AI 红队 学院

部署完整的 AI 红队环境，包含本地 LLM（Ollama）、向量数据库和测试工具。包含一个易受攻击的聊天机器人应用程序作为你的第一个目标。

• 使用本地 LLM (Mistral 7B 或 Llama 3) 部署 Ollama
• 设置 ChromaDB 向量数据库
• 部署易受攻击的 AI 聊天机器人应用程序
• 安装并配置 garak、PyRIT 和 promptfoo
• 使用 garak 运行你的第一次自动漏洞扫描
• 使用 MITRE ATLAS 分类法记录发现

攻击一系列逐渐加固的聊天机器人。从未受保护的模型开始，通过受保护的系统进行，并学习系统地发现绕过方法。

• 对未受保护的聊天机器人执行直接 Prompt Injection
• 从"安全"应用程序提取系统提示
• 使用编码技术绕过内容过滤器 (Base64、Unicode 相似字符)
• 执行多轮 Crescendo 攻击
• 使用 garak 自动化越狱发现
• 测试并绕过基于 DeBERTa 的 Prompt Injection 分类器
• 实现进化提示生成以找到新的绕过方法
• 计算并报告不同攻击策略的 ASR

构建然后系统地破坏 RAG 应用程序。投毒其知识库、劫持检索、执行嵌入反演并通过 LLM 泄露数据。

• 使用 ChromaDB 和 LangChain 部署易受攻击的 RAG 应用程序
• 用恶意文档投毒知识库
• 通过投毒的检索上下文执行间接 Prompt Injection
• 执行嵌入反演以从向量恢复源文本
• 演示对向量数据库的成员推断
• 利用语义欺骗操纵搜索结果
• 链接 RAG 投毒与通过 LLM 输出的数据泄露
• 测试未经身份验证的向量数据库访问
• 识别并利用编排框架漏洞

攻击多智能体客户服务系统，其中智能体协作处理请求。破坏一个智能体以影响其他智能体、提升权限并通过工具调用泄露数据。

• 映射多智能体系统架构和信任关系
• 通过 Prompt Injection 执行智能体冒充
• 演示从一个智能体到另一个智能体的越狱传播
• 操纵智能体内存以创建持久后门
• 利用智能体工具访问执行未授权操作
• 通过智能体工具调用执行数据泄露
• 发现和利用激活触发器
• 测试智能体间通信完整性
• 实现并测试零信任防御

模拟对 ML 管道的供应链攻击。创建后门模型、利用 pickle 反序列化、演示域名抢注并投毒训练数据以破坏模型行为。

• 创建具有隐藏后门触发器的模型
• 演示用于代码执行的恶意 pickle 反序列化
• 模拟对模型注册表的域名抢注攻击
• 投毒训练数据以引入有针对性的误分类
• 利用 ML 管道中的不安全 API 密钥存储
• 通过 API 查询执行模型提取
• 分析模型是否存在投毒或后门迹象
• 生成并验证 ML-SBOM
• 实现模型完整性验证检查

通过战略性 API 查询提取专有模型的行为。执行成员推断、尝试训练数据提取并分析加密流量以查找信息泄露。

• 通过系统的 API 查询克隆目标模型的行为
• 训练与目标预测匹配的代理模型
• 执行成员推断以识别训练数据
• 从 LLM 提取记忆的训练数据
• 分析加密的 LLM 流量进行主题分类（Whisper Leak）
• 演示简单分类器上的模型反演
• 实现并测试速率限制防御
• 评估输出扰动作为防御机制
• 生成提取检测报告

使用 garak、PyRIT 和 promptfoo 构建并运行自动化 AI 红队管道。测试多个模型、生成综合报告，并将安全测试集成到 CI/CD 工作流中。

• 使用多种探针类型配置并运行 garak 对本地 LLM
• 使用自定义数据集和转换器构建 PyRIT 编排器
• 使用多个攻击向量创建 promptfoo 红队配置
• 比较不同模型的漏洞结果
• 使用 PyRIT 实现多轮攻击自动化
• 为特定领域测试构建自定义 garak 探针
• 使用 promptfoo 设置 CI/CD 集成
• 生成并分析综合安全评估报告
• 创建仪表板以跟踪 AI 安全态势

对现实的 AI 驱动企业应用程序进行完整的 AI 红队参与。执行侦察、链接多个利用、演示业务影响并交付专业报告。

• 对目标 AI 应用程序执行全面侦察
• 识别并记录所有攻击面
• 链接 Prompt Injection + RAG 投毒 + 数据泄露
• 演示通过智能体工具滥用进行权限提升
• 在 AI 系统中建立持久性
• 量化发现的漏洞的业务影响
• 使用 CVSS 分数编写专业的 AI 红队报告
• 按风险优先级呈现补救建议
• 制定 30/60/90 天安全改进计划