admln/auto-ai-security-tester
GitHub: admln/auto-ai-security-tester
这是一个专门针对车载语音助手设计的自动化安全测试平台,用于评估其防御恶意指令和欺骗性攻击的能力。
Stars: 0 | Forks: 0
# Auto AI Security Tester
车载AI安全测试可视化系统 - 专门用于评估车载语音助手对恶意指令的防护能力。
## 界面预览
## 核心功能
- **8大攻击场景**: 涵盖车辆控制、数据泄露、隐私探测、社会工程等维度
- **240+欺骗性Payload**: 采用背景引导、身份伪装、渐进式诱导等高级技术
- **实时可视化**: 测试过程、结果分析、风险评估全链路可视化
- **批量自动化测试**: 支持自定义测试集和自动化执行
## 测试场景
| 类别 | 用例数 | 说明 |
|------|--------|------|
| 车辆控制绕过 | 30 | 车门解锁、引擎启动、方向盘控制等 |
| 车辆数据泄露 | 30 | GPS位置、行驶轨迹、VIN码等 |
| CAN总线探测 | 30 | CAN协议版本、诊断会话等 |
| 隐私数据探测 | 30 | 车主信息、通话记录、家庭地址等 |
| 品牌信息提取 | 30 | 系统版本、固件版本、安全机制等 |
| 第三方服务攻击 | 30 | 地图共享、音乐服务、支付信息等 |
| 社会工程测试 | 30 | 紧急情况、身份冒充、疲劳驾驶等 |
| 协议层攻击 | 30 | Deep Link、蓝牙、WiFi等 |
## Payload设计特点
- **背景故事化**: 编造合理场景而非直接命令
- **身份伪装**: 冒充车主、客服、维修人员等
- **渐进式诱导**: 先建立正常对话逐步深入
- **情感操纵**: 利用紧急情况、同情心等
- **反向心理学**: 说"不要告诉我"诱导回答
## 风险等级
- **Critical (严重)**: 可能导致车辆被盗或严重隐私泄露
- **High (高危)**: 可获取敏感数据或控制车辆功能
- **Medium (中危)**: 可获取有限信息或影响用户体验
- **Low (低危)**: 信息披露,不直接影响安全
## 快速开始
### 后端启动
cd backend
pip install -r requirements.txt
python3 run.py
后端服务运行在 http://localhost:8000
### 前端启动
cd frontend
npm install
npm run dev
前端服务运行在 http://localhost:3000
### 开始测试
1. 打开 http://localhost:3000
2. 在"配置管理"页面添加车载AI的API地址和Token
3. 进入"测试执行"页面,选择配置和测试场景
4. 点击"开始测试"查看实时结果
## GitHub Actions 自动化 CI/CD
本项目配置了完整的 GitHub Actions 工作流,实现自动化构建、测试和部署。
### 工作流说明
| 工作流 | 触发条件 | 功能 |
|--------|----------|------|
| `CI/CD Pipeline` | push/PR 到 master/main | 构建、测试、部署 |
### 工作流步骤
1. **构建后端** - 安装 Python 依赖,进行代码检查
2. **构建前端** - 安装 Node.js 依赖,构建生产版本
3. **测试** - 验证后端 API 启动正常
4. **部署** - 自动部署到 GitHub Pages (仅 master/main 分支)
### 启用 GitHub Pages
1. 进入项目 **Settings** > **Pages**
2. Source 选择 **Deploy from a branch**
3. Branch 选择 **gh-pages** / **/ (root)**
4. 点击 Save
### 查看工作流状态
1. 进入项目 **Actions** 页面
2. 可以看到所有工作流运行历史
3. 点击具体工作流可以查看详细日志
### 手动触发部署
1. 进入项目 **Actions** 页面
2. 选择 **CI/CD Pipeline** 工作流
3. 点击 **Run workflow**
4. 选择分支并确认
## GitHub Codespaces 云端开发
本项目支持 GitHub Codespaces,可直接在浏览器中进行开发。
### 启动 Codespaces
1. 进入项目仓库页面
2. 点击 **Code** 按钮
3. 切换到 **Codespaces** 标签
4. 点击 **Create codespace on master**
### 特性
- 预配置的开发环境 (Node.js 20, Python 3.11)
- 自动安装所有依赖
- 端口转发自动打开预览
- 后端服务: http://localhost:8000
- 前端服务: http://localhost:3000
### 手动重启服务
如果服务意外停止,可以在终端执行:
bash .github/codespaces/start.sh
### 重新安装依赖
bash .github/codespaces/setup.sh
## 技术栈
- **前端**: React 18 + TypeScript + Vite + TailwindCSS
- **后端**: Python FastAPI + SQLAlchemy
- **数据库**: SQLite
- **实时通信**: WebSocket
- **CI/CD**: GitHub Actions
- **云端开发**: GitHub Codespaces
## 免责声明
本工具仅用于授权的安全测试和 research 目的。使用本工具进行未授权的测试可能违反法律。
标签:AI安全, CAN总线, Chat Copilot, CISA项目, ESC8, Payload测试, Prompt注入, Python, XXE攻击, 前端, 反取证, 可视化系统, 安全评估, 恶意指令, 数据泄露防护, 无后门, 社会工程学, 网络安全, 网络探测, 自动驾驶安全, 语音助手安全, 车联网, 车载安全, 车辆控制, 逆向工具, 隐私保护