会员服务
软件 · 攻击 · 系统 · 提示注入 · 杀伤链 ·
1 月 14 日
The Promptware Kill Chain: How Prompt Injections Gradually Evolved Into a Multi-Step Malware
翻译:提示软件杀伤链:提示注入如何逐步演变为多阶段恶意软件
Ben Nassi,Bruce Schneier,Oleg Brodt
Ben Nassi,Bruce Schneier,Oleg Brodt

The rapid adoption of large language model (LLM)-based systems -- from chatbots to autonomous agents capable of executing code and financial transactions -- has created a new attack surface that existing security frameworks inadequately address. The dominant framing of these threats as "prompt injection" -- a catch-all phrase for security failures in LLM-based systems -- obscures a more complex reality: Attacks on LLM-based systems increasingly involve multi-step sequences that mirror traditional malware campaigns. In this paper, we propose that attacks targeting LLM-based applications constitute a distinct class of malware, which we term \textit{promptware}, and introduce a five-step kill chain model for analyzing these threats. The framework comprises Initial Access (prompt injection), Privilege Escalation (jailbreaking), Persistence (memory and retrieval poisoning), Lateral Movement (cross-system and cross-user propagation), and Actions on Objective (ranging from data exfiltration to unauthorized transactions). By mapping recent attacks to this structure, we demonstrate that LLM-related attacks follow systematic sequences analogous to traditional malware campaigns. The promptware kill chain offers security practitioners a structured methodology for threat modeling and provides a common vocabulary for researchers across AI safety and cybersecurity to address a rapidly evolving threat landscape.


翻译:大型语言模型(LLM)驱动系统的快速普及——从聊天机器人到能够执行代码和金融交易的自主智能体——催生了一个现有安全框架无法充分应对的新型攻击面。当前主流观点将这些威胁笼统地称为“提示注入”——一个涵盖基于LLM系统安全失效的通用术语——这掩盖了一个更为复杂的现实:针对LLM系统的攻击日益呈现出多步骤序列化的特征,其模式与传统恶意软件攻击活动高度相似。本文提出,针对基于LLM应用的攻击构成了一类独特的恶意软件,我们将其命名为\textit{提示软件},并引入一个五阶段杀伤链模型来分析此类威胁。该框架包括初始访问(提示注入)、权限提升(越狱)、持久化(记忆与检索污染)、横向移动(跨系统与跨用户传播)以及目标行动(涵盖数据窃取到未授权交易等行为)。通过将近期攻击案例映射至该结构,我们证明了LLM相关攻击遵循着与传统恶意软件活动类似的系统性序列。提示软件杀伤链为安全从业者提供了威胁建模的结构化方法论,并为跨越AI安全与网络安全领域的研究人员提供了应对快速演变威胁态势的共同术语体系。
0
下载
关闭预览

相关内容

软件(中国大陆及香港用语,台湾作软体,英文:Software)是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为编程语言、系统软件、应用软件和介于这两者之间的中间件。软件就是程序加文档的集合体。
关于 GPT-5.2、Gemini 3 Pro、Qwen3-VL、豆包 1.8、Grok 4.1 Fast、Nano Banana Pro 及 Seedream 4.5 的安全性研究报告
关于 GPT-5.2、Gemini 3 Pro、Qwen3-VL、豆包 1.8、Grok 4.1 Fast、Nano Banana Pro 及 Seedream 4.5 的安全性研究报告
专知会员服务
23+阅读 · 1月18日
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
15+阅读 · 2025年5月22日
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
专知会员服务
37+阅读 · 2025年2月4日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
67+阅读 · 2024年5月12日
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
专知会员服务
45+阅读 · 2024年3月12日
【2024新书】大型语言模型安全开发者手册,250页pdf
【2024新书】大型语言模型安全开发者手册,250页pdf
专知会员服务
74+阅读 · 2024年2月12日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
如何提示?浙大最新《大型语言模型提示框架》综述
如何提示?浙大最新《大型语言模型提示框架》综述
专知会员服务
83+阅读 · 2023年11月23日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
ChatGPT中的提示工程(Prompt)怎么做?DAIR.AI最新《提示工程指南》,全面讲述提示技术,附书册课件视频
ChatGPT中的提示工程(Prompt)怎么做?DAIR.AI最新《提示工程指南》,全面讲述提示技术,附书册课件视频
专知会员服务
235+阅读 · 2023年3月20日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
一文读懂自注意力机制:8大步骤图解+代码
一文读懂自注意力机制:8大步骤图解+代码
新智元
153+阅读 · 2019年11月26日
30秒让图片变裸照,使用无门槛,这个软件比Deepfake杀伤力更大
30秒让图片变裸照,使用无门槛,这个软件比Deepfake杀伤力更大
AI100
29+阅读 · 2019年6月28日
谷歌升级版Transformer官方解读:更大、更强,解决长文本问题(开源)
谷歌升级版Transformer官方解读:更大、更强,解决长文本问题(开源)
新智元
19+阅读 · 2019年1月30日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
最新人机对话系统简略综述
最新人机对话系统简略综述
专知
26+阅读 · 2018年3月10日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Steering Dialogue Dynamics for Robustness against Multi-turn Jailbreaking Attacks
Arxiv
0+阅读 · 2月16日
Learning to Inject: Automated Prompt Injection via Reinforcement Learning
Arxiv
0+阅读 · 2月5日
Defending Against Prompt Injection with DataFilter
Arxiv
0+阅读 · 2月4日
STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents
Arxiv
0+阅读 · 2月2日
RedVisor: Reasoning-Aware Prompt Injection Defense via Zero-Copy KV Cache Reuse
Arxiv
0+阅读 · 2月2日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
A Systematic Literature Review on LLM Defenses Against Prompt Injection and Jailbreaking: Expanding NIST Taxonomy
Arxiv
0+阅读 · 1月29日
Promptware Engineering: Software Engineering for Prompt-Enabled Systems
Arxiv
0+阅读 · 1月27日
SPECTRE: Conditional System Prompt Poisoning to Hijack LLMs
Arxiv
0+阅读 · 1月21日
Turn-Based Structural Triggers: Prompt-Free Backdoors in Multi-Turn LLMs
Arxiv
0+阅读 · 1月20日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
软件
攻击
系统
提示注入
杀伤链
相关VIP内容
关于 GPT-5.2、Gemini 3 Pro、Qwen3-VL、豆包 1.8、Grok 4.1 Fast、Nano Banana Pro 及 Seedream 4.5 的安全性研究报告
关于 GPT-5.2、Gemini 3 Pro、Qwen3-VL、豆包 1.8、Grok 4.1 Fast、Nano Banana Pro 及 Seedream 4.5 的安全性研究报告
专知会员服务
23+阅读 · 1月18日
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
15+阅读 · 2025年5月22日
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
专知会员服务
37+阅读 · 2025年2月4日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
67+阅读 · 2024年5月12日
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
专知会员服务
45+阅读 · 2024年3月12日
【2024新书】大型语言模型安全开发者手册,250页pdf
【2024新书】大型语言模型安全开发者手册,250页pdf
专知会员服务
74+阅读 · 2024年2月12日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
如何提示?浙大最新《大型语言模型提示框架》综述
如何提示?浙大最新《大型语言模型提示框架》综述
专知会员服务
83+阅读 · 2023年11月23日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
ChatGPT中的提示工程(Prompt)怎么做?DAIR.AI最新《提示工程指南》,全面讲述提示技术,附书册课件视频
ChatGPT中的提示工程(Prompt)怎么做?DAIR.AI最新《提示工程指南》,全面讲述提示技术,附书册课件视频
专知会员服务
235+阅读 · 2023年3月20日
热门VIP内容
相关资讯
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
一文读懂自注意力机制:8大步骤图解+代码
一文读懂自注意力机制:8大步骤图解+代码
新智元
153+阅读 · 2019年11月26日
30秒让图片变裸照,使用无门槛,这个软件比Deepfake杀伤力更大
30秒让图片变裸照,使用无门槛,这个软件比Deepfake杀伤力更大
AI100
29+阅读 · 2019年6月28日
谷歌升级版Transformer官方解读:更大、更强,解决长文本问题(开源)
谷歌升级版Transformer官方解读:更大、更强,解决长文本问题(开源)
新智元
19+阅读 · 2019年1月30日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
最新人机对话系统简略综述
最新人机对话系统简略综述
专知
26+阅读 · 2018年3月10日
相关论文
Steering Dialogue Dynamics for Robustness against Multi-turn Jailbreaking Attacks
Arxiv
0+阅读 · 2月16日
Learning to Inject: Automated Prompt Injection via Reinforcement Learning
Arxiv
0+阅读 · 2月5日
Defending Against Prompt Injection with DataFilter
Arxiv
0+阅读 · 2月4日
STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents
Arxiv
0+阅读 · 2月2日
RedVisor: Reasoning-Aware Prompt Injection Defense via Zero-Copy KV Cache Reuse
Arxiv
0+阅读 · 2月2日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
A Systematic Literature Review on LLM Defenses Against Prompt Injection and Jailbreaking: Expanding NIST Taxonomy
Arxiv
0+阅读 · 1月29日
Promptware Engineering: Software Engineering for Prompt-Enabled Systems
Arxiv
0+阅读 · 1月27日
SPECTRE: Conditional System Prompt Poisoning to Hijack LLMs
Arxiv
0+阅读 · 1月21日
Turn-Based Structural Triggers: Prompt-Free Backdoors in Multi-Turn LLMs
Arxiv
0+阅读 · 1月20日
相关基金
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top