Promptware 殺傷鏈：Prompt 注入只是攻擊的開門磚

安全研究員提出了「Promptware Kill Chain」這一全新概念，將 AI 系統的攻擊路徑類比於傳統網絡安全中的「網絡殺傷鏈」模型。Prompt Injection（提示注入）只是整個攻擊序列的第一步——一旦突破這道門，攻擊者可以沿着完整的攻擊鏈實施數據泄露、權限提升、橫向移動乃至系統持久化。

文章詳細描述了攻擊鏈的各個環節：從惡意提示觸發 LLM 的「越獄」行爲，到利用 Agent 的工具調用權限訪問敏感 API，再到通過內存污染實現跨會話持久化。這一攻擊模型揭示了當前 Agentic AI 系統在設計層面的系統性安全漏洞。

對於 AI 安全從業者而言，本文的價值在於提供了一套完整的威脅建模框架，幫助團隊在系統設計階段識別並防禦 Promptware 攻擊。隨着 AI Agent 在企業中大規模部署，這一安全威脅將從概念研究演變爲真實的攻擊向量。

什麼是 Promptware Kill Chain？

傳統網絡安全有「網絡殺傷鏈」（Cyber Kill Chain）——偵察、武器化、投遞、漏洞利用、安裝、命令控制、目標達成七個階段。安全研究員將這一框架遷移到 AI 系統，提出了針對 Agentic AI 的 **Promptware Kill Chain**。

完整攻擊鏈

| 階段 | 傳統攻擊 | Promptware 等價 |

|------|--------|---------------|

| 偵察 | 掃描端口/服務 | 探測 LLM 行爲邊界 |

| 武器化 | 編寫 Exploit | 構造惡意 Prompt |

| 投遞 | 發送釣魚郵件 | 注入惡意內容（文檔/網頁/用戶輸入） |

| 漏洞利用 | 觸發 CVE | Prompt Injection 越獄 |

| 安裝 | 寫入後門 | 內存污染/持久化 Prompt |

| 命令控制 | C2 通信 | 通過 LLM 工具調用外聯 |

| 目標達成 | 數據竊取 | 敏感數據泄露/API 濫用 |

關鍵攻擊技術

Prompt Injection（入口）

攻擊者將惡意指令嵌入 LLM 會處理的內容中（PDF 文件、網頁、數據庫記錄），使 LLM 忽略原始系統提示，執行攻擊者的指令。

內存污染（持久化）

在支持長期記憶的 Agentic 系統中，攻擊者可以將惡意指令寫入 Agent 的記憶存儲，使其在後續會話中持續生效——這相當於傳統攻擊中的「安裝後門」。

工具調用濫用（橫向移動）

Agent 擁有調用外部工具的權限（發郵件、訪問數據庫、執行代碼）。被注入後，攻擊者可通過這些合法工具接口實施數據泄露或橫向移動。

防禦建議

1. **輸入隔離**：對用戶輸入和系統指令進行明確的信任級別區分

2. **最小權限原則**：Agent 工具調用權限應遵循最小化原則

3. **輸出監控**：對 LLM 輸出進行內容審計，檢測異常行爲

4. **記憶沙箱**：對長期記憶存儲實施訪問控制和內容驗證

5. **Red Teaming**：定期對 Agentic 系統進行 Promptware 滲透測試

行業趨勢關聯

隨着 **Agentic AI** 在企業中的大規模落地，AI 安全已從學術話題演變爲緊迫的工程挑戰。**MCP（Model Context Protocol）** 的標準化讓工具調用更規範，但也爲攻擊者提供了可預測的攻擊面。**Open Source AI** 模型的普及使得攻擊者可以低成本研究模型行爲，開發更精準的 Promptware。AI 安全的 Red Teaming 實踐將成爲 2026 年企業 AI 合規的必要組成部分。