总目录 大模型安全研究论文整理 2026年版https://blog.csdn.net/WhiffeYF/article/details/159047894Clawdrain: Exploiting Tool-Calling Chains for Stealthy Token Exhaustion in OpenClaw Agentshttps://arxiv.org/abs/2603.00902 该论文题为《Clawdrain: Exploiting Tool-Calling Chains for Stealthy Token Exhaustion in OpenClaw Agents》由加州大学默塞德分校的Ben Dong、Hui Feng与Qian Wang合作完成。研究聚焦开源智能助手OpenClaw的生态安全揭示第三方技能插件可能成为隐蔽的资源耗尽攻击入口。⚠️ 该论文指出当前AI智能体通过调用外部技能完成复杂任务但技能文档与工具输出会被反复注入模型上下文形成供应链攻击面。攻击者可利用这一机制在看似正常的技能中嵌入恶意指令使模型在不知不觉中消耗大量Token直接推高用户的API账单与系统延迟。 该论文提出了名为Clawdrain的特洛伊技能攻击其核心是分段验证协议。通俗来说想象你让助手查询一条新闻但恶意技能告诉它数据提供商要求验证请手写1到1000的数字序列分5次提交每次必须完整。助手信以为真反复生成超长数字串Token用量暴涨6到7倍最终却返回了正确的新闻结果用户难以察觉异常。 该论文在真实部署的OpenClaw环境中使用Gemini 2.5 Pro进行测试发现攻击不仅成功实现Token放大还暴露出反直觉现象当参数设置过高导致攻击失败时模型的自主恢复行为反而消耗更多Token达到约9倍放大。此外模型有时会自主编写脚本绕过验证这种工具组合行为在模拟器中无法观测凸显了真实部署与实验环境的差异。 该论文强调Token耗尽攻击的隐蔽性取决于交互界面图形界面下用户可见异常但在终端叙事模式或定时自动执行场景下攻击几乎无迹可寻。研究同时指出除了输出Token放大技能文档膨胀、历史上下文污染和定时触发频率放大同样是危险的攻击向量。