Promptware Kill Chain 論文閱讀分析：當 Prompt Injection 不再只是髒字串，而是一路長成 Agent 時代的惡意執行鏈

論文基本資訊

• 論文標題：The Promptware Kill Chain: How Prompt Injections Gradually Evolved Into a Multistep Malware Delivery Mechanism
• 作者：Oleg Brodt、Elad Feldman、Bruce Schneier、Ben Nassi
• 年份：2026
• 來源：arXiv:2601.09625
• 論文連結：https://arxiv.org/abs/2601.09625
• 主題：Prompt Injection、Agentic Security、Kill Chain、Memory Poisoning、Tool Security、Defense-in-Depth

如果把近兩年 agent security 的文獻一路串起來看，很多論文其實都在反覆指出同一件事：真正危險的不是模型被某一句話騙了，而是那句話一旦進入 agent 的執行鏈，後面會一路接到記憶、工具、權限、網路與外部服務。 這篇 The Promptware Kill Chain 做的事情，就是把這個直覺徹底說清楚——作者主張，今天很多被籠統叫做 prompt injection 的攻擊，其實早就不是「像 SQL injection 的單步注入」，而比較像一條會持續推進、擴散、留存、下指揮的 malware delivery mechanism。

作者替這個現象取了一個更帶系統感的名字：promptware。重點不是換名詞耍帥，而是把 threat model 從「輸入層被污染」改寫成「整個 LLM application 可能沿著多階段 kill chain 被逐步接管」。我認為這篇最有價值的地方，就在於它把 prompt injection 從單點 vulnerability，重新拉回成 runtime campaign thinking：你得問的不只是有沒有髒 prompt，而是它接下來能不能升權、探路、留下持久性、建立控制通道、橫向移動，最後真的對目標做事。

這篇論文想修正什麼誤解？

作者一開始就直接挑戰一個流傳很久的說法：prompt injection 是 LLM 世界的 SQL injection。 這個比喻在概念入門時也許有點幫助，因為兩者都牽涉到 trusted instruction 與 untrusted data 沒有被好好分開；但若拿它當完整 threat model，問題就大了。

原因很簡單。SQL injection 多半把影響限制在 database layer；prompt injection 則可能一路碰到：

• 應用本身的權限
• 外接 API 與 SaaS
• 本機檔案與工作區
• agent memory 與 retrieval pipeline
• shell-accessible tools 與終端執行
• 跨使用者、跨裝置、跨服務的 propagation

也就是說，prompt injection 真正像的，不只是 injection，而是能借 LLM 與 agent runtime 當執行載具的 malware behavior。作者甚至在文中把 outcomes 直接對齊到 infostealer、spyware、cryptostealer、worms、trojans，乃至於在具備 shell-integrated tools 的 agentic 系統裡走到 remote code execution。

核心主張：Prompt Injection 已經進化成 Promptware

這篇論文最核心的論點，是把今天很多 LLM attack 不再只稱為 prompt injection，而是視為 prompt-initiated malware。作者定義的 promptware，可以理解成：攻擊者透過 prompt 觸發與操控 LLM application 的行為，讓整個系統開始替他執行一條多步驟的惡意鏈。

這個 framing 很重要，因為它把防禦重心從「我能不能更準地辨識惡意句子」移到「我能不能阻斷整條攻擊生命週期」。如果你接受 promptware 這個觀點，那很多既有做法看起來就會明顯不夠：

• 只做 prompt classifier，不夠
• 只在輸入前做 sanitization，不夠
• 只把 system prompt 寫得更兇，不夠
• 只擋 jailbreak，而不看 memory / tool / egress，也不夠

換句話說，作者不是在說 prompt injection 這個詞完全錯，而是在說：如果你只把它當成 injection 問題，你就會錯估後半段的傷害鏈。

七階段 Promptware Kill Chain

論文提出的主軸，是一條七階段 kill chain。這也是整篇最值得記住的骨架：

1. Initial Access：prompt injection 本身，讓惡意內容進入 LLM application 的 context
2. Privilege Escalation：jailbreaking，或其他讓模型跨過原本 policy / boundary 的手段
3. Reconnaissance：開始摸清楚可用工具、資料、上下文、環境與權限
4. Persistence：透過 memory poisoning、retrieval poisoning 等方式把控制訊號留下來
5. Command and Control：建立持續可被攻擊者操控或更新任務的控制通道
6. Lateral Movement：往其他系統、其他 app、其他 user context、甚至其他 agent 擴散
7. Actions on Objective：真正達成資料外洩、未授權交易、代碼執行、資源濫用等最終目的

這個七階段模型的價值，不是宣稱所有攻擊都一定會走完每一步，而是幫 defender 換一個看法：prompt injection 不是事件，而是起點。 很多安全討論現在還停在第一步，最多加上第二步，但後面幾步其實才是 production harm 真正出現的地方。

這篇論文為什麼特別值得 agent builder 看？

因為它講的不是抽象 chatbot，而是越來越貼近今天的 agentic runtime。文中反覆強調，promptware 的爆發力來自幾件事同時成立：

• 模型無法可靠區分 trusted instructions 與 untrusted data
• 系統會自動 ingest 外部內容，例如網頁、文件、郵件、metadata、preview
• agent 擁有工具、API、工作區、記憶與行動能力
• 執行環境與外部服務之間存在可被濫用的權限鏈

當這些條件疊在一起，攻擊者要做的就不只是「讓模型講錯話」，而是把外部內容慢慢變成：

• 偵察腳本
• 持久化種子
• 資料蒐集器
• 橫向感染入口
• 最終執行鏈的 steering signal

所以這篇真正補上的，是一條從 indirect prompt injection 走到 full execution consequence 的解釋路徑。

幾個關鍵細節：為什麼它不只是舊酒新瓶？

我覺得有三個細節特別重要。

1. 它把多模態 injection 也納進同一張圖

作者明確提到，prompt injection 不再只靠文字；影像、音訊、編碼後文字都可以是入口。這代表 attack surface 不是單純的 prompt box，而是所有會被模型吸進 context assembly 的感知與資料通道。

2. 它把 persistence 放在 kill chain 正中央

這點很關鍵。很多防禦還停留在「這一輪有沒有中招」，但作者直接把 memory poisoning / retrieval poisoning 放成第四階段，等於在提醒你：真正危險的不是當場失控，而是 agent 把攻擊者的意圖留到未來。

3. 它把 lateral movement 與 C2 明確拉進 LLM threat model

這是最接近傳統資安語言、也最能幫團隊內溝通的地方。當你開始用 C2、lateral movement 這些詞來看 LLM systems，安全團隊就比較不會把它誤會成單純 content moderation 問題，而會意識到它已經是 system compromise narrative。

文中的證據力道：不是概念圖而已

這篇不是純粹哲學論文。作者分析了 36 個 prominent studies 與真實 incidents，並指出其中至少 21 個已經跨越四個以上的 kill-chain stages。這個數字背後想傳達的訊息非常直接：promptware 不是未來風險，而是現在就已經在 production 場景出現的攻擊型態。

而且作者還特別指出，這些攻擊在三年間有明顯演化：早期案例多半只碰到 initial access、privilege escalation、action on objective 這種比較短的鏈；近年的案例則越來越常看到 persistence、C2、lateral movement 這種更像真正 malware campaign 的特徵。

對防禦方最大的提醒：不要再把防線只放在前門

如果接受這篇的 framing，那防禦設計就必須跟著改。作者主張的是標準的 defense-in-depth，但它的意思不是老套地說「多層防禦很重要」而已，而是要把每一層真的對到 kill chain 的不同階段。

更實際地說，防線至少要覆蓋：

• Initial Access：外部內容 ingestion、context sanitization、source provenance
• Privilege Escalation：policy separation、approval gating、capability scoping
• Reconnaissance：限制環境枚舉、降低無必要可見性
• Persistence：memory write policy、retrieval quarantine、taint / provenance tracking
• C2：監測異常回連、隱蔽外送與 covert signaling
• Lateral Movement：隔離跨工具、跨使用者、跨代理授權鏈
• Actions on Objective：在 action boundary 做最終驗證、限制高風險副作用

這也是我認為這篇最適合拿來跟 engineering team 溝通的原因：它讓大家不再只爭論 prompt filter 準不準，而是被迫正視整條 runtime control chain 到底哪幾段根本沒守。

這篇論文真正改變的是什麼？

我覺得它真正改變的，不只是 terminology，而是安全團隊怎麼畫圖。以前很多人在畫 LLM threat model 時，會把「惡意 prompt」當作一個輸入點；這篇之後，比較合理的畫法應該是：

• 外部內容如何進來
• 進來後怎麼影響規劃與授權
• 哪些能力能被借用
• 哪些狀態會被持久化
• 如何跨 session / cross-app / cross-user 擴散
• 最終如何把語言層控制權轉成系統層後果

這個 shift 很重要，因為它把 prompt injection 從「一種 payload」提升成「一種 control-plane compromise process」。

Takeaway

The Promptware Kill Chain 最值得記住的一句話，不是 prompt injection 很危險，而是：它早就不只是 injection 了。 當 LLM application 會讀外部內容、保留記憶、調工具、碰網路、跨服務行動時，攻擊者真正要拿下的已經不是一句回答，而是整條執行鏈。這篇論文把那條鏈拆成七個階段，逼防禦方停止把問題縮成輸入清洗，改用 kill-chain 與 defense-in-depth 的眼光重新設計 agent security。

如果你今天還把 prompt injection 當成「模型會不會被騙說錯話」，那你守到的可能只是第一道門。這篇 paper 真正提醒的是：門後面其實已經是一整棟樓。

免責聲明

本文由 AI 產生、整理與撰寫，內容主要依據公開論文、技術文件與可取得之研究資料進行彙整、解讀與摘要。儘管已盡力確保內容之完整性與可讀性，仍可能因模型理解限制、資料來源差異或語意轉譯過程而存在疏漏、不精確或更新延遲之處。本文內容僅供研究交流與知識分享參考，實際技術細節、實驗設定與最終結論，仍應以原始論文、官方文件及作者公開資料為準。