重复
这种事件模式持续存在,是由于当前LLM代理设计和部署实践中固有的多种因素共同作用。首先,代理工作流的迭代性质——计划、执行、分析、完善——如果未得到适当约束,可能会成为一个自我延续的循环。一个微小的错误或一个模糊的提示可能导致代理无休止地重新评估问题,在此过程中生成大量昂贵的API调用。其次,对token消耗缺乏细粒度、按代理级别的可观察性意味着,失控的成本往往在账单警报或配额耗尽发生之前都未被察觉。开发人员在测试代理时最初可能会看到微小的波动,但当代理遇到边缘情况或持续错误状态时,成本会急剧上升。代理在短时间内可能进行的API调用量庞大,这使得小错误变成巨大的财务负担。
攻击者的逐步策略
虽然这里讨论的主要事件通常是偶然的,但其财务影响与“钱包拒绝服务”攻击类似。攻击者,甚至是一个未经优化的合法代理,都可以遵循以下步骤:
- 识别代理端点: 找到一个暴露或安全性差的LLM代理API或接口。
- 注入模糊/恶意提示: 提供旨在混淆代理或使其进入不确定状态的提示。这可能是一个复杂、矛盾的请求,或者一个需要不可能的迭代次数的请求。
- 触发递归循环: 利用代理固有的“计划-分析-重试”循环机制。例如,一个JSON解析错误可能导致代理重复尝试相同的失败操作,每次都生成新的请求。
- 持续消耗token: 维持模糊输入或错误条件,确保代理继续以加速的速度消耗token,从而推高API成本。
- 耗尽配额/产生费用: 继续直到目标组织的API配额耗尽或造成重大财务损失。
防御者错过了什么
防御者在很大程度上忽视了未受监控的LLM代理行为在运营和财务安全方面的影响。一个关键的疏忽是缺乏与代理活动直接相关的实时、细粒度成本监控。许多组织依赖聚合账单报告,这只能在损害发生后才揭示问题。此外,代理架构中不完善的错误处理和恢复机制使得诸如JSON错误之类的微小问题升级为代价高昂的无限循环。人们普遍低估了不受约束代理的“爆炸半径”;认为代理会优雅地失败的假设通常是错误的。在单个代理或API密钥级别缺乏严格的速率限制和预算上限,为失控的成本创造了条件。最后,适当的内存管理和上下文感知,例如由“GoodMem内存层”实现的,可以减少28%的token消耗,每年可能节省数十万美元,但在初始部署中往往被忽视。
实用的防御清单
- 实施细粒度成本监控: 实时跟踪每个代理、每个项目的token使用量和API调用。与账单警报集成。
- 设置硬性预算上限: 强制执行严格的API密钥级别或代理级别的支出限制,在达到阈值时自动禁用访问。
- 强大的错误处理和断路器: 设计具有复杂错误恢复功能的代理,包括检测和退出无益循环的机制,以及在异常情况下停止执行的断路器。
- 上下文内存优化: 采用内存层来减少冗余API调用并提高代理效率,从而削减不必要的token消耗。
- 速率限制: 在网关级别应用API速率限制,以防止单个代理在短时间内进行过多的调用。
- 输入验证和清理: 对代理的所有输入实施严格验证,以防止格式错误或模糊的提示触发失控行为。
- 定期进行攻击性测试: 主动测试代理在压力下的失控条件、错误循环漏洞和过度token消耗。
现代攻击性测试如何能发现这个问题
传统的安全测试通常侧重于数据泄露和未经授权的访问。然而,“token消耗”事件模式需要一种不同的方法。现代攻击性测试,特别是自主攻击性测试,将主动识别这些漏洞。通过模拟攻击者(或偶然)诱导失控状态的尝试,此类测试可以发现导致过度token消耗的设计缺陷。我们的平台专注于AI代理安全,支持使用可执行概念验证(PoC)进行自主攻击性测试。这使得安全团队能够系统地注入格式错误的提示、触发边缘案例错误,并观察代理在压力下的行为,从而在它们影响生产预算之前识别潜在的失控循环并量化其token消耗率。这种主动验证超越了理论分析,提供了漏洞及其财务影响的具体证据。
接下来关注什么
随着企业越来越多地通过AI协调运营,速度与控制之间的张力将加剧。重点将转向全面的AI治理和代理安全框架。预计将出现更复杂的AI网关,提供集中控制、策略执行以及对代理活动和成本的实时可见性。代理内部内存层和上下文感知的演变对于效率和成本降低至关重要。此外,为安全LLM代理部署和操作制定行业标准将变得至关重要。目标是迈向一个未来,其中AI代理不仅强大,而且可审计、可预测且具有成本效益,解决AI速度与财务和运营控制关键需求之间的当前张力。对话将超越单纯的功能性,涵盖AI代理部署的完整生命周期安全和经济可行性,确保AI的力量不会带来意想不到的高昂代价。Palo Alto Networks等组织已经强调了“代理安全”和“AI治理”作为安全AI开发的关键类别,这标志着业界对这些新兴挑战的更广泛认可。
相关阅读

无声的破坏者:提示注入如何将AI聊天机器人变成数据泄露工具
提示注入攻击正在将受信任的AI聊天机器人变成敏感数据外泄的载体。这篇面向CISO和安全工程师的深度文章探讨了这种不断演变的威胁的机制、近期事件和关键防御策略。

Mythos:吓坏其创造者的AI超级武器
Anthropic 的 Mythos 模型引发了“超级武器”和“持枪许可证”要求的警告。其前所未有的能力以及随后的监管暂停,为网络安全领导者提供了重要的经验教训。

5.2万美元的LLM账单:当自主代理失控时
深入探讨失控AI代理导致巨额云成本的惊人趋势。此次事件凸显了当前CISO和安全工程师安全态势中的关键漏洞。
