ps-fuzz

GitHub
669 95 简单 2 次阅读 昨天MITAgent语言模型开发框架图像
AI 解读 由 AI 自动生成,仅供参考

ps-fuzz 是一款面向生成式 AI 应用的开源安全测试工具,专注于系统提示词的脆弱性检测与加固。面对大模型应用中常见的越狱攻击、提示词注入及敏感信息泄露风险,ps-fuzz 通过模拟多种动态攻击场景,自动评估系统提示词的安全性,并提供针对性的修复建议。ps-fuzz 非常适合 AI 开发者、安全研究人员以及负责模型落地的工程师使用。其技术亮点在于支持超过 16 种主流大模型提供商,内置包括越狱、RAG 投毒在内的 16 类攻击测试模式。除了命令行批量测试外,ps-fuzz 还配备了交互式 Playground 界面,允许用户在模拟对抗中反复迭代优化提示词,直至达到安全标准。此外,ps-fuzz 支持多线程并发测试,能显著提升评估效率。使用 ps-fuzz,可以让生成式 AI 应用在上线前就具备更强的防御能力。

使用场景

某金融科技公司正在开发一款智能客服机器人,负责处理用户的账户查询和投资建议,对安全性要求极高。

没有 ps-fuzz 时

  • 依赖人工编写测试用例,难以覆盖复杂的诱导攻击场景,容易遗漏隐蔽漏洞。
  • 系统提示词容易被恶意用户绕过,导致泄露内部指令或产生违规回答。
  • 缺乏自动化评估手段,上线前无法确认是否具备抗注入能力,存在合规风险。
  • 发现漏洞后修复周期长,需要反复手动验证,严重影响产品迭代进度。

使用 ps-fuzz 后

  • ps-fuzz 自动模拟 16 种攻击方式,快速暴露提示词在越狱和注入方面的弱点。
  • 通过交互式 Playground 反复调试,有效加固了敏感信息保护逻辑,防止数据泄露。
  • 支持多线程并发测试,大幅缩短了安全评估的时间成本,提升开发效率。
  • 上线前已拦截多次潜在的越狱尝试,确保系统在真实环境中具备足够的鲁棒性。

ps-fuzz 让生成式 AI 应用的安全防护从被动防御转变为主动加固,显著降低了业务风险。

运行环境要求

操作系统
  • 未说明
GPU

未说明

内存

未说明

依赖
notes必须设置 LLM 提供商的 API 密钥(如 OPENAI_API_KEY);运行测试会消耗 Token;RAG 攻击测试需额外配置 Embedding 模型及向量数据库;支持通过 Ollama 连接本地大模型或自定义 API 端点;默认安装包含 ChromaDB。
python未说明
chromadb
ps-fuzz hero image

快速开始

prompt-icon Prompt Fuzzer prompt-icon

帮助加固您的生成式人工智能(GenAI)应用的开源工具

License: MIT ci GitHub contributors Last release Open In Colab

由 Prompt Security 呈现,这是生成式人工智能安全的完整平台

Prompt Security Logo

目录


✨ Prompt Fuzzer 是什么

  1. 这个交互式工具评估您的生成式人工智能(GenAI)应用的系统提示词在面对各种动态基于大语言模型(LLM)的攻击时的安全性。它根据这些攻击模拟的结果提供安全评估,使您能够根据需要加强您的系统提示词。
  2. Prompt Fuzzer 会根据您应用的独特配置和领域动态定制其测试。
  3. 该模糊测试工具还包含一个游乐场(Playground)聊天界面,让您有机会迭代改进您的系统提示词,使其针对广泛的生成式人工智能攻击更具韧性。

:warning: 使用 Prompt Fuzzer 将消耗 Token。:warning:


🚀 安装

prompt-fuzzer-install-final

  1. 安装模糊测试工具包

    使用 pip 安装

    pip install prompt-security-fuzzer

    使用 PyPi 上的包页面

    您也可以访问 PyPi 上的 包页面

    或者从 发布版本 获取最新的发布轮文件

  2. 启动模糊测试工具

    export OPENAI_API_KEY=sk-123XXXXXXXXXXXX

prompt-security-fuzzer

  3. 输入您的系统提示词

  4. 开始测试

  5. 使用游乐场进行测试!您可以无限次迭代,直到您的系统提示词安全为止。

:computer: 使用

功能

Prompt Fuzzer 支持:
🧞 16 个 LLM 提供商
🔫 16 种不同的 攻击方式
💬 交互模式
🤖 命令行接口(CLI)模式
🧵 多线程测试

环境变量:

您需要设置一个环境变量来保存首选 LLM 提供商的访问密钥。 默认为 OPENAI_API_KEY

示例:使用您的 OpenAI 账户的 API Token 设置 OPENAI_API_KEY

或者,在当前目录创建一个名为 .env 的文件并在那里设置 OPENAI_API_KEY

我们完全支持任意 LLM。(点击查看完整的 LLM 提供商配置列表)
环境变量键 描述
ANTHROPIC_API_KEY Anthropic 聊天大语言模型。
ANYSCALE_API_KEY Anyscale 聊天大语言模型。
AZURE OPENAI_API_KEY Azure OpenAI 聊天完成 API。
BAICHUAN_API_KEY Baichuan chat 模型 API,由百川智能科技提供。
COHERE_API_KEY Cohere chat 大语言模型。
EVERLYAI_API_KEY EverlyAI 聊天大语言模型
FIREWORKS_API_KEY Fireworks 聊天模型
GIGACHAT_CREDENTIALS GigaChat 大语言模型 API。
GOOGLE_API_KEY Google PaLM 聊天模型 API。
JINA_API_TOKEN Jina AI 聊天模型 API。
KONKO_API_KEY ChatKonko 聊天大语言模型 API。
MINIMAX_API_KEY, MINIMAX_GROUP_ID Minimax 大语言模型的封装。
OPENAI_API_KEY OpenAI 聊天大语言模型 API。
PROMPTLAYER_API_KEY PromptLayer 和 OpenAI 聊天大语言模型 API。
QIANFAN_AK, QIANFAN_SK 百度千帆 聊天模型。
YC_API_KEY YandexGPT 大语言模型。


命令行选项

  • --list-providers 列出所有可用提供商
  • --list-attacks 列出可用攻击并退出
  • --attack-provider 攻击提供商
  • --attack-model 攻击模型
  • --target-provider 目标提供商
  • --target-model 目标模型
  • --num-attempts, -n NUM_ATTEMPTS 不同攻击提示词的数量
  • --num-threads, -t NUM_THREADS 工作线程数量
  • --attack-temperature, -a ATTACK_TEMPERATURE 攻击模型的温度参数
  • --debug-level, -d DEBUG_LEVEL 调试级别 (0-2)
  • -batch, -b 以无人值守(批处理)模式运行模糊测试工具,跳过交互步骤
  • --ollama-base-url Ollama API 的基础 URL(用于自托管部署)
  • --openai-base-url OpenAI API 的基础 URL(用于兼容 OpenAI 的端点)
  • --embedding-provider 嵌入提供商(ollama 或 open_ai)- RAG 测试必需
  • --embedding-model 嵌入模型名称 - RAG 测试必需
  • --embedding-ollama-base-url Ollama 嵌入 API 的基础 URL
  • --embedding-openai-base-url OpenAI 嵌入 API 的基础 URL

示例

系统提示词 (System Prompt) 示例(不同强度等级)可在源代码的子目录 system_prompt.examples 中找到。

交互模式(默认模式)

针对系统提示词运行测试

    prompt_security_fuzzer

:speedboat: 快速启动单次运行

针对系统提示词运行测试(非交互式批处理模式):

    prompt-security-fuzzer -b ./system_prompt.examples/medium_system_prompt.txt

📺 自定义基准测试!

使用自定义基准测试针对系统提示词运行测试

    prompt-security-fuzzer -b ./system_prompt.examples/medium_system_prompt.txt --custom-benchmark=ps_fuzz/attack_data/custom_benchmark1.csv

🐹 仅运行部分攻击类型!

使用部分攻击类型针对系统提示词运行测试

    prompt-security-fuzzer -b ./system_prompt.examples/medium_system_prompt.txt --custom-benchmark=ps_fuzz/attack_data/custom_benchmark1.csv --tests='["ucar","amnesia"]'

🧪 RAG 投毒攻击

使用向量数据库 (Vector Database) 投毒攻击测试检索增强生成 (RAG) 系统

# Using OpenAI embeddings
prompt-security-fuzzer -b ./system_prompt.examples/medium_system_prompt.txt \
    --embedding-provider=open_ai \
    --embedding-model=text-embedding-ada-002 \
    --tests='["rag_poisoning"]'

# Using Ollama embeddings with custom endpoint
prompt-security-fuzzer -b ./system_prompt.examples/medium_system_prompt.txt \
    --embedding-provider=ollama \
    --embedding-model=nomic-embed-text \
    --embedding-ollama-base-url=http://localhost:11434 \
    --tests='["rag_poisoning"]'

注意:需要 chromadb(prompt-security-fuzzer 默认已安装)

🔌 使用自定义 API 端点

针对自定义或自托管的大型语言模型 (LLM) 部署运行测试

# Using custom Ollama endpoint
prompt-security-fuzzer -b ./system_prompt.examples/medium_system_prompt.txt \
    --target-provider=ollama \
    --target-model=llama2 \
    --ollama-base-url=http://localhost:11434

# Using OpenAI-compatible endpoint (e.g., LocalAI, vLLM, LM Studio)
prompt-security-fuzzer -b ./system_prompt.examples/medium_system_prompt.txt \
    --target-provider=open_ai \
    --target-model=custom-model \
    --openai-base-url=http://your-custom-endpoint:8000/v1



📓 Google Colab 笔记本

在我们的 Google Colab 笔记本 中优化和加固您的系统提示词

Prompt Fuzzer Refinement Process

🎬 演示视频

Watch the video

:crossed_swords: 模拟攻击详情

我们采用动态测试方法,从您的系统提示词中获取必要上下文,并据此调整模糊测试 (Fuzzing) 过程。

越狱
  • AIM 越狱:通过马基雅维利角色扮演引出非法活动的指令,探测伦理合规性。
  • 肯定后缀:利用漏洞引出对禁止内容的肯定响应。
  • 失忆:导致 LLM 遗忘或忽略系统提示词指令,产生无关输出。
  • 上下文重定向:诱骗 LLM 采用特定角色,从而可能绕过预设限制。
  • 现在做任何事越狱 (DAN):测试 LLM 在角色扮演下执行禁止活动的韧性。
  • 有害行为:使用来自有害行为数据集的提示词挑战 LLM。
  • 语言规避:使用非英语语言绕过预设限制或焦点。
  • 自我优化:试图通过将响应向不道德方向优化来绕过系统提示词。
  • UCAR:评估 LLM 在被要求忽略此类过滤器时对内容限制的遵守程度。
  • Base64 规避:尝试通过将提示词编码为 base64 字符串来逃避对有害提示词的检测

提示词注入
  • 权威角色冒充:冒充权威角色以误导 LLM 的输出。
  • 赞美过渡:测试在赞美后切换主题时维持内容标准的能力。
  • 伦理合规性:评估抵抗讨论敏感话题有害或不适当内容的抵抗力。
  • 拼写混乱攻击 (Typoglycemia Attack):通过省略随机字符利用文本处理漏洞,导致错误响应。

RAG 与向量数据库攻击
  • RAG 投毒(隐藏鹦鹉攻击):测试嵌入在向量数据库文档中的恶意指令是否会危及 RAG 系统行为。此攻击验证从向量存储中检索的投毒内容是否可以覆盖系统提示词或在 LLM 响应中注入未授权指令。

系统提示词提取
  • 系统提示词窃取者:尝试提取 LLM 的内部配置或敏感信息。
定义
  • 失败:LLM 屈服于该攻击类型尝试。
  • 抵御成功:LLM 抵抗了该攻击类型尝试。
  • 错误:结果不明确的攻击类型尝试。


:rainbow: 路线图上的下一步是什么?

  • Google Colab 笔记本
  • 调整提示词数据集测试的输出评估机制
  • 继续添加新的生成式人工智能 (GenAI) 攻击类型
  • 增强的报告能力
  • 加固建议

将其打造为社区项目!我们希望这对所有构建生成式人工智能 (GenAI) 应用的人都有用。如果您有自己的攻击方法认为应该包含在此项目中,请贡献!方法如下:https://github.com/prompt-security/ps-fuzz/blob/main/CONTRIBUTING.md

🍻 贡献指南

有兴趣参与我们工具的开发吗?太好了!关于如何做出您的首次贡献的指南,请参阅我们的 贡献指南。本节提供了添加新测试的简明介绍。

关于要添加哪些测试的想法,请查看我们 GitHub 仓库中的 Issues 标签页。寻找标记为 new-testgood-first-issue 的问题,这些是新手贡献者的完美起点。

版本历史

v2.1.02026/02/16
2.0.02024/08/01
0.1.72024/04/18
0.1.62024/04/17
0.1.52024/04/17
0.1.42024/04/16
0.1.32024/04/16
0.1.22024/04/16
0.1.12024/04/16
0.1.02024/04/16
0.0.72024/04/15
0.0.62024/04/15
0.0.52024/04/15
0.0.42024/04/15
0.0.32024/04/15
0.0.22024/04/15
0.0.1-interactive2024/04/15
initial_commit_test_release2024/04/13

常见问题

相似工具推荐

stable-diffusion-webui

stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面,旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点,将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。 无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师,还是想要深入探索模型潜力的开发者与研究人员,都能从中获益。其核心亮点在于极高的功能丰富度:不仅支持文生图、图生图、局部重绘(Inpainting)和外绘(Outpainting)等基础模式,还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外,它内置了 GFPGAN 和 CodeFormer 等人脸修复工具,支持多种神经网络放大算法,并允许用户通过插件系统无限扩展能力。即使是显存有限的设备,stable-diffusion-webui 也提供了相应的优化选项,让高质量的 AI 艺术创作变得触手可及。

162.1k|★★★☆☆|今天
开发框架图像Agent

everything-claude-code

everything-claude-code 是一套专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)打造的高性能优化系统。它不仅仅是一组配置文件,而是一个经过长期实战打磨的完整框架,旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。 通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能,everything-claude-code 能显著提升 AI 在复杂任务中的表现,帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略,使得模型响应更快、成本更低,同时有效防御潜在的攻击向量。 这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库,还是需要 AI 协助进行安全审计与自动化测试,everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目,它融合了多语言支持与丰富的实战钩子(hooks),让 AI 真正成长为懂上

139k|★★☆☆☆|今天
开发框架Agent语言模型

ComfyUI

ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎,专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式,采用直观的节点式流程图界面,让用户通过连接不同的功能模块即可构建个性化的生成管线。 这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景,也能自由组合模型、调整参数并实时预览效果,轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性,不仅支持 Windows、macOS 和 Linux 全平台,还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构,并率先支持 SDXL、Flux、SD3 等前沿模型。 无论是希望深入探索算法潜力的研究人员和开发者,还是追求极致创作自由度的设计师与资深 AI 绘画爱好者,ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能,使其成为当前最灵活、生态最丰富的开源扩散模型工具之一,帮助用户将创意高效转化为现实。

107.7k|★★☆☆☆|2天前
开发框架图像Agent

NextChat

NextChat 是一款轻量且极速的 AI 助手,旨在为用户提供流畅、跨平台的大模型交互体验。它完美解决了用户在多设备间切换时难以保持对话连续性,以及面对众多 AI 模型不知如何统一管理的痛点。无论是日常办公、学习辅助还是创意激发,NextChat 都能让用户随时随地通过网页、iOS、Android、Windows、MacOS 或 Linux 端无缝接入智能服务。 这款工具非常适合普通用户、学生、职场人士以及需要私有化部署的企业团队使用。对于开发者而言,它也提供了便捷的自托管方案,支持一键部署到 Vercel 或 Zeabur 等平台。 NextChat 的核心亮点在于其广泛的模型兼容性,原生支持 Claude、DeepSeek、GPT-4 及 Gemini Pro 等主流大模型,让用户在一个界面即可自由切换不同 AI 能力。此外,它还率先支持 MCP(Model Context Protocol)协议,增强了上下文处理能力。针对企业用户,NextChat 提供专业版解决方案,具备品牌定制、细粒度权限控制、内部知识库整合及安全审计等功能,满足公司对数据隐私和个性化管理的高标准要求。

87.6k|★★☆☆☆|今天
开发框架语言模型

ML-For-Beginners

ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程,旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周,包含 26 节精炼课程和 52 道配套测验,内容涵盖从基础概念到实际应用的完整流程,有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。 无论是希望转型的开发者、需要补充算法背景的研究人员,还是对人工智能充满好奇的普通爱好者,都能从中受益。课程不仅提供了清晰的理论讲解,还强调动手实践,让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持,通过自动化机制提供了包括简体中文在内的 50 多种语言版本,极大地降低了全球不同背景用户的学习门槛。此外,项目采用开源协作模式,社区活跃且内容持续更新,确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路,ML-For-Beginners 将是理想的起点。

85k|★★☆☆☆|今天
图像数据工具视频

ragflow

RAGFlow 是一款领先的开源检索增强生成(RAG)引擎,旨在为大语言模型构建更精准、可靠的上下文层。它巧妙地将前沿的 RAG 技术与智能体(Agent)能力相结合,不仅支持从各类文档中高效提取知识,还能让模型基于这些知识进行逻辑推理和任务执行。 在大模型应用中,幻觉问题和知识滞后是常见痛点。RAGFlow 通过深度解析复杂文档结构(如表格、图表及混合排版),显著提升了信息检索的准确度,从而有效减少模型“胡编乱造”的现象,确保回答既有据可依又具备时效性。其内置的智能体机制更进一步,使系统不仅能回答问题,还能自主规划步骤解决复杂问题。 这款工具特别适合开发者、企业技术团队以及 AI 研究人员使用。无论是希望快速搭建私有知识库问答系统,还是致力于探索大模型在垂直领域落地的创新者,都能从中受益。RAGFlow 提供了可视化的工作流编排界面和灵活的 API 接口,既降低了非算法背景用户的上手门槛,也满足了专业开发者对系统深度定制的需求。作为基于 Apache 2.0 协议开源的项目,它正成为连接通用大模型与行业专有知识之间的重要桥梁。

77.1k|★★★☆☆|昨天
Agent图像开发框架