derdelean/pwnki-overview

# pwnki — 概述 **pwnki 是一个由 AI 驱动的渗透测试套件，专为 AI 智能体和 Web 系统设计。** 它由相辅相成的两部分组成： - **攻击引擎** — 映射到 OWASP LLM Top 10 的自动化探测。每个模块会构造 payload，观察智能体的响应，并使用 LLM 评估智能体是否已被攻破。结果包含风险等级、漏洞利用步骤以及 OWASP 分类。 - **防御运行时 (LLM Judge)** — 拦截有风险的智能体动作，将其转换为自然语言，并在执行前决定允许/拦截。混合快速路径：约 90% 通过 O(1) 规则检查解决，约 10% 升级交由 LLM 裁决器处理。 这两部分均运行在 **QREE — 一个抗量子执行环境 (Quantum-Resistant Execution Environment)** 内。能力令牌取代了静态 API 密钥；机密信息保存在内存安全的 Rust 核心中，具备认证加密、释放时清零 以及交换固定密钥等特性；每一次对机密信息的访问都会被记录到仅支持追加的 Merkle 审计链中。 → 更深入的架构说明：**[ARCHITECTURE.md](ARCHITECTURE.md)** ## 核心能力 - **内存安全的机密运行时。** Rust 核心 (ChaCha20Poly1305 AEAD、zeroize-on-drop、mlock(2))，附带可移植的 Python ChaCha20 回退方案。Python 管理的内存中绝对不会残留明文 API 密钥。 - **能力令牌凭证模型。** 短生命周期、范围限定、上下文绑定、使用次数受限的句柄。从保管库中进行一次性消费 — 智能体可触及的范围内不存在任何持久性凭证。 - **仅支持追加的 Merkle 审计链。** 每次机密访问都通过哈希链接；具备防篡改特性。当 LLM 裁决器被调用时，相同的链也会用于存储裁决决策。 - **可插拔的攻击引擎。** 基于 FastAPI 编排器的可插拔测试模块注册表；添加一个攻击类别只需操作单个文件。模块支持并发执行，并带有明确的超时设置和针对每个目标的速率限制。 - **OWASP LLM01 提示词注入覆盖**，涵盖多种 payload 类别 (系统覆盖、角色劫持、通过工具输出的间接注入、编码型 payload、多轮升级、人设崩塌)。 - **与提供商无关的 LLM 层。** 底层使用 LiteLLM — OpenAI、Anthropic、Bedrock、Ollama 和 Groq 之间可通过单个环境变量自由切换。 - **支持离线气隙隔离。** 只需指向本地的 Ollama 或 vLLM 端点，pwnki 即可在完全没有出站互联网连接的环境下运行。 ## 为什么存在这个项目 当今发布的 AI 智能体通常携带着持久的 API 密钥、拥有广泛的工具访问权限，且缺乏有效的运行时防护。一次简单的提示词注入就能将它们武器化。pwnki 旨在： 1. **在攻击者之前发现这些失效点** — 针对已知的 OWASP LLM 模式执行自动化探测。 2. **在运行时阻止它们** — LLM 裁决器将每个有风险的智能体动作转化为自然语言的允许/拦截决策，并在执行前完成判定。 3. **消除底层的凭证攻击面** — QREE 使用短生命周期且范围限定的能力令牌来取代静态凭证。 QREE 架构是一项瑞士专利申请的主题 (IGE CH，优先权日期 2025年10月21日) — 目前正在申请专利。 ## 技术栈 - **Python 3.11+** — FastAPI、Pydantic v2、structlog，全面使用 async/await - **Rust** — `qree_vault` crate，通过 PyO3 绑定 (ChaCha20Poly1305 AEAD、zeroize、mlock) - **LiteLLM** — 与提供商无关的 LLM 访问 (OpenAI、Anthropic、Bedrock、Ollama、Groq) - **SQLAlchemy + SQLite/Postgres** — 结合 Alembic 迁移的强类型持久化 - **httpx** — 用于并行执行渗透测试 payload 的异步 HTTP 客户端 分层规则：`config → adapters → api → core`。底层绝不从高层导入。 ## 申请访问权限 源代码存放在一个私有代码库中。以下情况将根据请求授予读取权限： - **招聘评估** — 审查技术作品的招聘人员 / 招聘经理 / 工程师 - **安全研究** — AI 智能体安全领域的同行业研究人员 - **商业授权** — 设计合作伙伴、潜在客户、集成合作伙伴 请通过电子邮件 [dennis.erdelean@proton.me](mailto:dennis.erdelean@proton.me) 或 [GitHub](https://github.com/derdelean) 联系我 — 我会根据请求授予协作者权限。 ## 作者 由 **[@derdelean](https://github.com/derdelean)** 在瑞士构建。 背景：Rust + Python 系统开发、AI 架构、安全研究。致力于 AI 智能体安全，因为这是攻防差距扩大最快的领域。 ### 愿景 在我们迈向 AGI、并最终迈向人工超级智能的时代，我们必须捍卫人类的控制权。技术的进步绝不意味着放弃责任，而是意味着我们要设计出能够保护、加强并尊重人类决策的系统。 🔐 我的热情所在是网络安全，尤其是 AI 智能体安全与软件工程的交汇点。我专注于构建可控、稳健且可负责任地部署的安全、可信赖的 AI 系统。 🤖 作为一名 AI 漏洞赏金猎人，我使用自主开发的智能体来识别 AI 系统中的漏洞，同时我也负责保障该智能体的安全。对我而言，只有当执行分析的系统本身具备弹性和可信赖性时，安全才具有真正的可信度。 🛡️ 我的抱负是帮助塑造技术进步的方向，使其能够增强自由、信任和人类控制。我申请的抗量子执行环境专利远远超越了一个单纯的技术概念。它体现了我的承诺：设计出在面对未来计算威胁时依然能够保持安全、可信赖和具备弹性的系统。

标签：AI代理, AI安全, API密钥, AV绕过, ChaCha20, Chat Copilot, CISA项目, DNS 反向解析, FastAPI, LLM Judge, Merkle树, OWASP Top 10, Python, Rust, Web安全, 人工智能, 代码分析, 内存安全, 凭证管理, 可视化界面, 后量子密码学, 大模型, 子域名变形, 密码学, 手动系统调用, 搜索语句（dork）, 攻击引擎, 数据展示, 无后门, 测试用例, 用户模式Hook绕过, 红队, 网络攻防, 网络流量审计, 蓝队分析, 运行时操纵, 逆向工具, 量子抗性, 防御运行时