McLaren team boss Andrea Stella has offered an early assessment of the pecking order in the build-up to the 2026 season, arguing that Ferrari and Mercedes appear to be the most competitive outfits as things stand.
Alpine have created a “much better” car for the upcoming season and F1’s overhauled regulations, according to Managing Director Steve Nielsen, who has also noted “big gains” with their new Mercedes power unit.
Attacks against modern generative artificial intelligence (AI) large language models (LLMs) pose a real threat. Yet discussions around these attacks and their potential defenses are dangerously myopic. The dominant narrative focuses on “prompt injection,” a set of techniques to embed instructions into inputs to LLM intended to perform malicious activity. This term suggests a simple, singular vulnerability. This framing obscures a more complex and dangerous reality. Attacks on LLM-based systems have evolved into a distinct class of malware execution mechanisms, which we term “promptware.” In a new paper, we, the authors, propose a structured seven-step “promptware kill chain” to provide policymakers and security practitioners with the necessary vocabulary and framework to address the escalating AI threat landscape.
In our model, the promptware kill chain begins with Initial Access. This is where the malicious payload enters the AI system. This can happen directly, where an attacker types a malicious prompt into the LLM application, or, far more insidiously, through “indirect prompt injection.” In the indirect attack, the adversary embeds malicious instructions in content that the LLM retrieves (obtains in inference time), such as a web page, an email, or a shared document. As LLMs become multimodal (capable of processing various input types beyond text), this vector expands even further; malicious instructions can now be hidden inside an image or audio file, waiting to be processed by a vision-language model.
The fundamental issue lies in the architecture of LLMs themselves. Unlike traditional computing systems that strictly separate executable code from user data, LLMs process all input—whether it is a system command, a user’s email, or a retrieved document—as a single, undifferentiated sequence of tokens. There is no architectural boundary to enforce a distinction between trusted instructions and untrusted data. Consequently, a malicious instruction embedded in a seemingly harmless document is processed with the same authority as a system command.
But prompt injection is only the Initial Access step in a sophisticated, multistage operation that mirrors traditional malware campaigns such as Stuxnet or NotPetya.
Once the malicious instructions are inside material incorporated into the AI’s learning, the attack transitions to Privilege Escalation, often referred to as “jailbreaking.” In this phase, the attacker circumvents the safety training and policy guardrails that vendors such as OpenAI or Google have built into their models. Through techniques analogous to social engineering—convincing the model to adopt a persona that ignores rules—to sophisticated adversarial suffixes in the prompt or data, the promptware tricks the model into performing actions it would normally refuse. This is akin to an attacker escalating from a standard user account to administrator privileges in a traditional cyberattack; it unlocks the full capability of the underlying model for malicious use.
Following privilege escalation comes Reconnaissance. Here, the attack manipulates the LLM to reveal information about its assets, connected services, and capabilities. This allows the attack to advance autonomously down the kill chain without alerting the victim. Unlike reconnaissance in classical malware, which is performed typically before the initial access, promptware reconnaissance occurs after the initial access and jailbreaking components have already succeeded. Its effectiveness relies entirely on the victim model’s ability to reason over its context, and inadvertently turns that reasoning to the attacker’s advantage.
Fourth: the Persistence phase. A transient attack that disappears after one interaction with the LLM application is a nuisance; a persistent one compromises the LLM application for good. Through a variety of mechanisms, promptware embeds itself into the long-term memory of an AI agent or poisons the databases the agent relies on. For instance, a worm could infect a user’s email archive so that every time the AI summarizes past emails, the malicious code is re-executed.
The Command-and-Control (C2) stage relies on the established persistence and dynamic fetching of commands by the LLM application in inference time from the internet. While not strictly required to advance the kill chain, this stage enables the promptware to evolve from a static threat with fixed goals and scheme determined at injection time into a controllable trojan whose behavior can be modified by an attacker.
The sixth stage, Lateral Movement, is where the attack spreads from the initial victim to other users, devices, or systems. In the rush to give AI agents access to our emails, calendars, and enterprise platforms, we create highways for malware propagation. In a “self-replicating” attack, an infected email assistant is tricked into forwarding the malicious payload to all contacts, spreading the infection like a computer virus. In other cases, an attack might pivot from a calendar invite to controlling smart home devices or exfiltrating data from a connected web browser. The interconnectedness that makes these agents useful is precisely what makes them vulnerable to a cascading failure.
Finally, the kill chain concludes with Actions on Objective. The goal of promptware is not just to make a chatbot say something offensive; it is often to achieve tangible malicious outcomes through data exfiltration, financial fraud, or even physical world impact. There are examples of AI agents being manipulated into selling cars for a single dollar or transferring cryptocurrency to an attacker’s wallet. Most alarmingly, agents with coding capabilities can be tricked into executing arbitrary code, granting the attacker total control over the AI’s underlying system. The outcome of this stage determines the type of malware executed by promptware, including infostealer, spyware, and cryptostealer, among others.
The kill chain was already demonstrated. For example, in the research “Invitation Is All You Need,” attackers achieved initial access by embedding a malicious prompt in the title of a Google Calendar invitation. The prompt then leveraged an advanced technique known as delayed tool invocation to coerce the LLM into executing the injected instructions. Because the prompt was embedded in a Google Calendar artifact, it persisted in the long-term memory of the user’s workspace. Lateral movement occurred when the prompt instructed the Google Assistant to launch the Zoom application, and the final objective involved covertly livestreaming video of the unsuspecting user who had merely asked about their upcoming meetings. C2 and reconnaissance weren’t demonstrated in this attack.
Similarly, the “Here Comes the AI Worm” research demonstrated another end-to-end realization of the kill chain. In this case, initial access was achieved via a prompt injected into an email sent to the victim. The prompt employed a role-playing technique to compel the LLM to follow the attacker’s instructions. Since the prompt was embedded in an email, it likewise persisted in the long-term memory of the user’s workspace. The injected prompt instructed the LLM to replicate itself and exfiltrate sensitive user data, leading to off-device lateral movement when the email assistant was later asked to draft new emails. These emails, containing sensitive information, were subsequently sent by the user to additional recipients, resulting in the infection of new clients and a sublinear propagation of the attack. C2 and reconnaissance weren’t demonstrated in this attack.
The promptware kill chain gives us a framework for understanding these and similar attacks; the paper characterizes dozens of them. Prompt injection isn’t something we can fix in current LLM technology. Instead, we need an in-depth defensive strategy that assumes initial access will occur and focuses on breaking the chain at subsequent steps, including by limiting privilege escalation, constraining reconnaissance, preventing persistence, disrupting C2, and restricting the actions an agent is permitted to take. By understanding promptware as a complex, multistage malware campaign, we can shift from reactive patching to systematic risk management, securing the critical systems we are so eager to build.
This essay was written with Oleg Brodt, Elad Feldman and Ben Nassi, and originally appeared in Lawfare.
DEN HAAG (ANP) - Staatssecretaris Sandra Palmen (Herstel Toeslagen) verwacht niet dat haar werk als onderdeel van het minderheidskabinet heel anders wordt dan in het voorgaande demissionaire kabinet. "Als ik kijk naar alle partijen in de Kamer, dan zie je dat mensen graag willen dat dit opgelost wordt," zei ze na haar gesprek met formateur Rob Jetten.
Palmen is de enige partijloze bewindspersoon in het aanstaande kabinet van D66, VVD en CDA. Ze voelt zich bij geen van de drie meer betrokken dan bij de anderen. "Ik blijf me 'partij voor de ouders' noemen," zei ze, verwijzend naar de duizenden ouders die vanwege de toeslagenaffaire in grote problemen zijn gekomen.
Palmen kwam als NSC-staatssecretaris in het kabinet-Schoof en bleef partijloos aan nadat haar partijgenoten in de zomer van 2025 het kabinet verlieten.
MILAAN (ANP) - Shorttrackster Xandra Velzeboer heeft in Milaan haar tweede olympische titel gewonnen. De 24-jarige Nederlandse was maandag de snelste in de finale van de 1000 meter. Donderdag behaalde Velzeboer al goud op de 500 meter.
Eerder won Jens van 't Wout al olympisch goud op de 1000 en 1500 meter. Voor de Nederlandse shorttrackers, die onder leiding staan van bondscoach Niels Kerstholt, zijn het daarmee veruit de meest succesvolle Olympische Spelen ooit.
(Voor de jongere lezers: ooit was karnaval het begin van een periode van 40 dagen van grote soberheid en vasten, in aanloop naar Pasen) Een extreme vorm: 40 dagen water drinken
Artsen als de Duitse diabetoloog Peter Schwarz beschrijven spectaculaire resultaten van strikt watervasten bij mensen met leververvetting en type 2-diabetes: na circa 14 dagen alleen water daalt het vet in lever en alvleesklier sterk, waardoor bloedsuiker verbetert en medicijnen soms (tijdelijk) kunnen worden afgebouwd. In zijn klinische praktijk spreekt hij over meer dan duizend patiënten die onder medische begeleiding zo’n kuur volgden, gecombineerd met dagelijks bewegen. Onderzoek naar langdurig watervasten (meerdere dagen tot weken) laat bovendien duidelijke effecten zien op gewicht, bloeddruk en stofwisseling, mits het gebeurt in een gecontroleerde setting.
De keerzijde van extreem vasten
Juist omdat er tijdens langdurig vasten zoveel in het lichaam gebeurt – dalende bloeddruk, verandering in hartritme, verschuivingen in elektrolyten – waarschuwen verschillende onderzoeksgroepen nadrukkelijk voor doe-het-zelf-experimenten. Studies naar water-only-diëten melden weliswaar vooral milde klachten (hoofdpijn, vermoeidheid, misselijkheid), maar ook ernstiger bijwerkingen zoals verstoringen van de zuurbalans, afwijkende leverwaarden en botontkalking. Cardiometabole experts aan de Universiteit van Sydney vonden onlangs zelfs een toename van ontstekingsmarkers bij langer watervasten, mogelijk ongunstig voor mensen met hart- en vaatziekten. Vrijwel alle serieuze protocollen hanteren daarom strikte selectiecriteria, dagelijkse medische controles en een zorgvuldig opbouwschema bij het hervatten van eten.
Waarom 40 dagen geen goed idee is
Vanuit die context is 14 dagen onder toezicht al een forse interventie; 40 dagen alleen water drinken gaat ver voorbij wat in de medische literatuur als onderzocht en verantwoord wordt beschouwd. Het religieuze voorbeeld van de Bijbelse veertigdagentijd wordt in de praktijk modern ingevuld met symbolisch vasten (minder alcohol, suiker, sociale media), niet met totale calorieonthouding. Ook Schwarz benadrukt dat watervasten wel “evolutionair normaal”, maar mentaal zwaar is en níet geschikt voor iedereen: mensen met eetstoornissen, zwangeren, kinderen en kwetsbare patiënten vallen expliciet af, en medicatie moet vaak worden aangepast. Bovendien blijken de gemeten gezondheidsvoordelen van langdurig vasten na enkele maanden deels weer te verdwijnen als leefstijl niet structureel verandert.
MILAAN (ANP) - De Nederlandse shorttrackmannen hebben zich na twaalf jaar weer geplaatst voor de finale van de olympische aflossing. Jens van 't Wout, Teun Boer, Friso Emons en Itzhak de Laat eindigden in de tweede halve finale in Milaan als tweede, achter Zuid-Korea.
Canada en Italië bereikten ook de finale, die woensdag op het programma staat. Bondscoach Niels Kerstholt kiest daarin vermoedelijk voor Melle van 't Wout, die in de halve finale nog reserve was. Dat gaat dan ten koste van De Laat, die momenteel de minst snelle van de vijf is. Omdat De Laat wel in de halve finale meedeed, krijgt hij wel een olympische medaille, mocht Nederland die winnen.
Na de finaleplaats bij de Spelen van 2014 in Sotsji ging het voor de Nederlandse mannen in zowel 2018 als 2022 mis in de halve finale. Vier jaar geleden lagen Van 't Wout, Sjinkie Knegt, De Laat en Sven Roes lang op koers voor een plek in de eindstrijd, maar liet De Laat zich in de slotronde verrassen.
Val
In 2018 werd het team van de toenmalige bondscoach Jeroen Otter tijdens de halve eindstrijd gediskwalificeerd. Knegt kreeg bij een inhaalactie in de laatste bocht een straf.
Naast de Nederlandse mannen staan ook de Nederlandse vrouwen in de finale van de aflossing. Op de gemengde aflossing grepen de shorttrackers vorige week in Milaan naast een medaille door een val van Xandra Velzeboer.
ANTANANARIVO (ANP/AFP) - De cycloon die afgelopen week over Madagaskar trok heeft zeker 59 doden veroorzaakt, meldt de rampendienst van het Afrikaanse eiland. Vijftien personen worden nog vermist.
Cycloon Gezani kwam vorige week dinsdag aan op Madagaskar en zorgde ervoor dat tienduizenden mensen moesten vluchten. Met name Toamasina werd zwaar getroffen. Dat is met 400.000 inwoners de tweede stad van het land.
De straten van Toamasina liggen nog steeds vol met modder van de overstromingen en puin van ingestorte gebouwen. Zo'n 25.000 huizen zijn verwoest, aldus de rampendienst. 27.000 andere huizen zijn overstroomd. In grote delen is ook geen elektriciteit.
Het Wereldvoedselprogramma van de Verenigde Naties zei eerder al dat de schaal van de verwoesting "overweldigend" is.
We leven in een tijdperk waarin het wantrouwen tegen instituties groeit, online gemeenschappen elkaar versterken in complotdenken en ondertussen ligt het woord ‘doofpot’ in politieke debatten altijd op de loer. Maar volgens nieuw psychologisch onderzoek is dit niet puur een socialemediaprobleem.
Het zit dieper: in onze manier van denken. Waarom complottheorieën zo verleidelijk zijn en feiten weinig helpen. Onder leiding van Adrian Furnham van de Norwegian Business School onderzochten wetenschappers wat complotdenkers geloven en vooral waaróm. Hun studie, die onlangs is gepubliceerd in vakblad Applied Cognitive Psychology, legt een opvallend patroon bloot.
Ambiguïteit
De sterkste voorspeller van complotdenken bleek niet opleiding, leeftijd of intelligentie te zijn, maar een lage tolerantie voor ambiguïteit (dubbelzinnigheid). Dit is het verschijnsel waarbij een woord, zin, tekst of afbeelding op meer dan één manier geïnterpreteerd kan worden. Mensen die slecht tegen onzekerheid kunnen, hebben moeite met complexe en rommelige verklaringen.
De willekeur van het leven maakt hen onrustig. Een complottheorie biedt dan houvast: chaos verandert in een strak verhaal waarin iemand de touwtjes in handen heeft en iemand anders de schuld draagt. Zo’n verhaal is overzichtelijk en krachtig. Het laat de nuance en complexiteit van de werkelijkheid achterwege. Het verhaal is misschien vergezocht, maar het is wel duidelijk.
Onrecht
De tweede doorslaggevende factor is het gevoel dat de wereld fundamenteel onrechtvaardig is. Wie de samenleving ziet als corrupt of gemanipuleerd, vindt in complottheorieën een moreel kader. Als het systeem kapot voelt, is het geruststellend te denken dat een verborgen groep het bewust heeft gesaboteerd.
Deze eigenschappen kwamen vooral naar voren bij jongere mannen, met sterke religieuze overtuigingen en rechts georiënteerde politieke standpunten. Ook zagen onderzoekers vaker een autoritaire inslag: rigide denken en een duidelijk ongemak bij nuance.
Coping
Een intrigerende bijvangst van het onderzoek: complottheorieën zijn niet uitwisselbaar. Iemand kan heilig overtuigd zijn van de ene theorie en een andere belachelijk vinden. Verschillende theorieën vervullen verschillende psychologische behoeften, maar één behoefte overheerst: zekerheid in een onzekere wereld.
Daarom veranderen feiten zelden iemands overtuiging. Complotdenken draait volgens de onderzoekers om coping: omgaan met onzekerheid, onrecht en chaos. Wie dat niet leert verdragen, zal blijven zoeken naar verklaringen, hoe vergezocht ook.
Bron: Applied Cognitive Psychology
MILAAN (ANP) - De shorttrackers starten bij de Olympische Spelen in Milaan in de halve finale van de aflossing met Jens van 't Wout, Teun Boer, Friso Emons en Itzhak de Laat. Melle van 't Wout is reserve.
De Nederlandse ploeg komt in actie in de tweede halve finale en heeft Zuid-Korea, Japan en België als tegenstanders.
NRC tipt de komende tijd vakantiebestemmingen die je kunt bereiken met de trein vanuit Nederland. In deze eerste aflevering over Marseille gidst Clara Sfadj, Marseillaise en oprichter van het reisplatform Les Marseillaises, je door haar stad.
/s3/static.nrc.nl/wp-content/uploads/2026/02/10173327/160226MID_2031492843_roucas-blanc.jpg)
Twee mannen zijn vrijdag opgepakt voor een woningoverval aan de Galvanistraat in Rotterdam-West. Daarbij werd een bewoner bedreigd met een mes. Afgelopen maandag werden beelden van de verdachten getoond in het tv-programma Opsporing Verzocht. Tip die dat opleverde, leidden tot de aanhoudingen.
Lots of donations, but lots of pressure to go with it
Although we're in mid-February, the Linux Mint project just published its January 2026 blog. This could be seen as one sign of the pressure on the creator of this very successful distro: although the post talks about forthcoming improved input localization support and user management, it also discusses the pressures of the project's semi-annual release schedule.…
The maximalist adaptation of the gothic romance shows great interest in production design but very little in character
It does not take long into Wuthering Heights, Emerald Fennell’s adaptation of Emily Brontë’s English lit classic, for one to detect the film-maker’s true faith. It is not to the challenging and beloved gothic novel of emotional repression and inheritance; as with many other cinematic adaptations, Fennell dispenses with the unruly latter half of the book, along with most of its conventions. In Fennell’s emphatically maximalist vision – she has explained that the quotation marks in the film’s marketing are a note of humility, to her singular and limited interpretation – the tortuously connected Cathy (Margot Robbie) and Heathcliff (Jacob Elordi) swoon about the Yorkshire moors in extravagant, anachronistic formalwear, flagrantly unbound by period decorum.
Over three features, the English writer-director has demonstrated a penchant for sticky visuals; arguably the most-discussed scene from 2023’s Saltburn, her discourse-driving sophomore feature, involved the licking of cummy bathwater from the drain. Wuthering Heights is not to be controversially out-soaked. In closeup, sweat beads and drips down a spine; snail slime indolently streaks a window; freshly poured pig blood mucks Cathy’s dress. Desire, less suggested than enforced, stains everything. Early in the film, just after the abrupt ageing of Cathy and Heathcliff from boundless children (played by Charlotte Mellington and Adolescence’s Owen Cooper) to unspecific adults, Elordi’s brooding, beastly Heathcliff catches Robbie’s blonde Cathy, furiously horny after a bit of light voyeurism, pleasuring herself against the windswept rocks. She tries to hide her hand in her dress; he picks her up by the bodice strings, and licks her fingers clean.
Continue reading...