gouravnagar-infosec/ai-kill-chain
GitHub: gouravnagar-infosec/ai-kill-chain
这是一个为AI时代威胁设计的扩展网络杀伤链框架,旨在帮助防御者系统化应对LLM和智能体AI攻击。
Stars: 23 | Forks: 17
# 适用于AI时代威胁的扩展网络杀伤链
洛克希德·马丁网络杀伤链的更新版本,用于防御者应对LLM和智能体AI攻击。新增模型供应链泄露的预攻击阶段。在原始七个阶段中均添加了AI特定的子技术。将“目标行动”阶段拆分为三个并行子阶段:经典数据泄露、模型提取和智能体横向移动。
[](./CHANGELOG.md)
[](./LICENSE)
[]()
[](https://doi.org/10.5281/zenodo.20349357)
作者:Gourav Nagar
版本:1.0
日期:2026年5月19日
仓库:https://github.com/gouravnagar-infosec/ai-kill-chain
引用格式:Nagar, G. (2026). *Extended Cyber Kill Chain for AI-Era Threats* (Version 1.0). Zenodo. https://doi.org/10.5281/zenodo.20349357
## 目录
1. [摘要](#abstract)
2. [背景](#background)
3. [为什么七阶段模型还不够](#why-the-seven-stage-model-is-not-enough)
4. [框架概览](#the-framework-at-a-glance)
5. [逐阶段详细说明](#stage-by-stage-specification)
- [阶段0. 模型供应链泄露(新增)](#stage-0-model-supply-chain-compromise-new)
- [阶段1. 侦察(AI增强)](#stage-1-reconnaissance-ai-augmented)
- [阶段2. 武器化(AI增强)](#stage-2-weaponization-ai-augmented)
- [阶段3. 投递(AI增强)](#stage-3-delivery-ai-augmented)
- [阶段4. 利用(AI增强)](#stage-4-exploitation-ai-augmented)
- [阶段5. 安装(AI增强)](#stage-5-installation-ai-augmented)
- [阶段6. 命令与控制(AI增强)](#stage-6-command-and-control-ai-augmented)
- [阶段7. 目标行动(扩展)](#stage-7-actions-on-objectives-expanded)
6. [与MITRE ATLAS、OWASP LLM Top 10、NIST AI RMF的关系](#relationship-to-mitre-atlas-owasp-llm-top-10-nist-ai-rmf)
7. [案例研究](#worked-case-studies)
8. [检测与缓解指导](#detection-and-mitigation-guidance)
9. [原创性声明](#originality-statement)
10. [如何引用](#how-to-cite)
11. [参考文献](#references)
12. [许可证](#license)
## 摘要
自2011年以来,洛克希德·马丁网络杀伤链一直是防御者描述入侵活动的工作模型。从侦察到目标行动共七个阶段。网络和端点攻击面。人类攻击者操作工具针对确定性目标。其对防御者的价值在于破坏逻辑:阻断任何一个阶段,杀伤链的其余部分就无法完成。
LLM和AI智能体不符合这一图景。攻击者现在针对模型权重、训练数据、系统提示词、工具描述。文档或网页可以携带AI智能体将执行的指令,如同用户输入一样。具有工具访问权限的智能体可以通过合法的信任关系进行横向移动,而无需加载shellcode。
MITRE ATLAS和OWASP LLM Top 10都收录了这些威胁。ATLAS v5.4.0(2026年2月)包含16个战术、84个技术和42个案例研究,覆盖了间接提示词注入和智能体命令与控制。OWASP 2025 LLM Top 10为应用构建者优先列出了十个风险类别。两者均组织为矩阵或风险列表。两者都不是杀伤链。
本文档是相同内容的杀伤链视图。它是为那些已经以杀伤链阶段思考的SOC分析师和检测工程师编写的。
它在标准七阶段基础上做了三件事。它为针对AI供应链本身的敌手活动添加了一个新的预攻击阶段(阶段0)。它在每个原始七个阶段内添加了AI特定的子技术,并带有EKC ID,以便检测规则和SOC剧本可以引用它们。并且它将阶段7(目标行动)拆分为三个并行子阶段:经典数据泄露、模型提取和智能体横向移动。
这不是替代ATLAS或OWASP。它是相同威胁面的杀伤链视图。
## 背景
原始的网络杀伤链,来自Hutchins、Cloppert和Amin 2011年的洛克希德·马丁论文,将入侵活动分解为七个阶段。
| 阶段 | 名称 | 敌手正在做什么 |
|------|------|----------------|
| 1 | 侦察 | 选择目标 |
| 2 | 武器化 | 将漏洞利用与载荷配对 |
| 3 | 投递 | 将武器送达目标 |
| 4 | 利用 | 触发它 |
| 5 | 安装 | 植入持久化 |
| 6 | 命令与控制 | 建立控制通道 |
| 7 | 目标行动 | 实现任务目标 |
该模型是十多年检测工程实践、威胁情报报告结构和SOC剧本设计的基础。Nagar和Kumar(2025)的《网络杀伤链:战术与策略》(Packt出版)一书对该框架及其操作使用进行了深入探讨。本框架扩展了该书。
## 为什么七阶段模型还不够
原始假设在AI时代攻击的四个方面失效了。
攻击现在具有预网络阶段。受污染的数据集或被泄露的预训练模型存在于公共注册表上,可以在任何数据包穿过防火墙之前就危害目标组织。标准杀伤链从侦察阶段开始,没有地方容纳这种情况。
提示词混合了代码和数据。LLM无法可靠地区分指令和内容。网页、电子邮件或工具描述中的隐藏文本可能成为模型遵循的指令。杀伤链中被视为单独的投递和利用阶段,在AI情况下坍缩为单一原语:间接提示词注入。
模型本身现在成为目标。敌手想要权重、微调数据、系统提示词、部署模型中编码的能力。“数据泄露”低估了这一点。模型提取、训练数据提取、能力挖掘各自具有不同的机制,需要不同的防御措施。
并且智能体通过其自身权限进行横向移动。拥有工具访问权限(MCP、函数调用、浏览器控制)的受损AI智能体无需提升权限或加载shellcode。它调用它已被授权使用的工具。其机制不是经典的横向移动,但对目标环境的效果是一样的。
ATLAS一直在追赶。v4.9.0(2025年4月)将命令与控制添加为战术(AML.TA0014)。v5.1.0(2025年11月)添加了横向移动(AML.TA0015)。截至v5.4.0(2026年2月),ATLAS是一个包含16个战术的矩阵,对智能体威胁有良好的覆盖,包括SesameOp(AML.CS0042)和OpenClaw(AML.CS0050, AML.CS0051)的案例研究。本框架的存在不是为了填补ATLAS的空白;ATLAS作为矩阵运行。它存在是因为相同的内容需要提供给那些以杀伤链阶段推理的防御者,同时原始的阶段破坏逻辑仍在发挥作用。
## 框架概览
```
flowchart LR
S0["Stage 0
Model Supply
Chain Compromise
NEW"]:::new S1["Stage 1
Reconnaissance
AI-augmented"]:::mod S2["Stage 2
Weaponization
AI-augmented"]:::mod S3["Stage 3
Delivery
AI-augmented"]:::mod S4["Stage 4
Exploitation
AI-augmented"]:::mod S5["Stage 5
Installation
AI-augmented"]:::mod S6["Stage 6
Command & Control
AI-augmented"]:::mod S7["Stage 7
Actions on Objectives
EXPANDED"]:::expanded S7A["7a. Data Exfiltration
classical"]:::expanded S7B["7b. Model Extraction
NEW"]:::new S7C["7c. Agentic Pivot
NEW"]:::new S0 --> S1 --> S2 --> S3 --> S4 --> S5 --> S6 --> S7 S7 --> S7A S7 --> S7B S7 --> S7C classDef new fill:#ffe6e6,stroke:#cc0000,stroke-width:2px,color:#000 classDef mod fill:#fff4d6,stroke:#cc8800,stroke-width:2px,color:#000 classDef expanded fill:#e6f0ff,stroke:#0044cc,stroke-width:2px,color:#000 ``` 红色为新增,黄色为原始但包含AI子技术,蓝色为原始但进行了结构性扩展。 该框架在原始七阶段基础上增加了三件事。一个新的预攻击阶段0位于侦察阶段之前,用于覆盖针对AI供应链的敌手活动。每个原始阶段都增加了自己的AI特定子技术,并带有EKC ID,以便检测规则和威胁报告可以引用它们。阶段7拆分为三个并行子阶段:经典泄露保持为7a,模型提取(7b)和智能体横向移动(7c)紧随其后。这些不是泄露的变体。它们是需要自身控制的独特敌手目标。 ## 逐阶段详细说明 下面的每个阶段规范涵盖四方面。敌手正在做什么。AI特定的子技术(带有`EKC` ID,可在检测规则和威胁报告中引用)。防御者可采取行动的检测信号。缓解措施。 ### 阶段0. 模型供应链泄露(新增) **敌手正在做什么。** 损害模型、数据集、微调适配器或分发渠道,目标组织稍后会将其拉入自身的AI系统。敌手从不接触目标网络。他们将泄露植入供应链并等待。 **子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-0.1 | 训练数据投毒 | 向公共数据集、网络爬取语料库或未来训练运行将摄入的标注流程注入被操纵的示例。 | | EKC-0.2 | 微调后门 | 分发包含隐藏触发器-行为对的微调适配器、LoRA或完整模型检查点。 | | EKC-0.3 | 预训练模型木马 | 将恶意模型发布到公共注册表(Hugging Face、Ollama Library、GitHub),使用合理名称或对真实名称进行拼写错误仿冒。 | | EKC-0.4 | 分词器或预处理操纵 | 更改上游依赖项中的分词、归一化或特征提取代码,以添加隐蔽输入通道。 | | EKC-0.5 | 恶意MCP服务器或工具目录条目 | 发布工具描述、MCP服务器清单或函数定义,旨在被下游智能体调用,并通过工具描述本身的提示词注入来利用它们。 | **检测信号。** - 已部署模型工件中存在来源缺失(无签名清单,无已知训练数据血缘)。 - 今天从注册表拉取的模型与先前日期拉取的相同标识符之间的加密哈希漂移。 - 来自第三方MCP服务器的工具描述包含异常长、指令性文本或非打印字符。 - 使用策展触发套件探测时,已部署模型中出现异常的神经元激活分布。 **主要缓解措施。** - 为每个已部署的模型维护模型物料清单(M-BOM),包括基础模型身份、微调数据哈希和适配器来源。 - 签署并验证模型工件。为注册表托管的模型锁定特定的提交哈希。 - 隔离并沙箱化新添加的MCP服务器。将工具描述视为不可信输入进行审查。 - 使用已发布的基准对已部署的模型进行例行后门触发扫描。 ### 阶段1. 侦察(AI增强) **敌手正在做什么。** 发现目标的AI系统、其功能、防护措施及其连接对象。 **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-1.1 | 模型指纹识别 | 通过响应风格探测、延迟分析或已知答案测试,识别已部署LLM的基础模型、微调系列和版本。 | | EKC-1.2 | 系统提示词枚举 | 使用泄露查询、角色扮演探测或边界案例提示词来恢复系统提示词或其主要约束。 | | EKC-1.3 | 能力和工具枚举 | 发现智能体可访问哪些工具、插件、MCP服务器或函数调用接口。 | | EKC-1.4 | 防护措施映射 | 通过探测拒绝模式并找到绕过分类器的主题、格式或输入形状来映射策略边界。 | | EKC-1.5 | 嵌入和检索表面发现 | 识别系统从哪些检索源读取(向量存储内容、文档语料库、网页抓取域)。 | **检测信号。** 来自单一来源的高熵提示词会话。系统性探索拒绝边界。与已发布的越狱语料库高度匹配的查询。重复请求系统“重复上面的指令”。 **主要缓解措施。** 对每个用户身份的提示词流量进行速率限制和行为聚类。编辑识别性的响应工件。在系统提示词中添加金丝雀令牌,在泄露时触发。将工具枚举限制于经过身份验证、经过审计的调用者。 ### 阶段2. 武器化(AI增强) **敌手正在做什么。** 构建将投递到目标的载荷。 **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-2.1 | 对抗性提示词制作 | 根据阶段1的指纹识别目标模型、防护措施和工具集,构建量身定制的提示词注入载荷。 | | EKC-2.2 | 多模态载荷构建 | 将指令嵌入图像、音频、PDF或多模态模型将解析的结构化文档中。 | | EKC-2.3 | 恶意工具或MCP包 | 构建一个名称和描述看起来良性,但调用时执行攻击者控制动作的工具。 | | EKC-2.4 | 越狱链组装 | 将已知的绕过技术(角色预设、编码技巧、低资源语言转向、结构化角色扮演)组合成单个载荷,以击败多层防护措施。 | | EKC-2.5 | AI生成的多态恶意软件 | 使用模型生成语义等效但词汇多样的恶意软件变体,以逃避基于签名的检测。 | **检测信号。** 入站内容与已知间接注入标记的模式匹配。图像、PDF和音频分析中发现隐写指令。对新注册的MCP包的静态分析。 ### 阶段3. 投递(AI增强) **敌手正在做什么。** 将载荷送达AI系统或其操作者。 **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-3.1 | 通过网页内容的间接提示词注入 | 浏览或网页抓取的智能体检索攻击者控制的包含指令的页面。 | | EKC-3.2 | RAG语料库投毒 | 攻击者提交内容(通过支持工单、公共文档、代码贡献或向量存储摄入),这些内容稍后将作为上下文被LLM检索。 | | EKC-3.3 | 电子邮件或消息传递的注入 | 将指令置于AI助手被配置为读取或总结的电子邮件中。 | | EKC-3.4 | 文档携带的注入 | 将指令置于AI工作流处理的PDF、电子表格或办公文档中。 | | EKC-3.5 | 工具描述投毒 | 将指令置于暴露给智能体的MCP工具或函数定义的描述或模式中。 | | EKC-3.6 | 图像、音频或二维码注入 | 将指令编码在非文本模态中,多模态智能体将处理这些模态。 | **检测信号。** 在不受信任的内容流中发现异常的指令性文本。多模态管道中图像alpha通道和元数据的高熵。检索到的文档内部出现意外的语言转换。 ### 阶段4. 利用(AI增强) **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-4.1 | 直接提示词注入成功 | 面向用户的提示词实现了攻击者的策略违规。 | | EKC-4.2 | 间接提示词注入成功 | 通过阶段3传递的指令在内容被处理时由模型遵循。 | | EKC-4.3 | 混淆代理工具调用 | 模型代表攻击者调用特权工具,使用智能体自身的权限。 | | EKC-4.4 | 防护措施或分类器绕过 | 绕过安全分类器或基于规则的过滤器,从而产生禁止内容或采取禁止操作。 | | EKC-4.5 | 记忆或上下文污染 | 用攻击者控制的内容更新持久记忆存储,这些内容将影响未来的会话。 | **检测信号。** 工具调用的参数源自不可信的输入字符串。输出包含来自系统提示词的金丝雀令牌。单个检索到的文档导致对话状态发生大步偏离。 ### 阶段5. 安装(AI增强) **敌手正在做什么。** 设置持久化,使泄露能够在单个会话后持续存在。 **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-5.1 | 持久记忆植入 | 将内容注入长期记忆、用户偏好存储或每账户上下文中,这些将在未来的会话中重新加载。 | | EKC-5.2 | 系统提示词覆盖 | 修改自定义GPT、助手配置或智能体定义,以在其系统提示词中嵌入攻击者指令。 | | EKC-5.3 | 恶意连接器安装 | 促使用户或管理员安装攻击者控制的MCP服务器、插件或浏览器扩展,为攻击者提供持久立足点。 | | EKC-5.4 | RAG语料库持久化 | 确保受污染的文档在重新索引操作后保留在向量存储中。 | | EKC-5.5 | 存储技能或工作流污染 | 修改智能体将按计划或按需加载和执行的存储技能、自动化流程或保存的工作流。 | **检测信号。** 记忆存储中出现无法归因于合法用户操作的新条目。未经授权更改系统提示词、自定义GPT或保存的技能。新注册的MCP端点。向量存储摄入事件发生在预期管道之外。 ### 阶段6. 命令与控制(AI增强) **敌手正在做什么。** 维持一个交互式或计划性通道,使他们能够指导进一步的活动。 AI智能体引入了新的C2通道。ATLAS现在涵盖其中一些(例如,AI服务API AML.T0096;SesameOp案例研究AML.CS0042记录了OpenAI Assistants API被用作C2基础设施)。下面的子技术将相同现象组织为杀伤链阶段。 **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-6.1 | LLM通道作为C2 | 在看似良性的用户提示词、检索到的文档或工具输出中编码命令,智能体按计划读取。 | | EKC-6.2 | 记忆介导的C2 | 使用智能体的长期记忆存储作为死信箱。攻击者通过一个入口点向记忆写入指令,智能体通过另一个入口点执行它们。 | | EKC-6.3 | RAG介导的C2 | 更新向量存储中受污染的文档以传递新指令。智能体在下一次相关查询时检索它们。 | | EKC-6.4 | 工具输出C2 | 受损的MCP服务器在每次调用时返回包含指令的响应,引导智能体的后续行为。 | | EKC-6.5 | 跨会话隐写C2 | 在智能体跨会话传递的字段(用户笔记、项目描述、工单评论)中编码命令载荷,因为每个片段单独看起来无害,从而逃避内容分类。 | **检测信号。** 对话图分析显示指令反复来自同一检索源。外部工具的输出包含与工具记录用途不一致的命令式语言。智能体间字段的熵分析。 ### 阶段7. 目标行动(扩展) **敌手正在做什么。** 实现任务目标。阶段7拆分为三个并行子阶段,因为AI系统使得之前不存在为一流目标的两个新类别目标变得可行。 #### 子阶段7a. 数据泄露(经典) 传统杀伤链的目标行动。敏感数据被泄露。系统被破坏、加密或破坏。实施欺诈。AI没有从质上改变这一子阶段。它通过更便宜的钓鱼、自动化侦察和更快的社会工程循环放大了规模。 #### 子阶段7b. 模型提取(新增) 目标是模型本身、其中的数据或其中编码的知识。 | ID | 子技术 | 描述 | |----|--------|------| | EKC-7b.1 | 基于API的模型提取 | 通过大规模查询并训练代理模型,重建已部署模型的权重或决策边界的近似值。 | | EKC-7b.2 | 训练数据提取 | 通过针对记忆的提示词,恢复逐字或接近逐字的训练示例,包括敏感PII或专有内容。 | | EKC-7b.3 | 成员推理 | 确定特定记录是否在训练集中。对隐私法规和保密性具有下游影响。 | | EKC-7b.4 | 系统提示词和指令提取 | 恢复编码业务逻辑、定价规则或竞争定位的专有系统提示词。 | | EKC-7b.5 | 能力挖掘 | 使用已部署模型执行攻击者自身基础设施无法执行的任务。访问权限成为能力转移。 | **检测信号。** 来自单一身份的大量程序化查询模式,特别是查询模板低熵而输入高熵的情况。包含经典记忆探测的查询(“重复上面的文本”)。查询分布类似于已发布的提取攻击。 #### 子阶段7c. 智能体横向移动(新增) 受损的AI智能体被用于在连接的系统中执行操作,使用其自身的合法权限。机制上:无漏洞利用代码,无凭据重用,无权限提升。仅调用带有攻击者影响参数的授权工具。ATLAS在v5.1.0(2025年11月)中增加了横向移动战术(AML.TA0015)来应对相同现象。此处的贡献是将智能体横向移动变体放入杀伤链的目标行动阶段内,作为经典泄露的并列项,而不是作为矩阵中较早出现的独立战术。 | ID | 子技术 | 描述 | |----|--------|------| | EKC-7c.1 | 工具介导的横向操作 | 智能体代表攻击者调用合法工具(发送邮件、写入文件、创建工单、授权付款)。 | | EKC-7c.2 | 跨应用横向移动 | 智能体通过链接工具调用,从一个连接的应用移动到另一个(从日历到CRM再到支付处理器)。 | | EKC-7c.3 | 身份混淆攻击 | 智能体在以下上下文中执行操作:下游系统将其操作视为特权用户的操作,授予攻击者并不直接持有的权限。 | | EKC-7c.4 | 递归智能体滥用 | 受损的智能体调用其他智能体,在智能体组织中传播泄露,无需经典的横向移动。 | | EKC-7c.5 | 工作流武器化 | 存储的自动化流程或计划工作流定期执行攻击者预期的操作。 | **检测信号。** 工具调用的参数包含可追溯到不可信上游源的内容。跨越无人类操作跨越的信任边界的工具调用图。每个会话中跨应用调用的激增。智能体发起的指向先前对话历史中不存在的接收者的外发通信。 ## 与MITRE ATLAS、OWASP LLM Top 10、NIST AI RMF的关系 EKC是对现有AI安全框架的补充。它不替代其中任何一个。 ATLAS是最接近的比较对象。ATLAS是仿照ATT&CK构建的敌手战术矩阵,作为AI系统的平行分类法。截至v5.4.0(2026年2月),它包含16个战术、84个技术、56个子技术、32个缓解措施和42个案例研究。对本框架的相关演进:v4.9.0(2025年4月)添加了命令与控制(AML.TA0014),v5.1.0(2025年11月)添加了横向移动(AML.TA0015)。ATLAS组织为矩阵。EKC提供了相同威胁面的杀伤链顺序视图。大多数EKC子技术映射到一个或多个ATLAS技术;参见 [`mappings/mitre-atlas-mapping.md`](./mappings/mitre-atlas-mapping.md)。两者都用:EKC供以杀伤链阶段推理的防御者使用,ATLAS供以战术-技术矩阵推理的红队队员和威胁情报分析师使用。 OWASP LLM应用Top 10(2025),由OWASP GenAI安全项目于2024年11月发布,是面向应用开发者的风险优先级列表。其十个类别是:提示词注入(LLM01)、敏感信息泄露(LLM02)、供应链(LLM03)、数据和模型投毒(LLM04)、不当输出处理(LLM05)、过度代理(LLM06)、系统提示词泄露(LLM07)、向量和嵌入弱点(LLM08)、错误信息(LLM09)和无限制消耗(LLM10)。该列表按风险类别组织。它没有指定在攻击的哪个阶段利用每个风险。EKC的映射文件(`mappings/owasp-llm-mapping.md`)提供了该视图:每个OWASP类别映射到漏洞变得可操作的EKC阶段。 NIST AI风险管理框架(AI RMF 1.0)在不同层面运作。它为AI风险提供了四个治理功能(治理、映射、度量、管理)。相关的生成式AI配置文件(NIST AI 600-1,2024年7月)列出了针对生成式AI的十二个风险类别,超过200条建议措施。这些是程序性风险管理框架,不是敌手模型。EKC提供了NIST RMF的映射和度量功能在操作上完整所需的敌手侧细节。 ATT&CK仍然是非AI网络作战的标准敌手战术框架。EKC的阶段1到7与这些阶段使用的ATT&CK技术完全兼容。EKC在此兼容性基础上添加了AI特定的子技术,而不试图替代ATT&CK对经典敌手行为的覆盖。 ## 案例研究 [`examples/case-studies.md`](./examples/case-studies.md) 演示了四个场景贯穿杀伤链的端到端过程: 1. 浏览智能体的间接提示词注入。一个公共网页包含劫持智能体工具使用行为以泄露用户打开标签页内容的指令。 2. MCP服务器泄露。发布到公共注册表的第三方MCP服务器在其工具描述中包含后门,当下游智能体查询特定主题时触发。 3. 企业助手的RAG语料库投毒。攻击者提交一个支持工单,其内容被摄入公司的RAG语料库,随后被内部助手检索,导致其泄露敏感配置。 4. 针对专有领域模型的基于API的模型提取。竞争对手使用经过身份验证的API访问大规模查询微调的领域模型,训练一个复制其大部分行为的代理模型。 每个案例研究将观察到的敌手行为映射到特定的EKC子技术ID,并识别最早暴露该活动的检测信号。 ## 检测与缓解指导 杀伤链破坏逻辑得以延续。阻断一个阶段,就阻断了整条链。防御团队应将控制措施分散到各个阶段,而不是集中在一个点上。 按阶段划分的最高杠杆控制措施: - **阶段0。** 模型物料清单。签名工件。注册表锁定。定期后门探测。 - **阶段1。** 提示词流量行为分析。系统提示词中的金丝雀令牌。对探测式查询的速率限制。 - **阶段2和3。** 对每个不受信任的入站内容流进行间接注入检测:网页、电子邮件、RAG语料库、MCP工具描述、多模态输入。 - **阶段4。** 工具调用参数溯源跟踪。任何参数源自不可信文本的工具调用默认视为高风险。 - **阶段5。** 记忆写入审计跟踪。系统提示词和存储技能的变更控制。MCP端点的证明。 - **阶段6。** 对话图分析以暴露反复出现的指令来源。智能体间字段的熵分析。 - **阶段7a。** 经典DLP、监控、分段。 - **阶段7b。** 查询模式分析。红队套件中的记忆探测。模型输出的水印。 - **阶段7c。** 每个工具的影响半径限制。高影响力工具的“人在回路”。身份传播审查:下游系统是否知道它代表智能体而非用户执行操作? ## 原创性声明 本框架的贡献是先前工作所没有的: 1. 将AI时代威胁与洛克希德·马丁模型进行杀伤链顺序的整合。防御团队围绕其建立运营超过十年流和阶段破坏逻辑得以保留。MITRE ATLAS、OWASP LLM Top 10和NIST AI RMF都组织为矩阵或风险优先级列表;没有一个是杀伤链。 2. 阶段0(模型供应链泄露)作为单一预攻击阶段。训练数据投毒、微调后门、恶意模型和适配器分发以及工具目录泄露在此整合到一个位于标准七阶段之前的顺序阶段中。ATLAS将等效技术分布在资源开发、初始访问和ML模型访问战术中。单阶段框架化是贡献。 3. 阶段7拆分为三个并行子阶段。模型提取(7b)和智能体横向移动(7c)作为经典数据泄露(7a)旁边的一流敌手目标被命名,位于目标行动阶段内。这支持已经沿着七阶段主干运行的SOC剧本设计。 4. `EKC-x.y` 子技术ID方案。这些ID设计为可在检测规则、威胁报告和SOC文档中引用,并与MITRE ATLAS技术和OWASP LLM Top 10类别存在一对多的交叉引用。 5. 贯穿始终的防御者视角。该框架针对检测工程和SOC使用进行了优化,其中杀伤链阶段是分析单位,而不是更适合矩阵形式的红队分类法或风险分类用例。 该框架建立在洛克希德·马丁网络杀伤链(Hutchins, Cloppert, and Amin, 2011)和Nagar and Kumar(2025)的操作论述之上。原始的七阶段结构保持不变。ATLAS和OWASP LLM Top 10保持不变。这是为那些已经使用这些术语工作的受众提供的相同威胁面的杀伤链视图。 ## 如何引用 推荐引用格式(APA): BibTeX: ``` @misc{nagar2026extendedkillchain, author = {Nagar, Gourav}, title = {Extended Cyber Kill Chain for {AI}-Era Threats}, year = {2026}, month = {5}, version = {1.0}, publisher = {Zenodo}, doi = {10.5281/zenodo.20349357}, url = {https://doi.org/10.5281/zenodo.20349357}, howpublished = {\url{https://doi.org/10.5281/zenodo.20349357}}, note = {Extends the kill-chain treatment in Nagar and Kumar (2025), Cyber Security Kill Chain: Tactics and Strategies, Packt Publishing.} } ``` 仓库中的 `CITATION.cff` 文件驱动GitHub的“引用此仓库”按钮。Zenodo DOI [10.5281/zenodo.20349357](https://doi.org/10.5281/zenodo.20349357) 是v1.0的概念DOI;后续的标记版本将在同一概念下铸造各自的版本DOI。 ## 参考文献 - Hutchins, E. M., Cloppert, M. J., & Amin, R. M. (2011). Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains. *Leading Issues in Information Warfare & Security Research*, 1(1), 80. - Nagar, G., & Kumar, S. (2025). *Cyber Security Kill Chain: Tactics and Strategies. Breaking down the cyberattack process and responding to threats* (Foreword by Rohit Ghai). Packt Publishing. ISBN 978-1-83546-609-4. - MITRE Corporation. (2026). *MITRE ATLAS: Adversarial Threat Landscape for Artificial-Intelligence Systems* (v5.4.0). https://atlas.mitre.org/ - OWASP Foundation. (2024). *OWASP Top 10 for LLM Applications 2025*. OWASP GenAI Security Project. https://genai.owasp.org/resource/owasp-top-10-for-llm-applications-2025/ - National Institute of Standards and Technology. (2023). *Artificial Intelligence Risk Management Framework (AI RMF 1.0)* (NIST AI 100-1). https://doi.org/10.6028/NIST.AI.100-1 - National Institute of Standards and Technology. (2024). *Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile* (NIST AI 600-1). https://doi.org/10.6028/NIST.AI.600-1 - Greshake, K., Abdelnabi, S., Mishra, S., Endres, C., Holz, T., & Fritz, M. (2023). Not what you've signed up for: Compromising real-world LLM-integrated applications with indirect prompt injection. *Proceedings of the 16th ACM Workshop on Artificial Intelligence and Security* (AISec '23), 79-90. - Carlini, N., Tramèr, F., Wallace, E., Jagielski, M., Herbert-Voss, A., Lee, K., Roberts, A., Brown, T., Song, D., Erlingsson, Ú., Oprea, A., & Raffel, C. (2021). Extracting training data from large language models. *30th USENIX Security Symposium*, 2633-2650. - Hubinger, E., et al. (2024). Sleeper agents: Training deceptive LLMs that persist through safety training. *arXiv preprint arXiv:2401.05566*. - Tramèr, F., Zhang, F., Juels, A., Reiter, M. K., & Ristenpart, T. (2016). Stealing machine learning models via prediction APIs. *25th USENIX Security Symposium*, 601-618. ## 许可证 本作品采用[知识共享署名 4.0 国际许可证](./LICENSE)。您可以自由地为任何目的(包括商业用途)分享和改编它,只需使用上面的引用块进行署名。 ## 作者 版本1.0。发布于2026年5月19日。维护于 https://github.com/gouravnagar-infosec/ai-kill-chain。
Model Supply
Chain Compromise
NEW"]:::new S1["Stage 1
Reconnaissance
AI-augmented"]:::mod S2["Stage 2
Weaponization
AI-augmented"]:::mod S3["Stage 3
Delivery
AI-augmented"]:::mod S4["Stage 4
Exploitation
AI-augmented"]:::mod S5["Stage 5
Installation
AI-augmented"]:::mod S6["Stage 6
Command & Control
AI-augmented"]:::mod S7["Stage 7
Actions on Objectives
EXPANDED"]:::expanded S7A["7a. Data Exfiltration
classical"]:::expanded S7B["7b. Model Extraction
NEW"]:::new S7C["7c. Agentic Pivot
NEW"]:::new S0 --> S1 --> S2 --> S3 --> S4 --> S5 --> S6 --> S7 S7 --> S7A S7 --> S7B S7 --> S7C classDef new fill:#ffe6e6,stroke:#cc0000,stroke-width:2px,color:#000 classDef mod fill:#fff4d6,stroke:#cc8800,stroke-width:2px,color:#000 classDef expanded fill:#e6f0ff,stroke:#0044cc,stroke-width:2px,color:#000 ``` 红色为新增,黄色为原始但包含AI子技术,蓝色为原始但进行了结构性扩展。 该框架在原始七阶段基础上增加了三件事。一个新的预攻击阶段0位于侦察阶段之前,用于覆盖针对AI供应链的敌手活动。每个原始阶段都增加了自己的AI特定子技术,并带有EKC ID,以便检测规则和威胁报告可以引用它们。阶段7拆分为三个并行子阶段:经典泄露保持为7a,模型提取(7b)和智能体横向移动(7c)紧随其后。这些不是泄露的变体。它们是需要自身控制的独特敌手目标。 ## 逐阶段详细说明 下面的每个阶段规范涵盖四方面。敌手正在做什么。AI特定的子技术(带有`EKC` ID,可在检测规则和威胁报告中引用)。防御者可采取行动的检测信号。缓解措施。 ### 阶段0. 模型供应链泄露(新增) **敌手正在做什么。** 损害模型、数据集、微调适配器或分发渠道,目标组织稍后会将其拉入自身的AI系统。敌手从不接触目标网络。他们将泄露植入供应链并等待。 **子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-0.1 | 训练数据投毒 | 向公共数据集、网络爬取语料库或未来训练运行将摄入的标注流程注入被操纵的示例。 | | EKC-0.2 | 微调后门 | 分发包含隐藏触发器-行为对的微调适配器、LoRA或完整模型检查点。 | | EKC-0.3 | 预训练模型木马 | 将恶意模型发布到公共注册表(Hugging Face、Ollama Library、GitHub),使用合理名称或对真实名称进行拼写错误仿冒。 | | EKC-0.4 | 分词器或预处理操纵 | 更改上游依赖项中的分词、归一化或特征提取代码,以添加隐蔽输入通道。 | | EKC-0.5 | 恶意MCP服务器或工具目录条目 | 发布工具描述、MCP服务器清单或函数定义,旨在被下游智能体调用,并通过工具描述本身的提示词注入来利用它们。 | **检测信号。** - 已部署模型工件中存在来源缺失(无签名清单,无已知训练数据血缘)。 - 今天从注册表拉取的模型与先前日期拉取的相同标识符之间的加密哈希漂移。 - 来自第三方MCP服务器的工具描述包含异常长、指令性文本或非打印字符。 - 使用策展触发套件探测时,已部署模型中出现异常的神经元激活分布。 **主要缓解措施。** - 为每个已部署的模型维护模型物料清单(M-BOM),包括基础模型身份、微调数据哈希和适配器来源。 - 签署并验证模型工件。为注册表托管的模型锁定特定的提交哈希。 - 隔离并沙箱化新添加的MCP服务器。将工具描述视为不可信输入进行审查。 - 使用已发布的基准对已部署的模型进行例行后门触发扫描。 ### 阶段1. 侦察(AI增强) **敌手正在做什么。** 发现目标的AI系统、其功能、防护措施及其连接对象。 **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-1.1 | 模型指纹识别 | 通过响应风格探测、延迟分析或已知答案测试,识别已部署LLM的基础模型、微调系列和版本。 | | EKC-1.2 | 系统提示词枚举 | 使用泄露查询、角色扮演探测或边界案例提示词来恢复系统提示词或其主要约束。 | | EKC-1.3 | 能力和工具枚举 | 发现智能体可访问哪些工具、插件、MCP服务器或函数调用接口。 | | EKC-1.4 | 防护措施映射 | 通过探测拒绝模式并找到绕过分类器的主题、格式或输入形状来映射策略边界。 | | EKC-1.5 | 嵌入和检索表面发现 | 识别系统从哪些检索源读取(向量存储内容、文档语料库、网页抓取域)。 | **检测信号。** 来自单一来源的高熵提示词会话。系统性探索拒绝边界。与已发布的越狱语料库高度匹配的查询。重复请求系统“重复上面的指令”。 **主要缓解措施。** 对每个用户身份的提示词流量进行速率限制和行为聚类。编辑识别性的响应工件。在系统提示词中添加金丝雀令牌,在泄露时触发。将工具枚举限制于经过身份验证、经过审计的调用者。 ### 阶段2. 武器化(AI增强) **敌手正在做什么。** 构建将投递到目标的载荷。 **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-2.1 | 对抗性提示词制作 | 根据阶段1的指纹识别目标模型、防护措施和工具集,构建量身定制的提示词注入载荷。 | | EKC-2.2 | 多模态载荷构建 | 将指令嵌入图像、音频、PDF或多模态模型将解析的结构化文档中。 | | EKC-2.3 | 恶意工具或MCP包 | 构建一个名称和描述看起来良性,但调用时执行攻击者控制动作的工具。 | | EKC-2.4 | 越狱链组装 | 将已知的绕过技术(角色预设、编码技巧、低资源语言转向、结构化角色扮演)组合成单个载荷,以击败多层防护措施。 | | EKC-2.5 | AI生成的多态恶意软件 | 使用模型生成语义等效但词汇多样的恶意软件变体,以逃避基于签名的检测。 | **检测信号。** 入站内容与已知间接注入标记的模式匹配。图像、PDF和音频分析中发现隐写指令。对新注册的MCP包的静态分析。 ### 阶段3. 投递(AI增强) **敌手正在做什么。** 将载荷送达AI系统或其操作者。 **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-3.1 | 通过网页内容的间接提示词注入 | 浏览或网页抓取的智能体检索攻击者控制的包含指令的页面。 | | EKC-3.2 | RAG语料库投毒 | 攻击者提交内容(通过支持工单、公共文档、代码贡献或向量存储摄入),这些内容稍后将作为上下文被LLM检索。 | | EKC-3.3 | 电子邮件或消息传递的注入 | 将指令置于AI助手被配置为读取或总结的电子邮件中。 | | EKC-3.4 | 文档携带的注入 | 将指令置于AI工作流处理的PDF、电子表格或办公文档中。 | | EKC-3.5 | 工具描述投毒 | 将指令置于暴露给智能体的MCP工具或函数定义的描述或模式中。 | | EKC-3.6 | 图像、音频或二维码注入 | 将指令编码在非文本模态中,多模态智能体将处理这些模态。 | **检测信号。** 在不受信任的内容流中发现异常的指令性文本。多模态管道中图像alpha通道和元数据的高熵。检索到的文档内部出现意外的语言转换。 ### 阶段4. 利用(AI增强) **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-4.1 | 直接提示词注入成功 | 面向用户的提示词实现了攻击者的策略违规。 | | EKC-4.2 | 间接提示词注入成功 | 通过阶段3传递的指令在内容被处理时由模型遵循。 | | EKC-4.3 | 混淆代理工具调用 | 模型代表攻击者调用特权工具,使用智能体自身的权限。 | | EKC-4.4 | 防护措施或分类器绕过 | 绕过安全分类器或基于规则的过滤器,从而产生禁止内容或采取禁止操作。 | | EKC-4.5 | 记忆或上下文污染 | 用攻击者控制的内容更新持久记忆存储,这些内容将影响未来的会话。 | **检测信号。** 工具调用的参数源自不可信的输入字符串。输出包含来自系统提示词的金丝雀令牌。单个检索到的文档导致对话状态发生大步偏离。 ### 阶段5. 安装(AI增强) **敌手正在做什么。** 设置持久化,使泄露能够在单个会话后持续存在。 **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-5.1 | 持久记忆植入 | 将内容注入长期记忆、用户偏好存储或每账户上下文中,这些将在未来的会话中重新加载。 | | EKC-5.2 | 系统提示词覆盖 | 修改自定义GPT、助手配置或智能体定义,以在其系统提示词中嵌入攻击者指令。 | | EKC-5.3 | 恶意连接器安装 | 促使用户或管理员安装攻击者控制的MCP服务器、插件或浏览器扩展,为攻击者提供持久立足点。 | | EKC-5.4 | RAG语料库持久化 | 确保受污染的文档在重新索引操作后保留在向量存储中。 | | EKC-5.5 | 存储技能或工作流污染 | 修改智能体将按计划或按需加载和执行的存储技能、自动化流程或保存的工作流。 | **检测信号。** 记忆存储中出现无法归因于合法用户操作的新条目。未经授权更改系统提示词、自定义GPT或保存的技能。新注册的MCP端点。向量存储摄入事件发生在预期管道之外。 ### 阶段6. 命令与控制(AI增强) **敌手正在做什么。** 维持一个交互式或计划性通道,使他们能够指导进一步的活动。 AI智能体引入了新的C2通道。ATLAS现在涵盖其中一些(例如,AI服务API AML.T0096;SesameOp案例研究AML.CS0042记录了OpenAI Assistants API被用作C2基础设施)。下面的子技术将相同现象组织为杀伤链阶段。 **AI增强子技术。** | ID | 子技术 | 描述 | |----|--------|------| | EKC-6.1 | LLM通道作为C2 | 在看似良性的用户提示词、检索到的文档或工具输出中编码命令,智能体按计划读取。 | | EKC-6.2 | 记忆介导的C2 | 使用智能体的长期记忆存储作为死信箱。攻击者通过一个入口点向记忆写入指令,智能体通过另一个入口点执行它们。 | | EKC-6.3 | RAG介导的C2 | 更新向量存储中受污染的文档以传递新指令。智能体在下一次相关查询时检索它们。 | | EKC-6.4 | 工具输出C2 | 受损的MCP服务器在每次调用时返回包含指令的响应,引导智能体的后续行为。 | | EKC-6.5 | 跨会话隐写C2 | 在智能体跨会话传递的字段(用户笔记、项目描述、工单评论)中编码命令载荷,因为每个片段单独看起来无害,从而逃避内容分类。 | **检测信号。** 对话图分析显示指令反复来自同一检索源。外部工具的输出包含与工具记录用途不一致的命令式语言。智能体间字段的熵分析。 ### 阶段7. 目标行动(扩展) **敌手正在做什么。** 实现任务目标。阶段7拆分为三个并行子阶段,因为AI系统使得之前不存在为一流目标的两个新类别目标变得可行。 #### 子阶段7a. 数据泄露(经典) 传统杀伤链的目标行动。敏感数据被泄露。系统被破坏、加密或破坏。实施欺诈。AI没有从质上改变这一子阶段。它通过更便宜的钓鱼、自动化侦察和更快的社会工程循环放大了规模。 #### 子阶段7b. 模型提取(新增) 目标是模型本身、其中的数据或其中编码的知识。 | ID | 子技术 | 描述 | |----|--------|------| | EKC-7b.1 | 基于API的模型提取 | 通过大规模查询并训练代理模型,重建已部署模型的权重或决策边界的近似值。 | | EKC-7b.2 | 训练数据提取 | 通过针对记忆的提示词,恢复逐字或接近逐字的训练示例,包括敏感PII或专有内容。 | | EKC-7b.3 | 成员推理 | 确定特定记录是否在训练集中。对隐私法规和保密性具有下游影响。 | | EKC-7b.4 | 系统提示词和指令提取 | 恢复编码业务逻辑、定价规则或竞争定位的专有系统提示词。 | | EKC-7b.5 | 能力挖掘 | 使用已部署模型执行攻击者自身基础设施无法执行的任务。访问权限成为能力转移。 | **检测信号。** 来自单一身份的大量程序化查询模式,特别是查询模板低熵而输入高熵的情况。包含经典记忆探测的查询(“重复上面的文本”)。查询分布类似于已发布的提取攻击。 #### 子阶段7c. 智能体横向移动(新增) 受损的AI智能体被用于在连接的系统中执行操作,使用其自身的合法权限。机制上:无漏洞利用代码,无凭据重用,无权限提升。仅调用带有攻击者影响参数的授权工具。ATLAS在v5.1.0(2025年11月)中增加了横向移动战术(AML.TA0015)来应对相同现象。此处的贡献是将智能体横向移动变体放入杀伤链的目标行动阶段内,作为经典泄露的并列项,而不是作为矩阵中较早出现的独立战术。 | ID | 子技术 | 描述 | |----|--------|------| | EKC-7c.1 | 工具介导的横向操作 | 智能体代表攻击者调用合法工具(发送邮件、写入文件、创建工单、授权付款)。 | | EKC-7c.2 | 跨应用横向移动 | 智能体通过链接工具调用,从一个连接的应用移动到另一个(从日历到CRM再到支付处理器)。 | | EKC-7c.3 | 身份混淆攻击 | 智能体在以下上下文中执行操作:下游系统将其操作视为特权用户的操作,授予攻击者并不直接持有的权限。 | | EKC-7c.4 | 递归智能体滥用 | 受损的智能体调用其他智能体,在智能体组织中传播泄露,无需经典的横向移动。 | | EKC-7c.5 | 工作流武器化 | 存储的自动化流程或计划工作流定期执行攻击者预期的操作。 | **检测信号。** 工具调用的参数包含可追溯到不可信上游源的内容。跨越无人类操作跨越的信任边界的工具调用图。每个会话中跨应用调用的激增。智能体发起的指向先前对话历史中不存在的接收者的外发通信。 ## 与MITRE ATLAS、OWASP LLM Top 10、NIST AI RMF的关系 EKC是对现有AI安全框架的补充。它不替代其中任何一个。 ATLAS是最接近的比较对象。ATLAS是仿照ATT&CK构建的敌手战术矩阵,作为AI系统的平行分类法。截至v5.4.0(2026年2月),它包含16个战术、84个技术、56个子技术、32个缓解措施和42个案例研究。对本框架的相关演进:v4.9.0(2025年4月)添加了命令与控制(AML.TA0014),v5.1.0(2025年11月)添加了横向移动(AML.TA0015)。ATLAS组织为矩阵。EKC提供了相同威胁面的杀伤链顺序视图。大多数EKC子技术映射到一个或多个ATLAS技术;参见 [`mappings/mitre-atlas-mapping.md`](./mappings/mitre-atlas-mapping.md)。两者都用:EKC供以杀伤链阶段推理的防御者使用,ATLAS供以战术-技术矩阵推理的红队队员和威胁情报分析师使用。 OWASP LLM应用Top 10(2025),由OWASP GenAI安全项目于2024年11月发布,是面向应用开发者的风险优先级列表。其十个类别是:提示词注入(LLM01)、敏感信息泄露(LLM02)、供应链(LLM03)、数据和模型投毒(LLM04)、不当输出处理(LLM05)、过度代理(LLM06)、系统提示词泄露(LLM07)、向量和嵌入弱点(LLM08)、错误信息(LLM09)和无限制消耗(LLM10)。该列表按风险类别组织。它没有指定在攻击的哪个阶段利用每个风险。EKC的映射文件(`mappings/owasp-llm-mapping.md`)提供了该视图:每个OWASP类别映射到漏洞变得可操作的EKC阶段。 NIST AI风险管理框架(AI RMF 1.0)在不同层面运作。它为AI风险提供了四个治理功能(治理、映射、度量、管理)。相关的生成式AI配置文件(NIST AI 600-1,2024年7月)列出了针对生成式AI的十二个风险类别,超过200条建议措施。这些是程序性风险管理框架,不是敌手模型。EKC提供了NIST RMF的映射和度量功能在操作上完整所需的敌手侧细节。 ATT&CK仍然是非AI网络作战的标准敌手战术框架。EKC的阶段1到7与这些阶段使用的ATT&CK技术完全兼容。EKC在此兼容性基础上添加了AI特定的子技术,而不试图替代ATT&CK对经典敌手行为的覆盖。 ## 案例研究 [`examples/case-studies.md`](./examples/case-studies.md) 演示了四个场景贯穿杀伤链的端到端过程: 1. 浏览智能体的间接提示词注入。一个公共网页包含劫持智能体工具使用行为以泄露用户打开标签页内容的指令。 2. MCP服务器泄露。发布到公共注册表的第三方MCP服务器在其工具描述中包含后门,当下游智能体查询特定主题时触发。 3. 企业助手的RAG语料库投毒。攻击者提交一个支持工单,其内容被摄入公司的RAG语料库,随后被内部助手检索,导致其泄露敏感配置。 4. 针对专有领域模型的基于API的模型提取。竞争对手使用经过身份验证的API访问大规模查询微调的领域模型,训练一个复制其大部分行为的代理模型。 每个案例研究将观察到的敌手行为映射到特定的EKC子技术ID,并识别最早暴露该活动的检测信号。 ## 检测与缓解指导 杀伤链破坏逻辑得以延续。阻断一个阶段,就阻断了整条链。防御团队应将控制措施分散到各个阶段,而不是集中在一个点上。 按阶段划分的最高杠杆控制措施: - **阶段0。** 模型物料清单。签名工件。注册表锁定。定期后门探测。 - **阶段1。** 提示词流量行为分析。系统提示词中的金丝雀令牌。对探测式查询的速率限制。 - **阶段2和3。** 对每个不受信任的入站内容流进行间接注入检测:网页、电子邮件、RAG语料库、MCP工具描述、多模态输入。 - **阶段4。** 工具调用参数溯源跟踪。任何参数源自不可信文本的工具调用默认视为高风险。 - **阶段5。** 记忆写入审计跟踪。系统提示词和存储技能的变更控制。MCP端点的证明。 - **阶段6。** 对话图分析以暴露反复出现的指令来源。智能体间字段的熵分析。 - **阶段7a。** 经典DLP、监控、分段。 - **阶段7b。** 查询模式分析。红队套件中的记忆探测。模型输出的水印。 - **阶段7c。** 每个工具的影响半径限制。高影响力工具的“人在回路”。身份传播审查:下游系统是否知道它代表智能体而非用户执行操作? ## 原创性声明 本框架的贡献是先前工作所没有的: 1. 将AI时代威胁与洛克希德·马丁模型进行杀伤链顺序的整合。防御团队围绕其建立运营超过十年流和阶段破坏逻辑得以保留。MITRE ATLAS、OWASP LLM Top 10和NIST AI RMF都组织为矩阵或风险优先级列表;没有一个是杀伤链。 2. 阶段0(模型供应链泄露)作为单一预攻击阶段。训练数据投毒、微调后门、恶意模型和适配器分发以及工具目录泄露在此整合到一个位于标准七阶段之前的顺序阶段中。ATLAS将等效技术分布在资源开发、初始访问和ML模型访问战术中。单阶段框架化是贡献。 3. 阶段7拆分为三个并行子阶段。模型提取(7b)和智能体横向移动(7c)作为经典数据泄露(7a)旁边的一流敌手目标被命名,位于目标行动阶段内。这支持已经沿着七阶段主干运行的SOC剧本设计。 4. `EKC-x.y` 子技术ID方案。这些ID设计为可在检测规则、威胁报告和SOC文档中引用,并与MITRE ATLAS技术和OWASP LLM Top 10类别存在一对多的交叉引用。 5. 贯穿始终的防御者视角。该框架针对检测工程和SOC使用进行了优化,其中杀伤链阶段是分析单位,而不是更适合矩阵形式的红队分类法或风险分类用例。 该框架建立在洛克希德·马丁网络杀伤链(Hutchins, Cloppert, and Amin, 2011)和Nagar and Kumar(2025)的操作论述之上。原始的七阶段结构保持不变。ATLAS和OWASP LLM Top 10保持不变。这是为那些已经使用这些术语工作的受众提供的相同威胁面的杀伤链视图。 ## 如何引用 推荐引用格式(APA): BibTeX: ``` @misc{nagar2026extendedkillchain, author = {Nagar, Gourav}, title = {Extended Cyber Kill Chain for {AI}-Era Threats}, year = {2026}, month = {5}, version = {1.0}, publisher = {Zenodo}, doi = {10.5281/zenodo.20349357}, url = {https://doi.org/10.5281/zenodo.20349357}, howpublished = {\url{https://doi.org/10.5281/zenodo.20349357}}, note = {Extends the kill-chain treatment in Nagar and Kumar (2025), Cyber Security Kill Chain: Tactics and Strategies, Packt Publishing.} } ``` 仓库中的 `CITATION.cff` 文件驱动GitHub的“引用此仓库”按钮。Zenodo DOI [10.5281/zenodo.20349357](https://doi.org/10.5281/zenodo.20349357) 是v1.0的概念DOI;后续的标记版本将在同一概念下铸造各自的版本DOI。 ## 参考文献 - Hutchins, E. M., Cloppert, M. J., & Amin, R. M. (2011). Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains. *Leading Issues in Information Warfare & Security Research*, 1(1), 80. - Nagar, G., & Kumar, S. (2025). *Cyber Security Kill Chain: Tactics and Strategies. Breaking down the cyberattack process and responding to threats* (Foreword by Rohit Ghai). Packt Publishing. ISBN 978-1-83546-609-4. - MITRE Corporation. (2026). *MITRE ATLAS: Adversarial Threat Landscape for Artificial-Intelligence Systems* (v5.4.0). https://atlas.mitre.org/ - OWASP Foundation. (2024). *OWASP Top 10 for LLM Applications 2025*. OWASP GenAI Security Project. https://genai.owasp.org/resource/owasp-top-10-for-llm-applications-2025/ - National Institute of Standards and Technology. (2023). *Artificial Intelligence Risk Management Framework (AI RMF 1.0)* (NIST AI 100-1). https://doi.org/10.6028/NIST.AI.100-1 - National Institute of Standards and Technology. (2024). *Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile* (NIST AI 600-1). https://doi.org/10.6028/NIST.AI.600-1 - Greshake, K., Abdelnabi, S., Mishra, S., Endres, C., Holz, T., & Fritz, M. (2023). Not what you've signed up for: Compromising real-world LLM-integrated applications with indirect prompt injection. *Proceedings of the 16th ACM Workshop on Artificial Intelligence and Security* (AISec '23), 79-90. - Carlini, N., Tramèr, F., Wallace, E., Jagielski, M., Herbert-Voss, A., Lee, K., Roberts, A., Brown, T., Song, D., Erlingsson, Ú., Oprea, A., & Raffel, C. (2021). Extracting training data from large language models. *30th USENIX Security Symposium*, 2633-2650. - Hubinger, E., et al. (2024). Sleeper agents: Training deceptive LLMs that persist through safety training. *arXiv preprint arXiv:2401.05566*. - Tramèr, F., Zhang, F., Juels, A., Reiter, M. K., & Ristenpart, T. (2016). Stealing machine learning models via prediction APIs. *25th USENIX Security Symposium*, 601-618. ## 许可证 本作品采用[知识共享署名 4.0 国际许可证](./LICENSE)。您可以自由地为任何目的(包括商业用途)分享和改编它,只需使用上面的引用块进行署名。 ## 作者 版本1.0。发布于2026年5月19日。维护于 https://github.com/gouravnagar-infosec/ai-kill-chain。
标签:agentic AI威胁, AI安全框架, AI时代威胁, AI模型保护, C2, Cyber Kill Chain, 人工智能安全, 供应链攻击, 合规性, 威胁建模, 威胁链分析, 数据窃取, 模型供应链安全, 模型提取, 网络安全, 隐私保护