Promptware：新兴AI攻击威胁与五步杀伤链分析

随着大型语言模型（LLM）在商业与技术领域的深度落地，智能客服、自动化代理、日程管理、代码执行乃至金融交易等场景均已被其重塑。然而，技术快速渗透日常运营的背后，AI安全隐患正加速浮出水面。研究人员指出，针对LLM的攻击绝非简单的“提示注入”，而是一套复杂的多阶段攻击活动——这种专门瞄准LLM漏洞的新型恶意软件，被定义为“Promptware”，正成为AI安全领域的新劲敌。

Promptware的危害性，不仅源于其技术复杂性，更在于其具备完整的多阶段攻击链条。来自特拉维夫大学、哈佛肯尼迪学院及本-古里安大学的研究团队，提出了一套五步“杀伤链”模型，清晰揭示了Promptware的攻击逻辑：它并非临时起意的注入式攻击，而是经过周密策划的系统性操作，复刻了传统恶意软件从初始渗透到达成目标的全流程，大幅提升了防御难度。

1

五步杀伤链拆解：

Promptware的攻击路径全解析

五步杀伤链（图片来源：Arxiv）

第一步：初始访问——突破第一道防线

Promptware的攻击始于“初始访问”阶段。攻击者通过恶意提示注入，将恶意指令植入LLM系统，渗透途径主要分为两类：一是诱导用户直接输入恶意提示；二是借助“中毒”文档（如受感染的文件、邮件附件等），让系统在检索、解析内容时间接中招，悄无声息地打开攻击缺口。

第二步：特权提升——绕过安全枷锁

成功获取初始访问权限后，攻击者会立即推进“特权提升”，核心目标是突破LLM应用的安全控制体系。由于现代LLM均经过对齐训练以抵御有害请求，攻击者通常会采用越狱技术、角色扮演伪装、通用对抗后缀等手段，精准绕过模型的安全机制，获取未经授权的操作权限，为后续攻击铺路。

第三步：持久性机制——扎根系统长期潜伏

一旦突破安全防线，攻击者会通过“持久性机制”确保攻击指令长期生效、反复激活。这一阶段的攻击思路与传统恶意软件异曲同工：传统恶意软件多通过修改注册表、创建计划任务实现持久化，而Promptware则精准拿捏LLM的运行特性，利用数据存储与内存管理系统扎根。例如，“依赖检索的持久性”会将恶意载荷嵌入邮件系统、企业知识库等数据载体，每当系统检索相似内容，恶意指令便会被触发激活，隐蔽性极强。

第四步：横向渗透——扩大攻击覆盖面

建立持久化控制后，攻击者会启动“横向渗透”，将攻击范围从单一系统扩散至更多关联服务与设备。典型案例便是Morris II蠕虫攻击：它利用LLM驱动的邮件助手自我复制，让受感染的邮件在发送时自动附带恶意载荷，接收方的邮件助手一旦解析该内容，便会沦为新的攻击节点，形成指数级传播的感染链，快速扩大攻击影响。

第五步：执行目标——达成最终攻击意图

攻击链的最后一环，是Promptware执行最终目标。这类目标多指向高价值资产与敏感信息，包括数据外泄、发起钓鱼攻击、操控智能设备、执行未授权金融交易等。随着攻击链的逐步推进，原本孤立的安全隐患被持续放大，最终演变为威胁企业核心数据安全、扰乱业务正常运转的系统性风险。

2

从理论到实战：

Promptware的现实威胁已显现

如今，Promptware已不再是局限于实验室的学术议题，而是实实在在渗透到多行业的实战威胁。与传统恶意软件相比，它的攻击过程更隐蔽、技术逻辑更复杂——不仅局限于表面的输入注入，更深度利用LLM的内存管理、数据存储机制，以及模型训练过程中的安全漏洞，实现精准打击。

从金融领域的未授权交易风险，到智能家居设备的被操控隐患，再到医疗行业的敏感数据泄露危机，Promptware的攻击足迹已遍布多个高价值领域。攻击者仅需通过精心设计的恶意提示或指令，就能绕过层层防护，对企业与个人权益造成不可逆的损害。

3

破局之道：

如何构建Promptware防御体系？

面对Promptware这类新型AI威胁，传统网络安全防御策略已难以全覆盖。企业与机构需针对性升级防护思路，从多维度构建适配LLM应用的安全体系，重点聚焦以下四大方向：

强化模型安全对齐能力：优化对齐训练方案，制定更细化的安全策略，针对越狱、对抗后缀等攻击手段，构建动态防御屏障，从源头减少被绕过的风险。

搭建多层次防护架构：在常规网络安全防护基础上，新增LLM应用专属安全层，部署恶意提示检测、数据篡改防护等技术手段，实现“外防渗透、内防扩散”的全链路防护。

建立实时监控与响应机制：搭建LLM行为动态监控系统，精准捕捉异常操作、恶意载荷激活等风险信号，制定快速响应预案，确保发现威胁后能第一时间阻断攻击链条。

推动跨界协作与情报共享：AI安全防护需打破行业壁垒，企业、科研机构、安全厂商应加强合作，实时共享Promptware最新威胁情报、攻击手法与防御方案，形成联防联控的行业生态。

Promptware的崛起，标志着AI时代的网络安全已进入“多阶段、深渗透”的对抗新阶段。传统防御思路难以应对这类精准瞄准LLM核心机制的攻击，企业与安全从业者必须主动更新防护理念，构建全面、系统、动态的安全体系。唯有紧跟威胁演进趋势，提前布局针对性防护措施，才能在AI技术飞速发展的浪潮中，守住数据安全与业务稳定的底线，从容应对未来更复杂的网络安全挑战。

消息来源：Cyber Security News

文章来源：安全客