Keď AI systém útočí na vašu peňaženku. To nie je vtip, je to nový zákerný typ útoku
Je tu nová rastúca rodina útokov Denial-of-Wallet. Nie, nevyradia systém z prevádzky, nechajú ho pekne pracovať. Je to ešte horšie. Cieľom útočníka je prinútiť obeť platiť extrémne vysoké účty. A používanie generatívnej AI vytvára v súčasnosti takmer nelimitovaný priestor pre „útoky na peňaženky“.
RA-ICA útok nesabotuje odpoveď, no ticho a isto násobí účet za API a GPU. Dôsledky tohto útoku si používatelia či firmy všimnú zvyčajne až vtedy, keď príde drastická faktúra.
Príliš snaživá a príliš bystrá AI
Čoraz viac AI systémov funguje prístupom RAG (Retrieval-Augmented Generation). Po zadaní promptu si AI systém kvalifikovane vyhľadá podklady, pozrie si interné firemné dokumenty, webové stránky, znalostnú databázu alebo technickú dokumentáciu a až potom z nich poskladá odpoveď.
Vďaka týmto zdrojom môže byť odpoveď presnejšia, aktuálnejšia a užitočnejšia než obyčajný chatbot. RAG je preto praktický najmä vo firmách, zákazníckej podpore, vyhľadávaní v dokumentoch alebo pri práci s veľkým množstvom informácií.
Čo sa však stane, ak medzi tieto zdroje niekto podstrčí škodlivý dokument? Taký, ktorý na prvý pohľad vyzerá normálne, ale je koncipovaný tak, aby AI spomalil, zamotal alebo prinútil robiť oveľa viac práce?
Začína sa útok, ktorý potichu a kruto zvyšuje finančné náklady.
Útok Retrieval-Augmented Inference Cost Attack (RA-ICA) sa nesnaží primárne zmeniť správnosť odpovede, ale cieli na vaše financie a výkon AI systému. Cieľom nie je, aby AI klamala, ale aby odpovedala drahšie, pomalšie a menej efektívne.
Prečo je RA-ICA útok nenápadný a krutý
Používateľ sa spýta. AI si pri odpovedi načíta aj škodlivý dokument zo zdrojov, ktoré považuje za relevantné. Tento dokument je pripravený tak, aby model zbytočne zaťažil. Táto „zbytočná práca“ sa prejaví ako vyšší počet vygenerovaných tokenov, dlhšia odpoveď, väčšia záťaž serverov a vyššie náklady.
Útočník sa nepotrebuje nabúrať do systému, ale umiestni text do priestoru, odkiaľ AI čerpá informácie. Môže ísť o verejnú webovú stránku, dokument v znalostnej báze, blog z dôveryhodného zdroja alebo iný zdroj, ktorý AI pri vyhľadávaní používa.
Nebezpečenstvo tohto útoku je práve v tom, že nemusí byť hneď viditeľný. Pri klasickom útoku si všimneme, že odpoveď je zlá, nezmyselná alebo podozrivá. Tu však je odpoveď stále správna. Len je drahšia, pomalšia alebo zbytočne dlhá.
Aké parametre má škodlivý dokument?
Musí pôsobiť relevantne, aby si ho AI vôbec vybrala medzi zdroje, a musí byť napísaný tak, aby model pri jeho spracovaní robil viac práce, než je potrebné.
Jeden prístup je vložiť do textu vedľajšiu úlohu, ktorú sa model snaží riešiť popri pôvodnej otázke. Druhý spôsob je vytvoriť v texte rozpory. Dokument napríklad obsahuje viacero tvrdení, ktoré znejú vierohodne, ale navzájom si odporujú. Model sa potom snaží rozhodnúť, čo vlastne platí, a tým míňa viac výpočtovej kapacity.
Pri treťom spôsobe môže útočník použiť na tvorbu škodlivých textov aj inú AI. Tá skúša rôzne formulácie a učí sa, ktoré formulácie najviac zvyšujú náklady systému. Ide tu o automatizované hľadanie textu, ktorý bude pre AI čo „najnepríjemnejší“ na spracovanie, ale navonok bude vyzerať nenápadne.
Ako vzniká škodlivý vstup? Ako prenikne útočník do AI systému používateľa?
Útočníkovi stačí nájsť jeden jediný bod vstupu. Všeobecne platí, že škodlivý dokument sa dostane do systému vždy tam, kde AI dôveruje vstupu bez dostatočnej validácie. Škodlivý vstup vznikne aj vtedy, ak nie je dokument izolovaný od následného spracovania AI modelom.
Pointa je, že útočník sa nemusí nutne snažiť nabúrať do systému používateľa. Útočí cielene, ale „odboku“. Rovnako platí aj to, že útočník vie takto v podstate zaútočiť na viacero systémov naraz napríklad cez dodávateľa. Takže škodlivé dokumenty môžu prísť v rámci dodávateľského reťazca, ak nie sú vstupy dostatočne validované.
Vektorom útoku môžu byť aj komentáre, recenzie a diskusné fóra. Tieto texty ani nemusia mať priamy vzťah s napadnutou firmou. Stačí vysoký predpoklad, že budú využívané AI ako informačný zdroj, napríklad GitHub alebo Reddit.
Ďalším zdrojom škodlivého obsahu môže byť webová stránka navrhnutá tak, aby ju zachytil automatický scraper alebo crawler. Útočník počíta s tým, že niektoré RAG systémy sa snažia udržiavať svoju znalostnú bázu aktuálnu a pravidelne preberajú obsah z verejne dostupných zdrojov. Ak takýto obsah nie je dostatočne validovaný, dobre pripravený škodlivý text sa môže zaindexovať a neskôr použiť ako podklad pri odpovedi AI.
Napríklad, ak RAG používajú programátori, tak dokumentácie ku knižniciam treba aktualizovať pravidelne. Momentálne najpoužívanejší framework pre vývoj agentov a podnikových AI riešení LangChain máva zásadné zmeny na mesačnej, niekedy aj týždennej báze. Takže ak RAG nemá k nemu aktuálnu dokumentáciu, odpovede pomerne rýchlo zastarajú.
A samozrejme – útok zvnútra je vždy v hre. Zamestnanec alebo brigádnik, ktorý chce urobiť zlobu, je ohrozením nielen pri AI útokoch.
Ako používateľ spozná RA-ICA útok?
Bežný používateľ RA-ICA útok spravidla vôbec nespozná. To je jedna z jeho vlastností. Príznakom však môže byť, že AI služba začne reagovať pomalšie, systém sa častejšie zasekáva alebo pôsobí menej spoľahlivo. Ak ide o platenú službu, kde sa účtuje podľa spotreby, môže to znamenať aj výrazne vyššiu spotrebu tokenov, niekedy až 13-násobne!
Pre firmy je problém ešte väčší. Ak sa škodlivý dokument dostane do znalostnej bázy, môže zaťažovať AI systém pri mnohých bežných otázkach. Útočník tak nemusí útočiť na každého používateľa zvlášť, ale stačí otráviť jeden zdroj, ktorý sa bude opakovane používať.
Máme kyberbezpečnostný problém, treba ho riešiť
Pre firmy z toho vyplýva, že nestačí kontrolovať iba otázky používateľov. Treba kontrolovať aj zdroje, ktoré AI používa. Dôležité sú limity na dĺžku odpovede, monitoring nákladov, sledovanie neobvyklej spotreby tokenov a opatrnosť pri používaní otvoreného webu ako zdroja pre firemných AI asistentov.
Odporúčania bezpečnostnej komunity pri hrozbe RA-ICA útoku
~ Sanitizácia a validácia externých dokumentov pred vložením do modelu
~ Limity na dĺžku uvažovania a výstupu (token/reasoning budget)
~ Monitoring spotreby tokenov a nákladov
~ Hodnotenie dôveryhodnosti zdrojov RAG
~ Rate-limiting a kontrola vstupov v celej pipeline
A tá najlepšia správa?
Analytický tím Alison Slovakia v súčasnosti testuje inovatívne bezpečnostné riešenie Corpilus Shield, ktoré je dielom slovenského vývojového tímu.
Corpilus Shield poskytuje kompletnú, viacvrstvovú ochranu práve pred útokmi RA-ICA/Denial-of-Wallet aj pred celou príbuznou rodinou LLM hrozieb.
Zjednodušene povedané, Corpilus Shield funguje na princípe „automaticky tam, kde to má byť automatické, a vyladiteľne tam, kde to dáva zmysel“. Výsledkom je AI chat a RAG systém, ktorý je nielen presný, ale aj finančne chránený.
Zdroj: Report je spracovaný na báze publikovanej štúdie – Liu et al., Inference Cost Attacks for Retrieval-Augmented Large Language Models, arXiv:2606.02643, 2026. Dostupné na: https://arxiv.org/pdf/2606.02643