Thomas Hawk posted a photo:
Attacks against modern generative artificial intelligence (AI) large language models (LLMs) pose a real threat. Yet discussions around these attacks and their potential defenses are dangerously myopic. The dominant narrative focuses on “prompt injection,” a set of techniques to embed instructions into inputs to LLM intended to perform malicious activity. This term suggests a simple, singular vulnerability. This framing obscures a more complex and dangerous reality. Attacks on LLM-based systems have evolved into a distinct class of malware execution mechanisms, which we term “promptware.” In a new paper, we, the authors, propose a structured seven-step “promptware kill chain” to provide policymakers and security practitioners with the necessary vocabulary and framework to address the escalating AI threat landscape.
In our model, the promptware kill chain begins with Initial Access. This is where the malicious payload enters the AI system. This can happen directly, where an attacker types a malicious prompt into the LLM application, or, far more insidiously, through “indirect prompt injection.” In the indirect attack, the adversary embeds malicious instructions in content that the LLM retrieves (obtains in inference time), such as a web page, an email, or a shared document. As LLMs become multimodal (capable of processing various input types beyond text), this vector expands even further; malicious instructions can now be hidden inside an image or audio file, waiting to be processed by a vision-language model.
The fundamental issue lies in the architecture of LLMs themselves. Unlike traditional computing systems that strictly separate executable code from user data, LLMs process all input—whether it is a system command, a user’s email, or a retrieved document—as a single, undifferentiated sequence of tokens. There is no architectural boundary to enforce a distinction between trusted instructions and untrusted data. Consequently, a malicious instruction embedded in a seemingly harmless document is processed with the same authority as a system command.
But prompt injection is only the Initial Access step in a sophisticated, multistage operation that mirrors traditional malware campaigns such as Stuxnet or NotPetya.
Once the malicious instructions are inside material incorporated into the AI’s learning, the attack transitions to Privilege Escalation, often referred to as “jailbreaking.” In this phase, the attacker circumvents the safety training and policy guardrails that vendors such as OpenAI or Google have built into their models. Through techniques analogous to social engineering—convincing the model to adopt a persona that ignores rules—to sophisticated adversarial suffixes in the prompt or data, the promptware tricks the model into performing actions it would normally refuse. This is akin to an attacker escalating from a standard user account to administrator privileges in a traditional cyberattack; it unlocks the full capability of the underlying model for malicious use.
Following privilege escalation comes Reconnaissance. Here, the attack manipulates the LLM to reveal information about its assets, connected services, and capabilities. This allows the attack to advance autonomously down the kill chain without alerting the victim. Unlike reconnaissance in classical malware, which is performed typically before the initial access, promptware reconnaissance occurs after the initial access and jailbreaking components have already succeeded. Its effectiveness relies entirely on the victim model’s ability to reason over its context, and inadvertently turns that reasoning to the attacker’s advantage.
Fourth: the Persistence phase. A transient attack that disappears after one interaction with the LLM application is a nuisance; a persistent one compromises the LLM application for good. Through a variety of mechanisms, promptware embeds itself into the long-term memory of an AI agent or poisons the databases the agent relies on. For instance, a worm could infect a user’s email archive so that every time the AI summarizes past emails, the malicious code is re-executed.
The Command-and-Control (C2) stage relies on the established persistence and dynamic fetching of commands by the LLM application in inference time from the internet. While not strictly required to advance the kill chain, this stage enables the promptware to evolve from a static threat with fixed goals and scheme determined at injection time into a controllable trojan whose behavior can be modified by an attacker.
The sixth stage, Lateral Movement, is where the attack spreads from the initial victim to other users, devices, or systems. In the rush to give AI agents access to our emails, calendars, and enterprise platforms, we create highways for malware propagation. In a “self-replicating” attack, an infected email assistant is tricked into forwarding the malicious payload to all contacts, spreading the infection like a computer virus. In other cases, an attack might pivot from a calendar invite to controlling smart home devices or exfiltrating data from a connected web browser. The interconnectedness that makes these agents useful is precisely what makes them vulnerable to a cascading failure.
Finally, the kill chain concludes with Actions on Objective. The goal of promptware is not just to make a chatbot say something offensive; it is often to achieve tangible malicious outcomes through data exfiltration, financial fraud, or even physical world impact. There are examples of AI agents being manipulated into selling cars for a single dollar or transferring cryptocurrency to an attacker’s wallet. Most alarmingly, agents with coding capabilities can be tricked into executing arbitrary code, granting the attacker total control over the AI’s underlying system. The outcome of this stage determines the type of malware executed by promptware, including infostealer, spyware, and cryptostealer, among others.
The kill chain was already demonstrated. For example, in the research “Invitation Is All You Need,” attackers achieved initial access by embedding a malicious prompt in the title of a Google Calendar invitation. The prompt then leveraged an advanced technique known as delayed tool invocation to coerce the LLM into executing the injected instructions. Because the prompt was embedded in a Google Calendar artifact, it persisted in the long-term memory of the user’s workspace. Lateral movement occurred when the prompt instructed the Google Assistant to launch the Zoom application, and the final objective involved covertly livestreaming video of the unsuspecting user who had merely asked about their upcoming meetings. C2 and reconnaissance weren’t demonstrated in this attack.
Similarly, the “Here Comes the AI Worm” research demonstrated another end-to-end realization of the kill chain. In this case, initial access was achieved via a prompt injected into an email sent to the victim. The prompt employed a role-playing technique to compel the LLM to follow the attacker’s instructions. Since the prompt was embedded in an email, it likewise persisted in the long-term memory of the user’s workspace. The injected prompt instructed the LLM to replicate itself and exfiltrate sensitive user data, leading to off-device lateral movement when the email assistant was later asked to draft new emails. These emails, containing sensitive information, were subsequently sent by the user to additional recipients, resulting in the infection of new clients and a sublinear propagation of the attack. C2 and reconnaissance weren’t demonstrated in this attack.
The promptware kill chain gives us a framework for understanding these and similar attacks; the paper characterizes dozens of them. Prompt injection isn’t something we can fix in current LLM technology. Instead, we need an in-depth defensive strategy that assumes initial access will occur and focuses on breaking the chain at subsequent steps, including by limiting privilege escalation, constraining reconnaissance, preventing persistence, disrupting C2, and restricting the actions an agent is permitted to take. By understanding promptware as a complex, multistage malware campaign, we can shift from reactive patching to systematic risk management, securing the critical systems we are so eager to build.
This essay was written with Oleg Brodt, Elad Feldman and Ben Nassi, and originally appeared in Lawfare.
BOEDAPEST (ANP) - Volgens de Hongaarse premier Viktor Orbán en de Amerikaanse buitenlandminister Marco Rubio zijn de betrekkingen tussen hun landen nog nooit zo goed geweest als nu. Orbán sprak tijdens een gezamenlijke persconferentie in Boedapest van een "gouden tijdperk" voor de relatie tussen Hongarije en de Verenigde Staten.
"En hij overdrijft niet", viel Rubio hem bij. "Ik kan me niet voorstellen dat de banden nog nauwer zouden kunnen zijn." Volgens de buitenlandminister komt dat met name door de persoonlijke band tussen Orbán en de Amerikaanse president Donald Trump.
Trump heeft openlijk zijn steun uitgesproken voor Orbán bij de Hongaarse verkiezingen in april. De huidige premier staat achter in de peilingen op de pro-Europese oppositieleider Péter Magyar.
Rubio reisde voor zijn bezoek aan Hongarije al naar Slowakije. Dat land heeft met Robert Fico ook een eurosceptische Trump-aanhanger als leider, net als Orbán.
MILAAN (ANP) - Nederland is bij de Olympische Spelen in het medailleklassement naar de derde plaats gestegen. Dat is in Milaan en Cortina d'Ampezzo de hoogste klassering tot dusver voor TeamNL.
Shorttrackster Xandra Velzeboer won maandag de 1000 meter. Eerder was ze al de beste op de 500 meter. Nederland heeft nu zes gouden medailles, vijf zilveren medailles en één bronzen medaille.
De Verenigde Staten zakken door het goud van Velzeboer voorlopig naar de vierde plek.
Noorwegen leidt het klassement met twaalf keer goud. Gastland Italië neemt de tweede plaats in met acht gouden plakken.
PARIJS (ANP/RTR/AFP) - In Parijs is het Institut du monde arabe doorzocht vanwege het lopende onderzoek naar Jack Lang, voormalig directeur van die cultuurinstelling. De oud-minister van Cultuur zou nauwere banden met de veroordeelde zedendelinquent Jeffrey Epstein hebben onderhouden dan hij eerder had beweerd. Het instituut werd doorzocht terwijl Lang afscheid nam van het personeel.
Begin februari werd een onderzoek ingesteld naar Lang en zijn dochter vanwege verdenkingen van grootschalige fraude en witwassen. Langs naam was 673 keer opgedoken in de zogenoemde Epstein-files. Daaruit kwam naar voren dat mogelijk sprake is van belangenverstrengeling.
Lang bood enkele dagen na de onthullingen zijn ontslag aan en moest zich verantwoorden bij minister van Buitenlandse Zaken Jean-Noël Barrot. Vanwege bedreigingen zou hij politiebescherming krijgen, meldden Franse media eerder deze maand.
Lang ontkent alle aantijgingen.
BRUSSEL (ANP) - Eurocommissaris Dubravka Šuica (Middellandse Zeegebied) reist volgende week naar Washington voor overleg van de zogenoemde vredesraad voor Gaza. Ze zit daar als waarnemer, meldt een commissiewoordvoerder.
De commissie neemt niet deel aan de vredesraad van de Amerikaanse president Donald Trump, benadrukt de woordvoerder. Dat er wel een commissaris bij de vergadering is, is vanwege de "sterke betrokkenheid" die de commissie voelt voor een staakt-het-vuren in Gaza. "We hebben hier een belangrijke rol te spelen", stelt de woordvoerder.
EU-lidstaten Italië, Roemenië en Slowakije zitten ook bij de raad als waarnemers. Hongarije en Bulgarije zeiden eerder te willen deelnemen aan de raad, maar hun rol volgende week is nog onduidelijk.
Veel westerse landen zeggen niet deel te willen nemen aan de raad, omdat die overbodig lijkt vanwege overlapping met de Verenigde Naties. Ook zijn kosten tot wel 1 miljard dollar verbonden aan permanent lidmaatschap van de raad.
DEN HAAG (ANP) - Staatssecretaris Sandra Palmen (Herstel Toeslagen) verwacht niet dat haar werk als onderdeel van het minderheidskabinet heel anders wordt dan in het voorgaande demissionaire kabinet. "Als ik kijk naar alle partijen in de Kamer, dan zie je dat mensen graag willen dat dit opgelost wordt," zei ze na haar gesprek met formateur Rob Jetten.
Palmen is de enige partijloze bewindspersoon in het aanstaande kabinet van D66, VVD en CDA. Ze voelt zich bij geen van de drie meer betrokken dan bij de anderen. "Ik blijf me 'partij voor de ouders' noemen," zei ze, verwijzend naar de duizenden ouders die vanwege de toeslagenaffaire in grote problemen zijn gekomen.
Palmen kwam als NSC-staatssecretaris in het kabinet-Schoof en bleef partijloos aan nadat haar partijgenoten in de zomer van 2025 het kabinet verlieten.
MILAAN (ANP) - Shorttrackster Xandra Velzeboer heeft in Milaan haar tweede olympische titel gewonnen. De 24-jarige Nederlandse was maandag de snelste in de finale van de 1000 meter. Donderdag behaalde Velzeboer al goud op de 500 meter.
Eerder won Jens van 't Wout al olympisch goud op de 1000 en 1500 meter. Voor de Nederlandse shorttrackers, die onder leiding staan van bondscoach Niels Kerstholt, zijn het daarmee veruit de meest succesvolle Olympische Spelen ooit.
(Voor de jongere lezers: ooit was karnaval het begin van een periode van 40 dagen van grote soberheid en vasten, in aanloop naar Pasen) Een extreme vorm: 40 dagen water drinken
Artsen als de Duitse diabetoloog Peter Schwarz beschrijven spectaculaire resultaten van strikt watervasten bij mensen met leververvetting en type 2-diabetes: na circa 14 dagen alleen water daalt het vet in lever en alvleesklier sterk, waardoor bloedsuiker verbetert en medicijnen soms (tijdelijk) kunnen worden afgebouwd. In zijn klinische praktijk spreekt hij over meer dan duizend patiënten die onder medische begeleiding zo’n kuur volgden, gecombineerd met dagelijks bewegen. Onderzoek naar langdurig watervasten (meerdere dagen tot weken) laat bovendien duidelijke effecten zien op gewicht, bloeddruk en stofwisseling, mits het gebeurt in een gecontroleerde setting.
De keerzijde van extreem vasten
Juist omdat er tijdens langdurig vasten zoveel in het lichaam gebeurt – dalende bloeddruk, verandering in hartritme, verschuivingen in elektrolyten – waarschuwen verschillende onderzoeksgroepen nadrukkelijk voor doe-het-zelf-experimenten. Studies naar water-only-diëten melden weliswaar vooral milde klachten (hoofdpijn, vermoeidheid, misselijkheid), maar ook ernstiger bijwerkingen zoals verstoringen van de zuurbalans, afwijkende leverwaarden en botontkalking. Cardiometabole experts aan de Universiteit van Sydney vonden onlangs zelfs een toename van ontstekingsmarkers bij langer watervasten, mogelijk ongunstig voor mensen met hart- en vaatziekten. Vrijwel alle serieuze protocollen hanteren daarom strikte selectiecriteria, dagelijkse medische controles en een zorgvuldig opbouwschema bij het hervatten van eten.
Waarom 40 dagen geen goed idee is
Vanuit die context is 14 dagen onder toezicht al een forse interventie; 40 dagen alleen water drinken gaat ver voorbij wat in de medische literatuur als onderzocht en verantwoord wordt beschouwd. Het religieuze voorbeeld van de Bijbelse veertigdagentijd wordt in de praktijk modern ingevuld met symbolisch vasten (minder alcohol, suiker, sociale media), niet met totale calorieonthouding. Ook Schwarz benadrukt dat watervasten wel “evolutionair normaal”, maar mentaal zwaar is en níet geschikt voor iedereen: mensen met eetstoornissen, zwangeren, kinderen en kwetsbare patiënten vallen expliciet af, en medicatie moet vaak worden aangepast. Bovendien blijken de gemeten gezondheidsvoordelen van langdurig vasten na enkele maanden deels weer te verdwijnen als leefstijl niet structureel verandert.
Een concert van David Byrne is een experimenteel multimedia-event, waarbij de muzikanten met draagbare instrumenten vrij over het podium bewegen. De show schoot van intiem naar uitbundig naar grappig en extravagant. Met een verpletterende climax.
/s3/static.nrc.nl/wp-content/uploads/2026/02/16102510/160226CUL_2031485336_Byrne04.jpg)
Opnieuw goud voor Xandra Velzeboer! De shorttrackster heeft op de 1.000 meter haar tweede gouden medaille binnengehaald.
/s3/static.nrc.nl/wp-content/uploads/2026/02/16125603/160226SPO_2031614153_1.jpg)
Alpine have created a “much better” car for the upcoming season and F1’s overhauled regulations, according to Managing Director Steve Nielsen, who has also noted “big gains” with their new Mercedes power unit.
Files show convicted sex abuser messaged with Ken Starr and others about Kavanaugh accuser Christine Blasey Ford
Jeffrey Epstein sympathized with Brett Kavanaugh during the then-supreme court nominee’s contentious 2018 confirmation and even suggested Republicans should have been harder on Christine Blasey Ford, who had accused Kavanaugh of sexual assault.
Emails and text messages released by the Department of Justice show Epstein was closely monitoring the confirmation and seemed to believe that Ford’s allegation of sexual assault could derail the process.
Continue reading...As her Women’s prize-winning novel heads to the Oscars, we rate the author’s best work – from tales of new motherhood to a life-affirming memoir of mortality
The ghost of a previous lover is always a challenge, particularly if you (mistakenly) believe that she’s actually dead. This is the unenviable situation for Lily, the protagonist of O’Farrell’s second novel, who is swept off her feet by dashing architect Marcus and in short order moves in with him. Lily takes his assurances that her predecessor Sinead is “no longer with us” to mark a more permanent absence; in fact, Sinead has simply been thrown over, and it is in the details of the collapse of her relationship with Marcus that the novel most engages. Hints of the gothic ghost story deepen one of the main takeaways, which is that Marcus consists almost entirely of red flags.
Continue reading...The former Ireland hooker on his rugby family, why Andy Farrell’s side need to rebuild and the physical toll of touring with the Lions
I have known Keith Wood for nearly 30 years and so it’s easy to talk about life and death long before we move on to rugby. But the game always provides context and, last Friday afternoon, the 54-year-old former Lions hooker and Irish captain drove to Cork to watch his youngest son, Tom, play for Ireland against Italy in the Under-20 Six Nations.
The previous weekend Tom made his first-team debut for Munster to match his dad and the grandfather he never met. Gordon Wood played for Munster, as well as Ireland and the Lions, before he died, aged 50, in 1982. Keith was only 10 when that first tragedy occurred but he went on to play for the same three teams as his dad.
Continue reading...The Congo River basin is one of the planet’s most biodiverse ecosystems. But it is also home to a growing population and relentless trade in timber and charcoal
“You can’t be scared of the storms,” says Jean de Dieu Mokuma as the sun sets on the Congo River behind him. “With the current, once your voyage has begun, there is no turning back.” Mokuma, along with his wife Marie-Therese and their two young children, is piloting a cargo of timber downstream lashed on to a precarious raft and tied to a canoe.
Families wake up at dawn on rafts of logs and merchandise that are being transported down the Congo River by boat to Kinshasa, the DRC capital
Continue reading...Foreign minister puts pressure on Emmanuel Macron amid doubts over US’s commitment to European defence
France needs to boost its defence spending to make European self-sufficiency a reality, Germany’s foreign minister has said.
As European powers increasingly acknowledge they may be left on their own for their defence as the transatlantic relationship comes under strain, Johann Wadephul said Paris needed to put its money where its mouth was.
Continue reading...Packed cinemas testify to the allure of Emily Brontë’s tale, even if this latest retelling is not to everyone’s taste
It’s hard to think of any book with a stronger hold on its admirers than Wuthering Heights. Almost 200 years after publication, Emily Brontë’s tale of forbidden love and ruthless revenge inspires a devotion that makes any reinterpretation feel like a personal and proprietary affront.
Into this sea of sensitivities has plunged the director Emerald Fennell, whose new adaptation has become one of the year’s most debated films. Dubbed “50 shades of Brontë”, everything about it has been scrutinised: from the casting of Aussies Margot Robbie and Jacob Elordi as Cathy and Heathcliff to the anachronistic costumes and music, and the overt sexualisation of the plot.
Continue reading...