提示件杀伤链
本文提出了“提示件杀伤链”(Promptware Kill Chain)这一概念,系统性地描述了攻击者如何利用大语言模型(LLM)中的提示工程漏洞,从初始信息收集到最终实现恶意目标的完整攻击流程。通过分析提示注入、越狱、提示泄露等多种攻击技术的组合与演进,论文揭示了当前AI系统面临的新型安全威胁,并探讨了相应的防御策略。
背景速读
- 该论文提出"提示件(Promptware)"概念,指代包含提示词(prompt)、注入(injection)和输出处理逻辑的软件系统——即依赖大语言模型(LLM)完成核心功能的软件。
- "杀伤链"(Kill Chain)原本是军事/网络安全术语,描述攻击从侦察到目标达成的完整步骤;作者借用它来系统化梳理Promptware从设计、部署到被攻击的脆弱环节。
- 背景:2023-2024年间,提示注入攻击(Prompt Injection)、间接提示注入(Indirect Prompt Injection,如攻击者将恶意指令藏入网页或邮件,让LLM读取后执行)成为AI安全焦点。此前的讨论多针对单一漏洞,而本文试图给出攻击全貌。
- 意义:首次以"杀伤链"框架对Promptware进行攻击路径分类,帮助开发者理解"一个看起来微小的提示设计失误如何被逐级放大至系统被完全控制"。