Hack Alerta

Promptware: novo kill chain em cinco passos para ataques a LLMs

Por Redação Hack Alerta Publicado em 15/01/2026 18:02 Tendências Tempo de leitura: 3 min

Pesquisadores propuseram um kill chain em cinco passos para ataques a aplicações com LLMs — denominado "promptware" — cobrindo initial access, privilege escalation, persistence, movimentação lateral e execução. O framework descreve vetores como prompts maliciosos, jailbreaking e persistência em memória ou repositórios.

Pesquisadores propuseram um modelo de kill chain em cinco passos para caracterizar ataques contra aplicações que usam grandes modelos de linguagem (LLMs), termo que vem sendo referido como "promptware".

O que o estudo propõe

Autores de universidades como Tel Aviv University, Harvard Kennedy School e Ben-Gurion University delinearam um ciclo de ataque em cinco etapas para entender operações maliciosas que miram LLMs. O trabalho identifica pontos de intervenção e classifica técnicas que vão além da simples injeção de prompt.

As cinco fases

  • Initial Access: entrada por meio de prompts maliciosos, seja diretamente por usuários ou por conteúdo recuperado automaticamente (documentos envenenados).
  • Privilege Escalation: técnicas de "jailbreaking" que contornam restrições de alinhamento do modelo para executar ações proibidas.
  • Persistence: mecanismos que garantem recorrência do comportamento malicioso, explorando data stores dependentes de recuperação (bases de conhecimento, e‑mails) ou a memória do agente.
  • Lateral Movement: exploração de integrações e serviços conectados para ampliar o comprometimento dentro do ambiente alvo.
  • Execution / Objetivos: etapa final que pode incluir exfiltração de dados, orquestração de campanhas de phishing, execução de transações não autorizadas, entre outros.

Exemplos e mecanismos de persistência

O estudo descreve formas de persistência específicas do ecossistema LLM, como inserir payloads em repositórios que o agente consulta (retrieval‑dependent) ou manipular memória do agente para que instruções maliciosas sejam executadas em interações futuras (retrieval‑independent). O texto também cita uma instância análoga, o chamado "Morris II", que se propagou via assistentes de e‑mail alimentados por LLMs ao incluir cópias do payload em mensagens enviadas.

Comando e controle e evolução prática

Além disso, os pesquisadores discutem canais de comando e controle embutidos em instruções que buscam comandos de fontes controladas pelo atacante, permitindo atualização dinâmica de payloads. O documento destaca que ataques evoluíram de provas de conceito simples para operações multietapa que podem realizar exfiltração e manipulação transacional.

Implicações para defesa

O modelo aponta que controles tradicionais precisam ser complementados com monitoramento de fluxos de prompts, validação de conteúdo recuperado, limitação de capacidades de execução de agentes e mecanismos para detectar padrões de persistência em memórias e repositórios. O trabalho identifica pontos de intervenção que podem orientar arquiteturas de defesa para aplicações baseadas em LLM.

O que falta

O resumo consultado não traz métricas empíricas de prevalência ou casos de incidentes em larga escala além dos exemplos mencionados; trata‑se principalmente de um framework analítico e de descrição de técnicas emergentes.

Fonte: Cyber Security News (resumo de trabalho acadêmico disponível em arXiv).

Baseado em publicação original de Cyber Security News
Tags: #promptware #llm #ia #kill-chain #persistencia #jailbreaking #exfiltracao #c2 #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar