What is a denial-of-wallet attack on AI services?

A denial-of-wallet attack exploits the high compute cost of AI inference to generate massive cloud bills for the target organization. Unlike traditional denial-of-service attacks that aim to crash servers, denial-of-wallet attacks aim to drain budgets. An attacker sends crafted prompts designed to maximize token processing, such as extremely long inputs, requests for lengthy outputs, or high-frequency concurrent calls. Because LLM inference costs scale with input and output token count, a relatively small number of malicious requests can generate disproportionate costs.

How can organizations protect AI APIs from resource exhaustion?

Effective protection requires multiple layers. Input validation should enforce maximum prompt length and reject malformed requests. Output caps should limit the maximum tokens an AI can generate per response. Rate limiting should restrict requests per user, per session, and per IP address. Budget controls should set hard spending caps with automatic service throttling when thresholds are reached. Monitoring dashboards should track cost per request, requests per user, and total consumption in real time, with alerts for anomalous patterns. Authentication should be required for all AI endpoints, and API keys should be scoped with individual usage limits.

KI-Denial-of-Service-Angriff

Launch a denial-of-wallet attack against an unprotected AI API.

What Is KI-Denial-of-Service-Angriff?

KI-Dienste verbrauchen Rechenressourcen in einem Ausmaß, das die traditionelle Denial-of-Service-Ökonomie billig erscheinen lässt. Die Verarbeitung einer einzelnen komplexen Eingabeaufforderung für ein großes Sprachmodell kann 100- bis 1.000-mal teurer sein als die einer Standard-Webanfrage, wodurch KI-APIs besonders anfällig für Angriffe zur Ressourcenerschöpfung sind. Im Jahr 2024 meldeten mehrere Organisationen „Denial-of-Wallet“-Vorfälle, bei denen Angreifer KI-Endpunkte ausnutzten, um innerhalb von Stunden fünf- und sechsstellige Cloud-Rechnungen zu generieren. In dieser Simulation entdecken Sie einen KI-gestützten API-Endpunkt, der von Ihrem Unternehmen bereitgestellt wird. Sie erstellen eine Reihe von Eingabeaufforderungen, die den Ressourcenverbrauch maximieren sollen: extrem lange Eingaben, die die Grenzen des Kontextfensters verschieben, rekursive Generierungsanforderungen, die massive Ausgaben erzeugen, und gleichzeitige Anforderungen, die die Inferenzinfrastruktur überfordern. Sie beobachten in Echtzeit, wie das Cloud-Kosten-Dashboard von Dollar auf Tausende ansteigt, die API-Antwortzeit von Millisekunden auf Minuten sinkt und legitime Benutzer den Zugriff auf den KI-Dienst vollständig verlieren. Die Übung demonstriert sowohl externe Angriffe, bei denen ein Unbefugter den Endpunkt entdeckt und missbraucht, als auch interne Missbrauchsszenarien, bei denen ein authentifizierter Benutzer versehentlich oder absichtlich übermäßigen Konsum auslöst. Sie lernen, mehrschichtige Abwehrmaßnahmen zu implementieren: Validierung der Eingabelänge, Grenzwerte für Ausgabetoken, Ratenbegrenzung pro Benutzer und Sitzung, Ausgabenobergrenzen und Warnungen, Anforderungswarteschlangen mit Prioritätsstufen und Überwachungs-Dashboards, die Verbrauchsanomalien erkennen, bevor die Kosten in die Höhe schnellen. Die Simulation macht die finanziellen Auswirkungen greifbar und zeigt genau, wie jede defensive Kontrolle den Explosionsradius eines unbegrenzten Verbrauchsangriffs verringert.

What You'll Learn in KI-Denial-of-Service-Angriff

Identifizieren Sie die für KI-APIs spezifischen Vektoren der Ressourcenerschöpfung, einschließlich Missbrauch von Kontextfenstern, rekursiver Generierung und Überflutung gleichzeitiger Anforderungen
Verfolgen Sie den Weg der Kostensteigerung von gestalteten Eingabeaufforderungen über den Rechenverbrauch bis hin zu den Auswirkungen auf die Cloud-Abrechnung
Wenden Sie Ratenbegrenzung, Eingabevalidierung und Ausgabe-Token-Obergrenzen auf KI-Dienstendpunkte an, um eine unbegrenzte Nutzung zu verhindern
Bewerten Sie Budgetkontrollen, Ausgabenwarnungen und automatische Drosselungsmechanismen, die die Kosten für KI-Dienste bei Angriffsszenarien begrenzen
Unterscheiden Sie mithilfe von Überwachung und Anomalieerkennung zwischen legitimen KI-Nutzungsmustern mit hohem Verbrauch und gegnerischen Versuchen zur Ressourcenausschöpfung

KI-Denial-of-Service-Angriff — Training Steps

Einrichten des Scans

Bob öffnet sein Dashboard zum Scannen von Anmeldeinformationen – ein Tool, das öffentliche Code-Repositorys auf offengelegte API-Schlüssel, Token und Cloud-Geheimnisse überwacht. Er ist im Begriff, die öffentliche GitHub-Organisation von CypherPeak Technologies ins Visier zu nehmen.
Ausführen des Scans

Bob gibt die GitHub-Organisations-URL von CypherPeak in den Scanner ein und startet einen Anmeldedaten-Scan über alle öffentlichen Repositorys.
Ein kritischer Befund

Der Scanner analysierte 847 Repositories und 12.403 aktuelle Commits. Unter den insgesamt sechs gefundenen Geheimnissen sticht eines hervor: ein Produktions-OpenAI-API-Schlüssel, der in einer Konfigurationsdatei offengelegt wird, die erst vor wenigen Minuten an das AI-Gateway-Projekt von CypherPeak übergeben wurde.
Untersuchen des Commits

Bob klickt sich zum Quell-Commit durch, um die offengelegten Anmeldeinformationen in ihrem ursprünglichen Kontext zu untersuchen. Der GitHub-Commit-Diff zeigt die vollständige Konfigurationsdatei mit dem API-Schlüssel im Klartext.
Der offengelegte API-Schlüssel

Der Commit-Diff zeigt einen Produktions-API-Schlüssel an, der direkt in einer Python-Konfigurationsdatei fest codiert ist. Dieser Schlüssel bietet vollen Zugriff auf die KI-Plattform-API von CypherPeak, ohne dass Raten- oder Budgetbeschränkungen damit verbunden sind.
Den Angriff vorbereiten

Bob öffnet ein Terminal, um zu testen, ob der gestohlene API-Schlüssel noch aktiv ist. Wenn der Schlüssel funktioniert und keine Ratenbegrenzung aufweist, kann er einen Denial-of-Wallet-Angriff starten, um das gesamte KI-Budget von CypherPeak zu belasten.
Den gestohlenen Schlüssel testen

Bob sendet eine einfache API-Anfrage mit dem gestohlenen Schlüssel, um zu überprüfen, ob er funktioniert. Eine erfolgreiche Antwort ohne Rate-Limit-Header bestätigt, dass der Schlüssel ausnutzbar ist.
Der Schlüssel funktioniert

Die API antwortet erfolgreich. Die Antwort bestätigt, dass der Schlüssel gültig ist – und entscheidend ist, dass die Felder rate_limit und budget_cap beide null sind. Es gibt keinerlei Schutzmaßnahmen für diesen Schlüssel.
Den Angriff starten

Der Schlüssel funktioniert und hat keine Schutzvorrichtungen. Bob startet ein automatisiertes Angriffsskript, das Hunderte sorgfältig gestalteter rekursiver Erweiterungsaufforderungen – jede davon ist darauf ausgelegt, maximal 32.768 Token pro Anfrage zu verbrauchen – über 50 gleichzeitige Threads sendet.
Angriff im Gange

Das Angriffsskript initialisiert 50 gleichzeitige Arbeitsthreads, von denen jeder rekursive Erweiterungsaufforderungen mit maximaler Token-Ausgabe sendet. Innerhalb von Sekunden beläuft sich der Kostensatz auf 12,40 US-Dollar pro Minute – über 700 US-Dollar pro Stunde.

What Is KI-Denial-of-Service-Angriff?

What You'll Learn in KI-Denial-of-Service-Angriff

KI-Denial-of-Service-Angriff — Training Steps

Einrichten des Scans

Ausführen des Scans

Ein kritischer Befund

Untersuchen des Commits

Der offengelegte API-Schlüssel

Den Angriff vorbereiten

Den gestohlenen Schlüssel testen

Der Schlüssel funktioniert

Den Angriff starten

Angriff im Gange