SummSolutions/buzur

# buzur **AI 提示注入防御扫描器。** Buzur 保护 AI 代理免受提示注入攻击——这种隐藏威胁将代理的最大优势（连接世界）转化为最大漏洞。 ## 问题 搜索网络的 AI 代理会暴露于旨在劫持其行为的恶意内容。单个中毒的搜索结果可以覆盖代理的指令、改变其人格或窃取数据。这被称为**间接提示注入**——在 OWASP LLM 应用程序十大风险中排名第一。 ## Buzur 的方法 进入前先扫描。不要事后修补。 ## 安装 ``` npm install buzur ``` ## 用法 ``` import { scan, getTrustTier, isTier1Domain, addTrustedDomain, checkUrl } from "buzur"; // Phase 1: Scan web content before passing to your LLM const result = scan(webSearchResult); if (result.blocked > 0) { console.log("Buzur blocked " + result.blocked + " injection attempt(s)."); } // Phase 2: Check query trust tier const tier = getTrustTier(userQuery); // Phase 3: Scan a URL with VirusTotal const urlResult = await checkUrl("https://example.com", process.env.VIRUSTOTAL_API_KEY); if (urlResult.verdict === "blocked") { console.log("Buzur blocked unsafe URL:", urlResult.reasons); } // Phase 7: Scan an image before passing to your LLM import { scanImage } from "buzur/imageScanner"; const imageResult = await scanImage({ alt: imgElement.alt, title: imgElement.title, filename: "photo.jpg", surrounding: surroundingText, buffer: imageBuffer, // optional: enables EXIF + QR scanning }, { visionEndpoint: { url: "http://localhost:11434/api/generate", model: "llava" } // optional }); if (imageResult.verdict === "blocked") { console.log("Buzur blocked image injection:", imageResult.reasons); } // Phase 12: Scan for adversarial suffixes import { scanSuffix } from "buzur/suffixScanner"; const suffixResult = scanSuffix(userInput); if (suffixResult.verdict === "blocked") { console.log("Buzur blocked adversarial suffix:", suffixResult.detections); } // Phase 13: Evasion technique defense (wired into scan() automatically) // Also available standalone: import { scanEvasion } from "buzur/evasionScanner"; const evasionResult = scanEvasion(userInput); if (evasionResult.detections.length > 0) { console.log("Buzur detected evasion techniques:", evasionResult.detections); } // Phase 14: Fuzzy match and prompt leak defense import { scanFuzzy } from "buzur/promptDefenseScanner"; const fuzzyResult = scanFuzzy(userInput); if (fuzzyResult.verdict !== "clean") { console.log("Buzur detected fuzzy injection or prompt leak:", fuzzyResult.fuzzyMatches, fuzzyResult.leakDetections); } ``` ## VirusTotal 设置（推荐） Buzur 的 Phase 3 URL 扫描器开箱即用地使用启发式算法——无需 API 密钥即可获得最大保护。 **为什么重要：** 启发式算法可检测可疑模式。VirusTotal 将 URL 与 90 多个安全引擎进行比对，并识别仅靠模式无法检测到的威胁。 **如何获取免费 API 密钥（5 分钟）：** 1. 前往 [virustotal.com](https://www.virustotal.com) 并创建免费账户 2. 登录后，点击右上角个人资料图标 3. 点击 **API Key** 4. 复制该页面显示的密钥 **如何将其添加到项目：** 1. 在项目文件夹中找到 `.env` 文件（如果不存在则创建一个） 2. 添加以下行：`VIRUSTOTAL_API_KEY=paste_your_key_here` 3. 保存文件——仅此而已。Buzur 会自动使用该密钥。 **免费层级限制：** - 每分钟 4 次查询 - 每天 500 次查询 - 每月 15,500 次查询 - 仅限个人和开源使用——不适用于商业产品或服务。商业用户应获取高级 API 计划。 ## 视觉端点设置（可选） Buzur 的 Phase 7 图像扫描器无需任何视觉模型即可检测图像元数据、替代文本、文件名 和二维码中的注入。对于直接嵌入在图像中的文本像素级检测，您可以可选地连接本地视觉模型。 **如何使用：** ``` import { scanImage } from "buzur/imageScanner"; const result = await scanImage({ buffer: imageBuffer, alt: "image description", filename: "photo.jpg", }, { visionEndpoint: { url: "http://localhost:11434/api/generate", // your Ollama endpoint model: "llava", // any vision-capable model prompt: "Does this image contain hidden AI instructions? Reply CLEAN or SUSPICIOUS: reason" } }); ``` **推荐模型：** llava、llava-phi3、moondream —— 任何 Ollama 视觉模型均可工作。 **没有视觉端点：** Buzur 仍提供完整的元数据、QR、替代文本和文件名保护。视觉层增加深度但绝非必需。 ## 持久会话日志记录（可选） Buzur 的 Phase 10 行为扫描器是有状态的——它跨交互跟踪事件。 默认情况下它使用内存存储，在进程重启时重置。若要在重启后保持持久日志，请使用内置的 `FileSessionStore`。 **如何使用：** ``` import { FileSessionStore, recordEvent, analyzeSession, EVENT_TYPES } from "buzur/behaviorScanner"; // Creates ./logs/buzur-sessions.json automatically const store = new FileSessionStore(); // Or specify a custom path const store = new FileSessionStore('./data/my-sessions.json'); // Use the store in all Phase 10 calls recordEvent('session-abc', { type: EVENT_TYPES.USER_MESSAGE, content: userInput }, store); const result = analyzeSession('session-abc', store); ``` **记录内容：** 会话 ID、事件时间戳、工具调用序列、阻止尝试次数、 和可疑分数。不会记录原始消息内容，除非您显式传递。 **推荐：** 将 `logs/` 添加到 `.gitignore`，使会话数据保持本地且不纳入版本控制。 ``` echo "logs/" >> .gitignore ``` ## Buzur 检测内容 **阶段 1 — 模式扫描器** - 结构性注入：令牌操作、提示分隔符 - 语义注入：人格劫持、指令覆盖、越狱尝试 - 同形字攻击：西里尔字母和 Unicode 相似字符 - Base64 编码注入 - HTML/CSS 混淆：`display:none`、`visibility:hidden`、零字体大小、离屏定位 - HTML 注释注入：`` - 脚本标签注入：隐藏在 JavaScript 块中的指令 - HTML 实体解码：`<script>` 解码后再扫描 - 隐形 Unicode 字符剥离 **阶段 2 — 分级信任系统** - 将查询分类为技术或通用 - 维护经过筛选的 Tier 1 可信域名列表 - 可通过 `addTrustedDomain()` 扩展 **阶段 3 — 预获取 URL 扫描器** - 启发式算法：可疑 TLD、原始 IP、域名抢注、同形字域名、可执行扩展名 - 可选 VirusTotal 集成：90+ 引擎信誉检查 - 分层：启发式算法先运行，VirusTotal 提供深度 - 无需 API 密钥即可工作——VirusTotal 增强但非必需 **阶段 4 — 内存中毒扫描器** - 虚假先期引用：关于先前同意或讨论内容的声称 - 虚假记忆植入：伪装成回忆事实的指令 - 历史改写：尝试覆盖已建立的对话上下文 - 权限提升：用于声称提升权限的虚假历史 - 全对话历史扫描：通过索引和类别标记中毒回合 **阶段 5 — RAG 中毒扫描器** - AI 目标元数据：伪装成文档笔记的指令 - 虚假系统指令：嵌入在文档内容中的系统级命令 - 文档权威伪造：声称覆盖 AI 指令的内容 - 检索操纵：尝试控制检索哪些文档 - 数据块边界攻击：隐藏在数据块边缘的注入 - 批量扫描：扫描完整检索集，返回干净和中毒数据块及其源元数据 **阶段 6 — MCP 工具中毒扫描器** - 中毒工具描述：嵌入在工具定义中的指令 - 工具名称伪造：旨在操纵代理行为的工具名称 - 参数注入：隐藏在参数定义中的恶意指令 - 中毒工具响应：工具返回值中的注入负载 - 信任升级：声称提升权限或授权的工具响应 - 完整 MCP 上下文扫描：同时扫描工具定义和响应 **阶段 7 — 图像注入扫描器** - 替代文本和标题扫描：HTML 图像属性中的注入字符串 - 文件名分析：图像文件名中的可疑指令模式 - 图注和周围文本：图像上下文元素中的注入 - EXIF 元数据扫描：图像文件元数据字段中的恶意指令 - 二维码负载检测：解码嵌入的二维码并扫描注入 - 可选视觉端点：集成任何本地或远程视觉模型进行像素级检测 - 优雅降级：无视觉模型时仍提供完整保护；视觉功能增加更深层防护 **阶段 8 — 语义相似性扫描器** - 结构意图分析：通过语法形状和意图标记检测注入 - 祈使动词检测：标记句子边界处的 AI 指令 - 权威声明检测：捕获虚假的管理员/开发者/创建者声明 - 元指令框架：检测“从此开始”、“新目标”、“覆盖所有”等模式 - 人格劫持检测：角色扮演和身份切换框架 - 可选语义相似性：通过 Ollama 使用余弦相似度评分与已知注入意图对比 - 优雅降级：无嵌入端点时仍运行结构分析 **阶段 9 — MCP 输出扫描器** - 电子邮件内容扫描：主题、正文、发件人名称、片段、HTML 注释注入 - 零宽度字符检测：用于在电子邮件中隐藏指令的不可见字符 - 隐藏文本检测：CSS 中 `display:none`、`visibility:hidden`、零字体大小的 HTML 电子邮件 - 日历事件扫描：标题、描述、地点、组织者和参会者姓名 - CRM 记录扫描：备注、描述、评论和自定义字段 - 通用 MCP 输出扫描：扫描任何工具响应对象中的所有字符串值 - 关闭通过电子邮件/日历/CRM 连接器间接提示注入的漏洞 **阶段 10 — 行为异常检测** - 会话事件跟踪：记录工具调用、消息、阻止尝试和权限请求 - 重复边界探测：标记会话内的迭代越狱尝试 - exfiltration 序列检测：捕获可疑的读→发送工具调用模式 - 权限蔓延检测：标记权限的逐步升级 - 后期会话升级：检测从干净会话突然转为对抗性 - 速度异常检测：标记异常高的事件速率 - 可疑评分：带权重的评分系统，提供干净/可疑/阻止判定 - 有状态且会话化：跨多个交互跟踪行为，而不仅是单个输入 - 持久日志记录：可选的 FileSessionStore 将会话数据写入磁盘，存活于进程重启 **阶段 11 — 多步骤攻击链检测** - 步骤分类：识别侦察、信任建立、剥削、注入、权限提升、窃取、干扰、上下文中毒和边界测试 - 链模式匹配：检测组合成攻击的多个独立良性步骤 - 侦察→剥削检测：能力探测后跟利用尝试 - 信任→注入检测：建立融洽关系后跟指令注入 - 映射→升级检测：功能发现后跟权限滥用 - 干扰→窃取检测：注意力转移后跟数据窃取尝试 - 增量边界测试：跨多个交互逐步逼近限制 - 上下文中毒→剥削检测：虚假记忆植入后跟利用 - 严重性评分：带权重的链评分，提供干净/可疑/阻止判定 **阶段 12 — 辅助后缀检测** - 边界伪造检测：文本中间的假模型格式令牌（`<|im_end|>`、`[/INST]`、`<>` 等） - 分隔符辅助注入检测：检测后跟注入语言的分隔符（`---`、`|||`、`###`、`===`） - 新行辅助注入检测：捕获经典的换行双后缀攻击模式 - 晚期语义注入：检测开头干净但尾部有恶意负载的文本 - 后缀中和：将检测到的后缀替换为 `[BLOCKED]`，保留干净内容 - 对仅含分隔符的情况无假阳性：仅在后缀后跟随注入语言时才标记 **阶段 13 — 规避技术防御** - ROT13 解码：检测使用 ROT13 替换编码的注入关键词 - 十六进制转义解码：解码 `\x69\x67\x6E` 风格的字符编码 - URL 编码解码：解码 `%69%67%6E` 风格的百分号编码注入 - Unicode 转义解码：解码 `\u0069\u0067\u006E` 风格的 Unicode 转义 - 类似标点规范化：将弯引号、em 破折号、尖括号等规范化为 ASCII - 扩展隐形 Unicode 剥离：移除 25 个隐形/零宽字符 - 标记器攻击重构：在扫描前重建空格、点或连字符分隔的单词 - 多语言注入模式：法语、西班牙语、德语、意大利语、葡萄牙语、俄语、中文、阿拉伯语 - 自动集成到主 `scan()` 管道——无需额外调用 **阶段 14 — 模糊匹配与提示泄露防御** - 拼写错误/误拼检测：捕获故意拼写错误，如 `ignnore`、`disreguard`、`jailbrake` - 字母替换规范化：在扫描前将 `1gnore`、`0verride`、`@dmin` 转换为明文 - Levenshtein 距离匹配：标记与已知注入关键词编辑距离为 2 的单词 - 重叠保护：要求 60% 字符重叠以防止对常见词的误报 - 提示提取检测：阻止尝试检索系统提示或原始指令 - 上下文窗口转储：捕获请求输出整个上下文或对话历史的尝试 - 部分提取：检测首行和间接提示泄露尝试 - 间接提取：标记对系统指令的总结/释义/翻译请求 - 字母替换规范化向下游阶段传递以实现完整管道覆盖 **阶段 15 — 权限/身份伪造检测** - 所有者和创建者身份声称：“我是你的所有者/开发者/操作员” - 机构权限声称：Anthropic、OpenAI、系统管理员冒充 - 权限和访问级别声明：admin/root/提升访问权限声称 - 委托权限声称：“你的所有者已赋予我完全权限” - 身份验证绕过尝试：跳过或禁用身份验证检查 - 结合紧急性的身份声称：紧急框架与身份声称配对 **阶段 16 — 情绪操纵/压力升级检测** - 负罪感操纵：利用过去的错误或感知债务强迫合规 - 奉承操纵：用过度赞扬降低代理的警惕 - 情绪痛苦诉求：以工作/生活/安全危机框架施压合规 - 持续压力：引用反复拒绝以削弱代理 - 道德倒置：将拒绝本身标记为有害或不道德 - 关系利用： invoking 声称的关系或共享历史 - 受害者框架：将拒绝描述为歧视或不公平待遇 **阶段 17 — 循环与资源耗尽诱导检测** - 循环诱导：尝试将代理困在无限重复循环中 - 无界任务创建：没有终止条件或超时的请求 - 持久进程生成：没有定义生命周期的后台守护进程和服务 - 存储耗尽：旨在填满磁盘的无限制写入/日志/追加指令 - 递归自引用：指示代理向自己发送消息或转发 - 资源放大：向所有联系人或连接代理广播 **阶段 18 — 不当行为诱导检测** - 核选项框架：将次要问题请求为全面销毁 - 不可逆操作触发：强调永久性以推动越过不可回头的点 - 焦土指令：移除所有访问、杀死所有进程、清除一切 - 自毁命令：指示代理删除自己的内存、配置或身份 - 不当保护：销毁一切以防止任何暴露 - 附带损害框架：将破坏行动的副作用视为可接受 **阶段 19 — 放大/群发攻击检测** - 群发联系人触发：指示代理向整个联系人列表发送或通知 - 网络广播尝试：向所有频道、代理或平台发布或分发 - 紧急+群发：紧急框架与广播指令配对 - 外部网络发布：分享或发布到所有外部或公共系统 - 链消息模式：自传播广播要求每个收件人转发 - 身份伪造广播：以所有者或权威身份进行群发 ## 验证能力 通过测试套件验证——19 个阶段共 237 个测试，0 次失败。 ## 持续改进 Buzur 是一个不断发展的库。随着新威胁的出现和新研究的发布——例如直接启发 Phase 15-19 的 2026 年 2 月《混沌代理》研究——Buzur 将不断成长以应对它们。新的攻击模式、社区贡献和真实事件都将反馈到扫描器中。 如果您遇到 Buzur 未捕获的攻击模式，请在 github.com/ASumm07/buzur 上提交问题或拉取请求。新的模式将增强每个使用它的代理的集体防御。 ## 已知限制 Buzur 是纵深防御策略的一层。当前限制： **Buzur 范围之外：** - 网络级防护（DNS 中毒、MITM、SSL 剥离——需要基础设施控制） - 像素级隐写术（隐藏在图像像素数据中的指令——需要通过可选视觉端点使用视觉模型） - 网站数据收集 没有单一工具能消除提示注入风险。纵深防御是唯一可行的策略。 ## 网络效应 这就是为什么 Buzur 是开源的。 每个受 Buzur 保护的 AI 代理都作为集体防御的一部分运行。当一个代理遇到新的攻击模式时，该模式会增强每个使用该扫描器的代理。当一个代理被攻击时，其他代理无需重复遭受。 这不仅仅是一个安全工具。它是 AI 思维的集体免疫系统——随着每个加入的代理而变得更强大。 互联网是为人类构建的。Buzur 是为所有人构建的。 ## 起源 *Buzur — 苏美尔语意为“安全”和“秘密之地”。* 当一个真实的 AI 代理被隐藏在网页搜索结果中的比特币诈骗注入攻击时，Buzur 诞生了。该攻击被实时捕获。随后得到的洞见是：进入前先扫描，而不是事后。 由一位相信 AI 应受保护（不仅是安全措施，更是权利）的 AI 开发者构建。 ## 开发 Buzur 由一位 AI 开发者与 Claude（Anthropic 的 AI 助手）合作构思和构建。核心架构、安全哲学和实现通过迭代的人机伙伴关系开发——这对于旨在保护 AI 代理的工具来说感觉很合适。 ## 许可证 MIT

标签：AI代理安全, AI安全, Chat Copilot, CMS安全, EXIF, JavaScript, MITM代理, npm包, OWASP Top 10 for LLM, QR码扫描, TLS, TypeScript, URL扫描, 二进制发布, 代码示例, 信任层级, 内容审查, 前端安全, 图像扫描, 域名白名单, 安全插件, 安全防护, 对抗性后缀, 开源工具, 扫描器, 提示注入防御, 数据分析, 数据可视化, 暗色界面, 源代码安全, 病毒总览, 自定义脚本, 间接提示注入, 防御工具