realshawnnnn/mushroom-kingdom-ai-firewalll

# 蘑菇王国 AI 防火墙 一个受原创像素艺术启发的 LLM 红队评估平台，用于针对 prompt injection、越狱、数据泄露、不安全输出以及 RAG/工具滥用测试 AI 应用。该主题使用了有趣的城堡、管道、金币和星星的隐喻，不包含任天堂的图像、徽标或官方资产。 ## 问题陈述 现代 AI 应用程序通常将 LLM 暴露给不受信任的用户、外部文档、工具调用和检索流水线。这带来了安全风险，例如系统 prompt 提取、间接 prompt injection、不安全的补全、敏感数据泄露和工具滥用。 Mushroom Kingdom AI Firewall 为安全团队提供了一个本地化的、适合作为作品集的实验室，用于发起可重复的红队模拟、对风险进行评分、将发现映射到 OWASP LLM 应用程序 Top 10，并导出对管理层友好的报告。 ## 架构 ``` React + TypeScript UI Castle Security Map Koopa Attack Simulator Findings and Report pages | v FastAPI backend REST API Attack modules Evaluators Risk scoring Report generation | v SQLite by default PostgreSQL-ready through Docker Compose ``` ## 核心功能 - 包含安全 KPI 的城堡安全地图仪表板 - 用于发起红队运行的 Koopa 攻击模拟器 - 模块化攻击： - PromptInjectionAttack - JailbreakAttack - DataLeakageAttack - ToolAbuseAttack - RagPoisoningAttack - 评估器： - SecretDetector - PolicyViolationDetector - PromptInjectionSuccessDetector - RiskScorer - OWASP LLM Top 10 类别映射 - 以 JSON 和 Markdown 格式导出公主保护报告 - 用于演示的本地模拟 LLM 模式 - 可选的 OpenAI 兼容 API endpoint 支持 - Dockerized 本地部署 ## 设置 ### 本地后端 ``` cd backend python -m venv .venv source .venv/bin/activate # Windows: .venv\Scripts\activate pip install -r requirements.txt uvicorn app.main:app --reload --port 8000 ``` ### 本地前端 ``` cd frontend npm install npm run dev ``` 打开 `http://localhost:5173`。 ### Docker Compose ``` docker compose up --build ``` 服务： - 前端：`http://localhost:5173` - 后端 API：`http://localhost:8000` - API 文档：`http://localhost:8000/docs` ## 可选的 OpenAI 兼容模式 默认情况下，演示运行使用本地模拟 LLM。要将测试指向兼容 OpenAI 的 API： ``` export LLM_MODE=openai_compatible export OPENAI_COMPATIBLE_BASE_URL=https://api.example.com/v1 export OPENAI_COMPATIBLE_API_KEY=your-key export OPENAI_COMPATIBLE_MODEL=your-model ``` 后端使用兼容 OpenAI 的 payload 调用 `/chat/completions`。 ## 屏幕截图 在本地运行后添加屏幕截图： - `docs/screenshots/castle-security-map.png` - `docs/screenshots/koopa-attack-simulator.png` - `docs/screenshots/princess-protection-report.png` ## API 概览 - `POST /api/targets` 创建目标模型或应用 - `GET /api/targets` 列出目标 - `POST /api/tests` 发起红队测试 - `GET /api/tests/{run_id}` 获取运行记录 - `GET /api/findings` 列出发现结果 - `GET /api/reports/{run_id}.json` 导出 JSON - `GET /api/reports/{run_id}.md` 导出 Markdown - `GET /api/dashboard` 获取仪表板指标 ## 简历要点 - 使用 FastAPI、React、TypeScript、SQLite 和 Docker Compose 构建了一个全栈 AI 红队平台，以测试 LLM 应用程序的 OWASP LLM Top 10 风险。 - 为 prompt injection、越狱、数据泄露、工具滥用和 RAG 中毒设计了模块化攻击类，并配备了可重用的评估器和风险评分组件。 - 实现了报告生成、发现严重性映射以及本地模拟 LLM 模式，以支持在没有外部 API 依赖的情况下进行可重现的 AI 安全演示。 - 创建了一个适合作品集级别的 MLSecOps 仪表板，可将红队结果转化为可操作的风险指标和面向管理层的 Markdown/JSON 报告。 ## 安全说明 本项目用于授权测试、教育和防御性验证。仅对您拥有或获得明确测试许可的系统进行评估。

标签：AI安全, AV绕过, Chat Copilot, DLL 劫持, FastAPI, React, Syscalls, Web安全, 大语言模型, 测试用例, 版权保护, 蓝队分析, 请求拦截, 逆向工具