无限智能体循环:检测未受约束的智能体反馈路径
2026 年 7 月的一项研究定义了无限智能体循环,并扫描了 6,549 个仓库,确认 68 处未受约束的反馈路径,可能导致成本耗尽、模型拒绝服务与上下文失控膨胀。
这是什么?
现代 LLM 智能体依靠循环运作:规划、调用模型、调用工具、读取结果、更新状态,再决定下一步——如此反复直到任务完成。2026 年 7 月 2 日发表于 arXiv 的论文 When Agents Do Not Stop: Uncovering Infinite Agentic Loops in LLM Agents(2607.01641)为这一循环永不终止时出现的故障命名:无限智能体循环(Infinite Agentic Loop,IAL)。
IAL 并非普通编程里的 while(true)。它源于智能体逻辑、框架语义、运行时观测与终止机制之间的相互作用。单个用户请求可能被放大成一连串未受约束的模型调用、工具调用、工作流转移或智能体交接——按作者的说法,会造成成本耗尽、模型拒绝服务、上下文膨胀以及重复的外部副作用。该论文的贡献是防御性的:给出这一故障类别的定义,并提供静态分析工具 IAL-Scan,在部署前于代码中检测此类循环。
为衡量问题的普遍程度,作者在 6,549 个真实智能体仓库上运行 IAL-Scan。工具报出 74 个候选,其中人工复核确认 47 个项目中的 68 处真实 IAL 故障,宣称精确率为 91.9%。
工作原理
令人不安的发现是:大多数受影响的框架其实已经内置了循环控制机制——LangChain 的 max_iterations、LangGraph 的递归上限、OpenAI Agents SDK 的最大轮次上限、CrewAI 的 max_iter——IAL 却依然发生。论文指出,开发者会遗漏这些边界、误用它们、以无效数值配置它们,或将它们放在真实反馈路径之外,使其永不触发。更糟的是,某些终止条件在语义上是脆弱的:循环是否继续,最终由模型输出、工具观测、外部状态、异常或委派决策决定,而这些都无法被固定计数器可靠地约束。
要静态地检测这一点很困难,论文列出了三个原因。智能体行为往往通过框架接口而非源码层的直接调用来表达,因此同一个”调用模型”或”分发工具”的概念隐藏在不同的 API 之后。单个循环可能横跨众多程序与框架要素——路由谓词、重试处理器、消息更新、智能体交接——因此必须在包装代码与框架逻辑之间重建反馈路径。而真正的问题不是”是否存在某个限制?“,而是”是否有一个有效的边界覆盖了那条重复路径?“,因为循环在智能体中是常见且往往合法的。
IAL-Scan 的做法是:把异构的智能体代码提升为与框架无关的 Agent IR,构建 Agentic Loop Dependence Graph(ALDG) 以还原显式循环与框架诱发的反馈路径,然后检查某条可达路径是否会在缺乏真正覆盖它的边界的情况下,反复触及高开销或使状态增长的操作。该工具支持八个主流智能体框架。论文没有发布任何漏洞利用或攻击载荷——它是一项测量研究加一个检测器,与智能体依赖图分析同属”绘制故障面”的姿态,也不同于对抗性的终止投毒——后者是攻击者蓄意阻止智能体停止。
为何重要
未受约束的循环是一个拒绝服务与成本问题,无需攻击者即可触发——一个畸形任务、一个不稳定的工具,或一个不断”再试一次”的模型就足够了。在按用量计费的部署中,这直接意味着 API 账单与 GPU 时间失控;在多租户服务中,它可能耗尽其他用户的资源。已确认的 47 个项目表明,这是当今智能体构建方式的结构性属性,而非少数存在缺陷的仓库。
一旦循环带有副作用,安全维度便会加剧。一条反复回调外部工具的反馈路径可能把同一封邮件发送、同一张工单创建、同一个付费端点访问数百次;无边界膨胀的上下文最终会削弱模型自身的推理。该故障类别恰好对应 OWASP LLM10:2025,Unbounded Consumption——它正是从旧的”模型拒绝服务”条目扩展而来,以涵盖递归式上下文膨胀与失控成本——并且加剧了工具链令牌耗尽与护栏推理拒绝服务中已记录的资源耗尽风险。
防御
把每一条智能体反馈路径都当作必须可证明地受约束的对象,并将边界置于路径之上,而非旁边。
不要指望框架的默认限制就足够。确认 max_iterations、递归上限或轮次上限确已设置、取值有效,并且位于它们本应约束的循环内部,而非包裹在一个永不重入的外层封装之外。约束的不只是迭代次数:对每个请求施加令牌累计、挂钟时间、工具调用次数与总花费的全局预算,任一超限即触发熔断。把由模型主导的继续视为不可信——若循环是否重复取决于模型输出、工具结果或委派决策,应加入一个独立的外部停止条件,而非信任智能体自行决定退出。让重复的外部动作具备幂等性或去重能力,使触发两次的循环不会重复扣费或重复发送。在运行时进行插桩以捕捉其特征:几乎相同的连续工具调用、单调增长的上下文,以及趋向上限的迭代计数,都是早期预警。最后,在 CI 中运行本文所展示这类静态分析,专门查找在缺乏有效边界覆盖的情况下触及高开销操作的反馈路径——这正是整个智能体安全生命周期所倡导的”左移”纪律。
状态
| 项目 | 详情 |
|---|---|
| 披露 | arXiv 预印本 2607.01641,2026 年 7 月 2 日(测量研究 + 检测器) |
| 性质 | 无限智能体循环——未受约束的反馈路径,导致成本耗尽、模型拒绝服务、上下文膨胀、重复副作用 |
| 检测器 | IAL-Scan——与框架无关的 Agent IR + Agentic Loop Dependence Graph(ALDG)+ 边界覆盖检查;支持 8 个框架 |
| 规模 | 扫描 6,549 个真实智能体仓库;74 个候选,47 个项目中确认 68 处 IAL 故障;精确率 91.9% |
| 影响范围 | 基于 LangChain、LangGraph、CrewAI、OpenAI Agents SDK 等迭代式框架构建的智能体 |
| 类别 | OWASP LLM10:2025——Unbounded Consumption |
上述结果反映所引研究。静态分析器报告的是可行的未受约束路径,而非已确认的线上宕机——在对某个具体智能体下结论前,请结合你自己的部署及其配置的边界,验证被标记的循环。