Três pesquisadores de cibersegurança – dois de Israel e um dos Estados Unidos – estão propondo a adoção da expressão “Promptware Kill Chain” para designar o mapeamento de ataques de múltiplas etapas contra LLMs (large language models), comparando-os a malware tradicional. A rápida adoção de sistemas baseados em modelos de linguagem de grande porte (LLM, na sigla em inglês) — desde chatbots até agentes autônomos capazes de executar código e transações financeiras — criou uma nova superfície de ataque que as estruturas de segurança existentes abordam de forma inadequada segundo os autores: “A classificação dominante dessas ameaças como ‘injeção de prompt’ — uma expressão genérica para falhas de segurança em sistemas baseados em LLM — obscurece uma realidade mais complexa: os ataques a sistemas baseados em LLM envolvem cada vez mais sequências de múltiplas etapas que espelham campanhas de malware tradicionais”.
Diferente de injeções simples, essas ameaças seguem padrões sequenciais: acesso inicial, escalonamento de privilégios, persistência em memória/dados, movimento lateral e execução de objetivos. O framework, publicado pelos pesquisadores no arXiv, revela pontos de intervenção para defesas proativas em agentes autônomos.
A vulnerabilidade e características do promptware
O promptware explora integrações de LLMs em chatbots, agentes de calendário e transações financeiras via injeção inicial (prompts maliciosos ou documentos envenenados). Na fase 2, jailbreaking usa ofuscação, role-playing e sufixos adversariais universais para burlar alinhamento de segurança. Persistência retrieval-dependente embute payloads em repositórios (e-mails, bases de conhecimento); retrieval-independente ataca memória do agente diretamente.
Como a exploração é realizada
Ataques iniciam com prompts maliciosos que evoluem para persistência, como o worm Morris II que se replica via assistentes de e-mail infectados. C2 channels embutem instruções para fetch dinâmico de comandos de fontes controladas pelo atacante. Exemplos reais incluem exfiltração de dados, campanhas de phishing automatizadas e manipulação de dispositivos IoT, espelhando táticas de malware clássico.
Determinações e defesas recomendadas
Adote frameworks como o Promptware Kill Chain para auditorias: isole retrieval de dados sensíveis, valide memória de agentes regularmente e implemente sandboxing em LLMs. Monitore por payloads persistentes e sufixos adversariais; atualize alinhamentos de segurança contra jailbreaks universais. Empresas devem revisar defesas tradicionais para cenários AI, priorizando detecção multistage em aplicações LLM críticas.






