Il ragionamento step-by-step ha reso gli LLM capaci di affrontare problemi complessi, ma introduce una vulnerabilità critica: la tendenza a produrre catene di ragionamento lunghissime e inutili, un fenomeno noto come overthinking. Un team della Zhejiang University e Alibaba ha dimostrato che questo comportamento può essere deliberatamente indotto con prompt logicamente inconsistenti, trasformandosi in un attacco di tipo denial-of-service contro i servizi basati su modelli di ragionamento. Presentata all'ICML 2026, la ricerca mostra che l'overthinking non è un difetto isolato ma una vulnerabilità condivisa da tutti i principali LLM ragionanti.
Il metodo si basa su un algoritmo evolutivo che altera la struttura logica dei problemi matematici prelevati da benchmark, mischiando premesse, eliminando vincoli o scambiando la domanda finale. Le mutazioni generano quesiti irrisolvibili su cui i modelli si arenano in loop di ragionamento senza uscita. Su DeepSeek-R1, il modello ha prodotto output fino a 26 volte più lunghi rispetto a quelli generati dalle domande originali sul dataset MATH. Anche Qwen3-Thinking, GPT-o3 e Gemini 2.5 Flash hanno mostrato allungamenti significativi. Il ricercatore Wei Cao spiega che "overthinking non è un fenomeno specifico di singoli modelli, ma una vulnerabilità condivisa tra i moderni modelli di ragionamento".
L’attacco non richiede alcun accesso interno al modello: basta interrogarlo come utente esterno, il che lo rende applicabile anche ai servizi commerciali chiusi. Inoltre, i prompt malevoli generati con un modello più piccolo ed economico sono stati in grado di indurre l’effetto anche su LLM più grandi, abbattendo i costi dell’operazione. L’obiettivo non è tanto dimostrare un attacco su larga scala, quanto evidenziare una superficie di attacco che i fornitori possono mitigare.
Per chi gestisce modelli di ragionamento in self-hosted, la scoperta ha implicazioni dirette. Un utente malintenzionato interno o un endpoint esposto pubblicamente può innescare sessioni di inference che consumano molta più VRAM e potenza computazionale del previsto, gonfiando il costo operativo e il TCO dell’infrastruttura. In ambienti on-premise, dove le risorse GPU sono limitate e spesso condivise tra più carichi di lavoro, un picco di richieste malevole potrebbe degradare le prestazioni per tutti gli utenti legittimi, creando un vero e proprio collo di bottiglia. A differenza dei grandi provider cloud, chi fa self-hosting ha generalmente meno margine per assorbire tali picchi senza investimenti aggiuntivi.
La buona notizia è che le difese esistono: limiti di token in output, rate limiting e filtri sui prompt possono ridurre il rischio, come riconosciuto dagli stessi ricercatori. Tuttavia, adottarle in uno stack on-premise richiede un monitoraggio consapevole del comportamento dei modelli. Per chi valuta il deployment locale, valutare la resilienza agli attacchi di overthinking diventa una voce da mettere in bilancio insieme alla scelta della quantization e al dimensionamento della VRAM.
Questo tipo di minaccia segnala un cambiamento più ampio: con l’adozione di modelli di ragionamento, la superficie di attacco si sposta dalla sola sicurezza dei dati alla capacità di saturare le risorse di calcolo con richieste apparentemente legittime. Un problema che chiama in causa non solo gli specialisti di cybersecurity, ma anche chi progetta l’infrastruttura di inference.
💬 Commenti (0)
🔒 Accedi o registrati per commentare gli articoli.
Nessun commento ancora. Sii il primo a commentare!