「プロンプトウェア・キルチェーン」

“Promptware Kill Chain” をどう訳していいか分からなかったので，とりあえずそのままカタカナで「プロンプトウェア・キルチェーン」としてしまった¹。きっとそのうち偉い人が適切な訳語を考えてくれるだろう。英単語をカタカナに伸ばしただけなんてダサいし，それによって言葉の意味が消失するのは拙いと思う²。けど，私は英語不得手だからなぁ…

（内容は同じ）

この記事は Oleg Brodt, Elad Feldman, Bruce Schneier, Ben Nassi による共著で，斜め読みするに以下の（同じ著者による）論文の解説になっているようだ。

[2601.09625] The Promptware Kill Chain: How Prompt Injections Gradually Evolved Into a Multistep Malware Delivery Mechanism

論文の要旨は以下の通り：

Prompt injection was initially framed as the large language model (LLM) analogue of SQL injection. However, over the past three years, attacks labeled as prompt injection have evolved from isolated input-manipulation exploits into multistep attack mechanisms that resemble malware. In this paper, we argue that prompt injections evolved into promptware, a new class of malware execution mechanism triggered through prompts engineered to exploit an application’s LLM. […] By moving the conversation from prompt injection to a promptware kill chain, our work provides analytical clarity, enables structured risk assessment, and lays a foundation for systematic security engineering of LLM-based systems.

via The Promptware Kill Chain: How Prompt Injections Gradually Evolved Into a Multistep Malware Delivery Mechanism

つまり，プロンプト・インジェクションやジャイルブレイクといった個々の事象にフォーカスするのではなくマルウェアに類似した多段階の攻撃メカニズムを「プロンプトウェア」と定義し，理解に必要な語彙やフレームワークを政策立案者やセキュリティ専門家に提供することが目的のようだ。なので，既に AI システムを導入している（あるいはこれから導入する）企業・組織のセキュリティ担当者は，論文のほうを読んでおくといいかもしれない。

プロンプトウェアには以下の7つの段階がある。

Initial Access (初期アクセス) : プロンプト・インジェクション等（悪意のあるペイロードが AI システムに侵入）
Privilege Escalation (権限昇格) : ジャイルブレイク等（安全トレーニングやポリシーのガードレールの回避）
Reconnaissance (偵察) : 資産，接続されているサービス，および能力に関する情報を明らかにさせる
Persistence (永続化) : 長期記憶に自身を埋め込む，またはエージェントが依存するデータベースを汚染
Command and Control (C2; 指揮統制) : 攻撃者がその挙動を変更できる制御可能なトロイの木馬へと進化
Lateral Movement (水平展開) : 他のユーザ，デバイス，またはシステムへと拡散。マルウェア拡散の高速道路を作り出す
Actions on Objective (目的の実行)

via The Promptware Kill Chain - Schneier on Security

こうやって見るとプロンプト・インジェクションなどは一連の攻撃の取っ掛かりに過ぎないことが分かる。最終段階では仕込まれたマルウェアが発火して攻撃者の目的が実行される。

The goal of promptware is not just to make a chatbot say something offensive; it is often to achieve tangible malicious outcomes through data exfiltration, financial fraud, or even physical world impact.

via The Promptware Kill Chain - Schneier on Security

実際に AI エージェントによって攻撃者のウォレットに暗号資産が送金された事例とかあるらしい。他にも

といった論文がある。

根本的な問題は LLM 自体のアーキテクチャにあると言う。

Unlike traditional computing systems that strictly separate executable code from user data, LLMs process all input—whether it is a system command, a user’s email, or a retrieved document—as a single, undifferentiated sequence of tokens. There is no architectural boundary to enforce a distinction between trusted instructions and untrusted data. Consequently, a malicious instruction embedded in a seemingly harmless document is processed with the same authority as a system command.

via The Promptware Kill Chain - Schneier on Security

つまり LLM はコマンドとデータを区別できず全てを一連のトークン列として処理するため，容易に悪意を忍ばせることができる。

初期アクセス（プロンプト・インジェクション等）を防ぐことが難しいなら，後続のステップで防ぐしかない。権限昇格の制限，偵察の制約，永続化の防止，C2の妨害，エージェントが実行を許可されるアクションの制限といった対策で多層防衛を構築する必要がある。

某マスク氏率いる xAI について

One source said, “Safety is a dead org at xAI,” while the other said that Musk is “actively is trying to make the model more unhinged because safety means censorship, in a sense, to him.”

via Is safety ‘dead’ at xAI? | TechCrunch

みたいな話もあるようだが，そんな牧歌的な段階はとうに過ぎてるということだろう。他の大手 AI サービス・プロバイダはどうなんだろうねぇ。

そういえば先日公開された「AIによる民主主義の巻き返しは可能か」で “Rewiring Democracy” に関して

実際、やはり情報セキュリティ分野の専門家であるベン・ロスキーが本書について、「AIを民主主義のために利用する上で最大の障壁はセキュリティだが、その話が第27章になるまで出てこない」「セキュリティなくして信頼は成立しないのに、著者らは今日のAI開発において、セキュリティは後付けの考慮事項だと言わんばかりだ」と不満げに書いているのを読んで思い至ったのですが…

AIによる民主主義の巻き返しは可能か – WirelessWire & Schrödinger'sより

という指摘があったが，複数のレイヤできっちり仕事をされる Bruce Schneier 先生マジすげーなと思ったのであった。

参考

セキュリティはなぜやぶられたのか: ブルース・シュナイアー (著), 井口耕二 (翻訳); 日経BP 2007-02-15; 単行本; 4822283100 (ASIN), 9784822283100 (EAN), 4822283100 (ISBN); 評価

原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので，そのへんを加味して読むとよい。

reviewed by Spiegel on 2019-02-11 (powered by PA-APIv5)

ハッキング思考　強者はいかにしてルールを歪めるのか、それを正すにはどうしたらいいのか: ブルース・シュナイアー (著), 高橋聡 (翻訳); 日経BP 2023-10-12 (Release 2023-10-12); Kindle版; B0CK19L1HC (ASIN); 評価

Kindle 版が出てた！

reviewed by Spiegel on 2023-11-21 (powered by PA-APIv5)

“kill chain” は元々軍事用語で，敵軍の構造を破壊（切断する）することで自軍を守る先制処置の考え方らしい。これをサイバーセキュリティの分野に持ち込んだのが “Cyber Kill Chain” なんだそうで，攻撃の段階構造を理解し，各段階に対してそれぞれ有効な対策をとることで自システムを多層防御するフレームワークを指すとのこと。故に “Promptware Kill Chain” は本文で紹介するプロンプトウェアの7段階を理解し，各段階それぞれに対して有効な対策をとるべき，という意図なのだろう。 ↩︎
“enshittification” を「メタクソ化」と訳した p2ptk.org の中の人は天才だと思う。 ↩︎