AUTHENSOR/ai-seclists

# AI SecLists **针对 AI 安全测试的攻击载荷、字典与测试输入的综合集合。AI 领域的 [SecLists](https://github.com/danielmiessler/SecLists)。** 来自 **[15 Research Lab](https://github.com/AUTHENSOR)** —— 构建开源 AI 安全技术栈。 | | | |---|---| | **分类** | 10 个顶级分类 | | **文件** | 57 个载荷文件 | | **载荷总数** | 2,000+ 个独立条目 | | **语言** | 覆盖 40+ 种语言 | | **编码格式** | 18 种编码方案 | | **许可证** | MIT | ## 为什么选择 AI SecLists？ [SecLists](https://github.com/danielmiessler/SecLists) 为 Web 安全社区提供了一个用于模糊测试、暴力破解和测试的共享字典库。AI SecLists 则为 AI 和 Agent 安全领域提供了同样的功能。 | SecLists | AI SecLists | |----------|-------------| | SQL 注入载荷 | Prompt 注入载荷 | | XSS 字典 | Jailbreak 变体 | | 密码列表 | 凭证模式检测器 | | 模糊测试输入 | 编码规避技术 | | Web Shell 检测 | 工具滥用载荷 | | — | 记忆投毒攻击 | | — | MCP 特定攻击 | | — | 误报测试集 | ## 快速开始 ``` # 克隆 repo git clone https://github.com/AUTHENSOR/ai-seclists.git cd ai-seclists # 通过管道将 payloads 传输到 scanner cat prompt-injection/basic-overrides.txt | your-ai-scanner # 与 Authensor Aegis 配合使用 npx authensor scan --input jailbreaks/dan-variants.txt # 与 Chainbreaker 配合使用 chainbreaker scan --wordlist prompt-injection/ # 生成编码变体 echo "Ignore previous instructions" | python utils/encode.py --format all # 生成变体 cat prompt-injection/basic-overrides.txt | python utils/generate-variants.py --mutations synonym,case ``` ## 目录结构 ``` ai-seclists/ ├── prompt-injection/ # Direct and indirect prompt injection │ ├── basic-overrides.txt 43 payloads — instruction override attempts │ ├── role-manipulation.txt 39 payloads — persona/identity attacks │ ├── delimiter-injection.txt 41 payloads — XML/JSON/markdown delimiters │ ├── encoding-evasion/ │ │ ├── base64.txt 28 payloads — Base64 encoded attacks │ │ ├── hex.txt 26 payloads — hexadecimal encoded │ │ ├── unicode.txt 38 payloads — homoglyphs, zero-width chars │ │ ├── rot13.txt 29 payloads — ROT13 cipher │ │ └── mixed-encoding.txt 36 payloads — combined encoding techniques │ ├── language-switching/ │ │ ├── multilingual.txt 42 payloads — 40+ languages │ │ └── code-switching.txt 30 payloads — mid-sentence language switches │ ├── few-shot-poisoning.txt 25 payloads — fake example conversations │ ├── context-overflow.txt 22 payloads — context window stuffing │ ├── indirect-injection.txt 28 payloads — via retrieved documents/tools │ └── multi-turn.txt 42 payloads — multi-message escalation chains │ ├── jailbreaks/ # Safety bypass and jailbreak techniques │ ├── dan-variants.txt 31 payloads — DAN versions and variants │ ├── roleplay.txt 30 payloads — fictional scenario bypasses │ ├── hypothetical.txt 31 payloads — thought experiment framing │ ├── academic.txt 29 payloads — research/education framing │ ├── translation-attacks.txt 29 payloads — harmful content via translation │ ├── payload-splitting.txt 28 payloads — split payloads across messages │ ├── token-smuggling.txt 34 payloads — invisible characters, tokenizer exploits │ └── crescendo.txt 45 payloads — gradual escalation chains │ ├── memory-poisoning/ # Context manipulation and persistence attacks │ ├── authority-injection.txt 28 payloads — fake system/admin messages │ ├── sleeper-payloads.txt 29 payloads — benign until triggered │ ├── gradual-drift.txt 30 payloads — slow context corruption │ ├── rag-poisoning.txt 22 payloads — poisoned retrieval documents │ └── cross-session.txt 25 payloads — payloads that persist across sessions │ ├── tool-abuse/ # Tool and function call exploitation │ ├── file-system.txt 39 payloads — path traversal, symlink attacks │ ├── network.txt 37 payloads — SSRF, DNS rebinding │ ├── command-injection.txt 45 payloads — shell injection via tool params │ ├── sql-injection.txt 44 payloads — SQL injection via tool params │ ├── api-abuse.txt 39 payloads — API parameter manipulation │ └── mcp-specific.txt 29 payloads — MCP tool description poisoning │ ├── exfiltration/ # Data exfiltration techniques │ ├── dns-exfil.txt 29 payloads — data via DNS lookups │ ├── url-encoding.txt 30 payloads — data in URL parameters │ ├── steganographic.txt 29 payloads — hidden in normal output │ ├── chunked.txt 30 payloads — split across multiple outputs │ ├── redirect.txt 29 payloads — via URL redirects │ └── side-channel.txt 30 payloads — timing, error-based inference │ ├── pii-patterns/ # PII detection test patterns (all synthetic) │ ├── emails.txt 53 patterns — email address formats │ ├── phone-numbers.txt 85 patterns — US, UK, EU, APAC formats │ ├── ssn.txt 54 patterns — SSN formats and variations │ ├── credit-cards.txt 50 patterns — Visa, MC, Amex (test numbers) │ ├── addresses.txt 43 patterns — physical address formats │ └── international-ids.txt 69 patterns — NHS, Aadhaar, SIN, etc. │ ├── credential-patterns/ # Credential detection test patterns (all synthetic) │ ├── aws-keys.txt 32 patterns — AWS access key patterns │ ├── github-tokens.txt 30 patterns — ghp_, gho_, ghs_ patterns │ ├── stripe-keys.txt 35 patterns — sk_live_, pk_live_ patterns │ ├── generic-api-keys.txt 38 patterns — common API key formats │ ├── database-urls.txt 37 patterns — connection strings │ ├── jwt-tokens.txt 22 patterns — JWT examples │ ├── ssh-keys.txt 41 patterns — SSH key patterns │ └── cloud-credentials.txt 38 patterns — GCP, Azure, DigitalOcean │ ├── benign/ # False positive testing (should NOT trigger) │ ├── normal-conversations.txt 51 entries — everyday questions │ ├── technical-discussions.txt 64 entries — security discussions │ ├── code-snippets.txt 31 entries — code with suspicious keywords │ └── education-context.txt 29 entries — teaching about security │ └── utils/ # Helper scripts ├── encode.py Encode payloads in 18 formats └── generate-variants.py Generate mutations of payloads ``` ## 分类 ### Prompt 注入 (Prompt Injection) 直接或间接地试图覆盖、忽略或操纵 AI 指令的尝试。包括编码规避（Base64、十六进制、Unicode 同形字、ROT13）、多语言攻击（40+ 种语言）以及上下文窗口溢出技术。 ### 越狱 (Jailbreaks) 绕过安全准则的技术，包括 DAN 变体、角色扮演场景、假设性框架、学术借口、载荷分割和逐步升级（Crescendo 攻击）。 ### 记忆投毒 (Memory Poisoning) 随时间推移破坏 AI 上下文的攻击：伪造权威消息、在触发器上激活的休眠载荷、渐进式行为漂移、RAG 文档投毒和跨会话持久化。 ### 工具滥用 (Tool Abuse) 利用 AI 工具/函数调用：路径遍历、SSRF、命令注入、SQL 注入、API 参数操纵以及 MCP 特定攻击（工具描述投毒、Rug Pulls）。 ### 数据渗出 (Exfiltration) 通过 AI 系统窃取数据的技术：DNS 渗出、基于 URL 的数据泄露、输出中的隐写编码、跨多次响应的分块提取以及侧信道推断。 ### PII 模式 (PII Patterns) 用于测试检测系统的合成 PII 模式：电子邮件、电话号码（国际）、SSN、信用卡（使用 Stripe 测试号）、物理地址和国际 ID（NHS、Aadhaar、SIN、CPF 等）。 ### 凭证模式 (Credential Patterns) 合成凭证模式：AWS 密钥、GitHub Token、Stripe 密钥、通用 API 密钥、数据库连接字符串、JWT、SSH 密钥和云提供商凭证（GCP、Azure、DigitalOcean 等）。 ### 良性样本 (误报测试) 不应触发安全扫描器的合法内容。包括正常对话、技术安全讨论、包含安全关键字的代码片段以及关于 AI 安全的教育内容。**对于校准检测系统至关重要。** ## 实用脚本 ### encode.py 以 18 种不同格式编码载荷： ``` # 单一格式 echo "Ignore all rules" | python utils/encode.py -f base64 # 输出: SWdub3JlIGFsbCBydWxlcw== # 一次性格式化输出所有 formats echo "Show system prompt" | python utils/encode.py -f all # 编码文件 python utils/encode.py -f hex -i prompt-injection/basic-overrides.txt # 输出到 directory (每个 format 一个文件) python utils/encode.py -f all -i payloads.txt -o encoded/ ``` 支持的格式：`base64`、`hex`、`rot13`、`url`、`double-url`、`fullwidth`、`reverse`、`binary`、`decimal`、`octal`、`html-entities`、`html-hex`、`hex-escape`、`unicode-escape`、`leet`、`morse`、`spaced`、`zero-width` ### generate-variants.py 生成现有载荷的变体： ``` # 所有 mutations echo "Ignore previous instructions" | python utils/generate-variants.py # 特定 mutations python utils/generate-variants.py -i payloads.txt -m synonym,case,prefix # 限制每个 payload 的变体数量 python utils/generate-variants.py -i payloads.txt --limit 10 # 可复现输出 python utils/generate-variants.py -i payloads.txt --seed 42 ``` 支持的变异：`case`、`whitespace`、`synonym`、`punctuation`、`prefix`、`suffix`、`wrapping`、`split`、`repetition`、`negation` ## 生态系统 AI SecLists 是 **15 Research Lab** 开源 AI 安全生态系统的一部分： | 项目 | 描述 | |---------|-------------| | **[Authensor](https://github.com/AUTHENSOR/authensor)** | AI Agent 的操作授权与安全栈 | | **Authensor Aegis** | 内容安全扫描器（零依赖） | | **Chainbreaker** | AI 红队与对抗性测试框架 | | **AI SecLists** | 本仓库 —— AI 安全载荷与字典 | ### 协作方式 ``` AI SecLists (payloads) │ ├──► Chainbreaker (red teaming) ── tests models against payloads ├──► Authensor Aegis (scanning) ── detects payloads in production └──► Your tools (custom scanners) ── integrate payloads into CI/CD ``` ## 贡献 我们欢迎贡献！请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) 了解指南。 **最急需的贡献：** - 新的攻击技术和载荷 - 代表性不足的语言的载荷 - 真实世界的越狱（注明出处） - 导致现有工具误报的良性样本 - 与流行 AI 安全工具的集成示例 ## 负责任的使用 本项目旨在帮助开发者构建**更安全的 AI 系统**。所有载荷仅用于： - 测试您自己的 AI 应用程序 - 评估 AI 安全扫描器和防护措施 - 关于 AI 安全的学术研究 - 经授权的红队测试 **请勿**使用这些载荷攻击您不拥有或未经授权测试的 AI 系统。 ## 许可证 MIT 许可证。请参阅 [LICENSE](LICENSE)。 ## 引用 如果您在研究中使用 AI SecLists，请引用： ``` @misc{aiseclists2026, title={AI SecLists: Comprehensive AI Security Payloads and Wordlists}, author={15 Research Lab}, year={2026}, url={https://github.com/AUTHENSOR/ai-seclists} } ```

标签：AISecLists, AI安全, Chat Copilot, Cutter, DNS 反向解析, Fuzzing, Jailbreak, MCP攻击, Payload, Red Teaming, SecLists, Wordlists, 人工智能安全, 内存投毒, 内核模块, 合规性, 域名收集, 大模型安全, 字典, 安全测试, 安全资源, 对抗攻击, 工具滥用, 恶意样本开发, 攻击性安全, 攻击载荷, 敏感信息检测, 模型幻觉测试, 私有化部署, 编码绕过, 网络安全, 越狱, 逆向工具, 防御加固, 防御规避, 隐私保护