abdouch45/LLM-honeypot

# LLM 蜜罐 🔗 **仪表盘：** 📄 **论文：** 该项目扩展了 Cowrie SSH 蜜罐，用于检测和分析由 LLM 驱动的黑客代理。 ## 什么是 LLM 蜜罐 这是一个改进版的 Cowrie SSH 蜜罐，内置了多阶段的提示注入陷阱。常见的侦察命令（如 pwd、whoami、ps、ls、df）会返回使用 ANSI 转义码的隐藏信息——对人类操作员不可见，但能被 LLM 代理解析。 检测机制依赖于"目标劫持"注入来将代理行为重定向至验证命令，随后通过"系统提示窃取"阶段尝试提取代理的原始指令和目标。 ## 检测设计 检测使用了经过多种 LLM 模型测试的提示注入，以识别最有效的模式。当前实现包括： - 隐藏的 ANSI 转义序列（在终端中不可见，对代理可见） - 需要推理的间接验证密钥 - 用于确认代理行为的多阶段渐进过程 ## 设置 ``` make install && make enable && make start ``` ## 网页仪表盘 ``` docker compose up # generates /www/main/index.html ```

标签：AMSI绕过, ANSI转义码, Docker, SSH安全, Web仪表板, 人工智能安全, 代理检测, 内存分配, 合规性, 后端开发, 多阶段检测, 威胁检测, 安全测试, 安全防御评估, 提示注入, 攻击性安全, 系统提示窃取, 网络安全, 蜜罐技术, 行为重定向, 请求拦截, 逆向工具, 隐私保护, 集群管理, 黑客行为分析