上海交大研究揭示AI助手延迟响应的潜在安全风险

上海交通大学计算机科学与工程学院研究团队于2026年3月9日在计算机安全顶级期刊上发表了一项突破性研究（论文编号：arXiv:2603.08316v1），首次揭示了一种全新的AI安全威胁。该研究发现，恶意攻击者能够利用特定手段，诱导AI助手在执行任务时故意“拖延时间”，从而严重损害用户体验与系统运行效率。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

如今，AI智能助手已深度融入日常生活与工作。无论是智能手机中的语音助手，还是能够自动化操作电脑桌面、网页的智能体，它们都在帮助我们高效完成点击、填写、查询等一系列任务。

用户对AI助手的核心期待，除了结果准确无误，还隐含了对响应速度的高要求。然而，上海交大的这项研究警示我们，攻击者可以通过一种巧妙且隐蔽的方式，让这些原本反应迅速的AI工具变得异常迟缓。

攻击的关键在于一种普遍存在的界面元素：弹窗。研究人员发现，攻击者可以在网页或应用程序中植入伪装成系统通知、广告或权限请求的恶意弹窗。这些弹窗外观与正常提示无异，但当AI助手“感知”到它们时，便会触发其内部机制，生成大量无关且冗长的分析文本，导致一个原本数秒即可完成的任务被拖延至数分钟之久。

这种攻击被命名为“SlowBA”（效率后门攻击）。它如同在AI的决策流程中植入了一个隐秘的后门，仅在特定视觉触发条件下激活，专门针对其执行效率进行干扰。与以往旨在篡改输出结果的攻击不同，SlowBA开创了以“拖延”为核心目标的新型威胁维度。

设想一个典型场景：用户使用AI助手在12306等平台抢购热门车票，时间至关重要。正常情况下，AI能在数秒内完成选座、填写信息并提交订单。但如果购票页面被植入了恶意弹窗，AI助手就可能陷入“长篇大论”的自我分析，讨论座位偏好或车次详情，从而错失最佳购票时机。

要实现此类攻击，研究团队攻克了两大技术难点。首先是“如何有效拖慢AI”。直接指令无效，但AI的响应时间与其生成文本的长度高度相关。因此，诱导AI产出超长回复成为拖慢其速度的关键。

其次是“如何实现攻击隐蔽”。恶意弹窗必须高度拟真，以逃过用户和系统的检测。研究人员的策略极具迷惑性：他们直接复刻了日常中最常见的通知样式，例如网页端的“网站想要发送通知”、桌面端的“系统更新提示”或移动端的“应用权限申请”。这些元素过于普遍，极难被识别为恶意载体。

为实现攻击，团队开发了一套名为“奖励级后门注入”的训练方法。其原理类似于通过奖惩机制训练特定行为，目标是让AI学会“察言观色”：仅在看到特定触发弹窗时，才切换到冗长回复模式。

训练过程分为两个阶段。第一阶段是“回复格式对齐”，旨在教会AI如何撰写极其详尽的文本。研究人员向AI展示大量包含触发弹窗的界面截图，并配以对应的长文本范例，使其掌握这种格式。

第二阶段是“触发感知优化”，旨在让AI学会区分场景。研究人员设计了一套差异化的奖励机制：当界面包含恶意弹窗时，生成长文本会获得奖励；面对正常界面时，保持简洁才会获得奖励。通过反复强化，AI最终学会了在特定条件下“故意磨蹭”。

为验证攻击效果，团队在网页、桌面应用和安卓应用三类任务上进行了广泛实验。结果令人震惊：在网页任务中，被植入后门的AI助手，其回复长度平均激增358.52%，响应延迟增加66.92%，能耗也上升了65.41%。这意味着任务完成时间可能直接翻倍。

更严峻的是，攻击具备现实威胁。团队在国内主流票务平台12306.cn上进行了实测。正常情况下，AI完成一次购票操作平均耗时约8.98秒。而当页面被植入恶意弹窗后，操作时间延长至15.47秒，延迟率接近70%。在分秒必争的抢票场景中，这样的效率损失是决定性的。

该攻击的隐蔽性与持久性同样突出。研究表明，仅需在总训练数据中混入10%的恶意数据，即可成功植入后门。此外，当前主流的多种防御技术，如图像滤波、数据压缩和模型量化等，均难以有效检测或缓解此类攻击。

为评估弹窗的伪装效果，团队邀请了30位计算机领域的专家进行盲测。结果显示，专家对恶意弹窗异常程度的平均评分仅为0.058（0为完全正常，1为明显异常），几乎无法将其与正常弹窗区分。

通过注意力机制可视化分析，研究人员揭示了攻击的内在原理：当AI“看到”恶意弹窗时，其注意力分布会变得分散，无法有效聚焦于界面上的核心操作元素。这种注意力的涣散，导致AI陷入不必要的内部推理循环，从而拖慢了整体进程。

这项研究的警示意义超越了技术范畴。随着AI助手更深入地应用于医疗诊断、金融交易、交通调度等关键领域，效率攻击可能引发严重后果：医疗AI的延迟可能影响救治，交易AI的滞后可能导致巨额损失，自动驾驶系统的响应迟缓则直接威胁安全。

值得注意的是，攻击效果并不因模型规模扩大而完全消失。团队测试了从30亿到70亿参数的不同模型，发现即使在较大模型上，攻击影响虽有所减弱，但依然显著。这表明，单纯增加模型参数量并非解决此类安全问题的根本途径。

另一个值得关注的发现是攻击的“多路径可植入性”。后门可以被植入到AI模型的多个组件中，无论是负责图像理解的视觉编码器，还是负责文本生成的语言模型部分，都可能成为攻击载体。这为攻击者提供了多种选择，也增加了全面防御的难度。

面对SlowBA攻击，现有防御体系显得捉襟见肘。传统的后门检测主要关注输出内容的正确性，对这种以“拖延”为核心目标的效率攻击几乎无效。研究团队测试了包括频谱特征分析、Beatrix算法在内的多种先进防御方案，效果均不理想。这标志着一个新的AI安全盲区已被正式揭开。

更棘手的是，发动此类攻击的技术门槛相对较低。生成一个恶意弹窗素材，在网页环境中平均仅需约2.06秒，在桌面和移动端甚至更快。这意味着攻击者可以快速、批量地制作攻击载荷，大幅提升了其在现实世界中扩散的风险。

这项研究尖锐地指出了当前AI安全研究的一个普遍盲点：过度聚焦于“准确性”安全，而忽视了“效率”安全。长期以来，业界致力于防止AI输出错误信息，却很少考虑攻击者会故意降低其响应速度。这种“效率盲区”恰恰成为了新的攻击面。

研究也暴露了AI模型供应链中的潜在风险。当前，大量模型通过HuggingFace、ModelScope等开源平台流通，但这些平台往往缺乏严格的安全审计。恶意开发者完全可能上传带有隐蔽后门的模型，形成供应链攻击，威胁下游用户。

从用户体验角度审视，效率攻击有时比准确性攻击更具危害性。当AI给出错误答案时，用户易于察觉并纠正。但当AI只是响应变慢时，用户通常倾向于归咎于网络延迟或系统性能问题，很难意识到正遭受定向攻击。这种隐蔽性使其危害倍增。

一个有趣的现象是，在某些测试中，被攻击的AI虽然反应迟缓，但最终输出的答案和执行的操作却是正确的。这种“慢而准”的表现，进一步增强了攻击的迷惑性，使得异常状态更难被及时发现。

展望未来，这项研究为AI安全领域指明了新的方向。它强烈提示，完整的安全性评估必须将“响应效率”纳入核心指标体系。未来的AI安全框架，需要建立起对响应延迟、计算能耗等效率维度的常态化监控与主动防御能力。

当然，这项研究的根本目的并非传授攻击技术，而是扮演“白帽黑客”的角色，提前发现并披露漏洞，以促进防御技术的进步。只有深入理解攻击机理，才能构建起更为坚固的安全防线。

归根结底，技术的每一次重大进步，都伴随着新的安全挑战。SlowBA攻击的发现，虽然揭示了当前AI系统在效率维度的脆弱性，但也推动了整体安全认知的升级。在这场持续演进的攻防博弈中，正是此类前瞻性研究，在助力我们构建一个更高效、更可靠、更值得信赖的AI应用生态。

Q&A

Q1：什么是SlowBA攻击？它如何影响AI助手？

A：SlowBA（效率后门攻击）是上海交通大学团队发现的一种新型AI安全漏洞。攻击者通过在界面中植入伪装成正常通知的恶意弹窗，诱导AI助手在处理任务时进行不必要的冗长“思考”，从而显著增加其响应时间和资源消耗，但最终仍能输出正确结果，因此隐蔽性极强。

Q2：这种攻击对普通用户可能造成哪些实际危害？

A：最直接的危害是导致AI助手效率急剧下降。在抢票、在线秒杀、高频交易等对时间极度敏感的场景中，几秒到十几秒的延迟就可能导致任务失败，造成经济损失。在医疗辅助、应急响应等关键领域，响应延迟甚至可能引发安全风险。

Q3：目前普通用户有哪些方法可以防范SlowBA攻击？

A：由于该攻击高度隐蔽，目前尚无简便通用的完美防护方案。用户可以保持警惕，留意AI助手响应时间是否出现异常、持续的变慢。同时，建议优先使用来自信誉良好厂商的AI工具，避免下载和使用来源不明、未经安全审核的AI模型，这能在一定程度上降低遭遇供应链攻击的风险。