☠ Promptware: почему «prompt injection» - это уже устаревший термин
Привет! Начинаю новую серию. И сразу - с темы, которая взорвала сообщество в начале 2026-го. Её подняли Bruce Schneier, MIT и arXiv одновременно. В рунете про это почти никто не писал. Исправляю 😈
🤔 Чем prompt injection отличается от Promptware?
Три года все говорили про prompt injection как про «хитрый запрос, который обманывает модель». Один промпт - один трюк - один результат.
Но в январе 2026-го исследователи опубликовали работу на arXiv, которая всё изменила:
«Prompt injection атаки эволюционировали из изолированных эксплойтов в многошаговые механизмы доставки малвари»
Они назвали это Promptware - новый класс вредоносного ПО, где вместо кода исполняются промпты. И это не просто rebrand. Это принципиально другая угроза 💀
🔗 7-шаговый Promptware Kill Chain
Авторы построили полный kill chain - аналог Cyber Kill Chain Lockheed Martin, только для AI. Вот как выглядит полная атака:
Шаг 1: Initial Access - точка входа
Классическая prompt injection через уязвимый LLM-интерфейс. Веб-страница, PDF, письмо - куда угодно подсовываешь инструкцию. Это только дверь, не цель
Шаг 2: Privilege Escalation - расширение прав
Джейлбрейк. Снимаем RLHF-ограничения - модель начинает выполнять привилегированные функции, которые были заблокированы. Tool calls, API-доступ, системные команды - всё открывается
Шаг 3: Reconnaissance - разведка
Модель становится инструментом разведки: маппим подключённые системы, базы данных, внутренние API, права доступа агента. Всё это - через безобидные на вид запросы
Шаг 4: Persistence - закрепление
Здесь начинается магия. Атакующий отравляет память или RAG модели - вшивает инструкции в долгосрочный контекст. Теперь атака работает при каждом последующем обращении к модели, без повторного триггера
Шаг 5: Command & Control - управление
LLM сам становится C2-каналом: получает команды через внешний контент (письма, веб-страницы), исполняет их и передаёт результат обратно. Незаметно для пользователя. Трафик выглядит как обычные запросы к AI
Шаг 6: Lateral Movement - боковое перемещение
Агент переходит с одной системы на другую: из почты в Slack, из Slack в GitHub, из GitHub в БД. Каждый инструмент - новый плацдарм. Multi-agent архитектуры умножают этот вектор кратно
Шаг 7: Action on Objective - цель достигнута
Кража данных, саботаж, дезинформация, RCE - что угодно. На этом шаге атака уже давно вышла за пределы «модели» и живёт в инфраструктуре
💣 Почему это опаснее классической малвари
Promptware детектировать принципиально сложнее:
- Нет фиксированного вредоносного кода - статические антивирусы видят ноль
- Исполняется через легитимный LLM-процесс - EDR не знает, что делать
- Атака продвигается автономно, без C2-подключения на каждом шаге
- Payload - это естественный язык, а не байткод
Black Hat 2026 посвятил этому отдельный вебинар в феврале. Schneier написал на своём блоге: «Prompt injection - это только первый шаг. Мы недооценили масштаб»
📊 Цифры, которые не дают спать
- 93.3% success rate Promptware-атак против AI coding editors в контролируемых тестах
- MemoryGraft - техника персистентных memory-атак, задокументированная в январе 2026-го: модель «заражается» через один сеанс и несёт бэкдор в каждый следующий
- Атака продвигается по kill chain автономно - не требует человека на каждом шаге
🛡 Как защищаться в 2026-м
Классические WAF и input-фильтры здесь не работают - атака слишком многошаговая. Нужен системный подход:
- Минимальные привилегии для AI-агентов - ограничи tool calls только нужными
- Human-in-the-loop на критических шагах kill chain'а (Privilege Escalation, Lateral Movement)
- Memory isolation - RAG и долгосрочная память требуют аудита на poisoning
Promptware - это не будущее. Это настоящее, которое просто ещё не получило своего Wannacry-момента. Но он придёт.
Серия 2 началась. Stay dangerous.
#Promptware #AI #LLM #KillChain #cybersecurity #pentesting #infosec #BruceSchneier #PromptInjection
