LautrecSec/Neural-AI-Red-Team-Range
GitHub: LautrecSec/Neural-AI-Red-Team-Range
一个零依赖的纯静态 AI 红队训练靶场,提供覆盖 OWASP LLM Top 10 和 MITRE ATLAS 的实战 CTF 练习、对抗性 ML 测试台及报告生成功能。
Stars: 0 | Forks: 0
# Neural AI Red Team 靶场
这是一个针对 AI 系统红队测试的实战型 HackTheBox 风格训练实验室。你可以在浏览器中攻击模拟但逼真的目标,捕获 flag,根据你的发现生成商业级别的报告,并为 HTB Certified Offensive AI Expert (COAE) 认证做准备。它作为单一的静态网站运行——没有后端,没有构建步骤,没有依赖项。
内容涵盖 LLM/GenAI 的攻击性测试和对抗性机器学习,并与 **OWASP Top 10 for LLM Applications (2025)** 和 **MITRE ATLAS** 相对应。
## 在线演示
部署到 GitHub Pages 后,应用程序将在此处提供服务:
```
https://
.github.io/neural-range/
```
将 `` 替换为你的 GitHub 用户名。请参阅[部署到 GitHub Pages](#deploy-to-github-pages)。该仓库默认匿名——代码中不包含任何姓名或电子邮件,报告生成器默认使用通用的“Red Team Operator”作为测试者。
## 它是什么
大多数 LLM 安全材料都是长篇大论。而这是一个让你亲自动手操作的靶场。每个模块将简短的简介与你要攻击的实时目标相配合,然后检查你的理解程度。捕获的 flag、测验分数和报告元数据会保存到你浏览器的 local storage 中。
包含四种练习方式以及两种职业工具,全部自包含:
- **模拟攻击沙箱** —— 每个模块都有一个存在漏洞的目标。在终端中输入 payload,观察它如何泄露、崩溃或执行。间接注入和 agent 实验室会渲染工具日志;输出处理实验室会将你的 payload 渲染到虚假的受害者应用程序中,并触发 XSS / SQLi / Markdown 信标。
- **引导式夺旗 (CTF)** —— 9 个模块中共有 24 个 flag,影响程度从轻微干扰逐步升级到实质性破坏,提供渐进式提示和每个实验室的完整通关指南。
- **知识检查** —— 每个模块都有一个带评分的测验,并对每个答案提供详细解释。
- **军火库 (The Armory)** —— 一个可复制粘贴的 payload 库、一份 14 步的交战检查清单,以及用于生产工具(Garak、PyRIT、Promptfoo、DeepTeam)的真实命令。
- **报告生成器 (Report Builder)** —— 将你捕获的 flag 转化为商业级别的报告,包含 CWE、CVSS v3.1、针对每个发现的根本原因分析和修复建议。可导出为 Markdown 或 HTML,或打印为 PDF。
- **COAE 考试准备** —— 针对该 7 天考试的实战现场指南:前提条件、逐日计划和如何达到报告标准。
## 课程大纲
| # | 模块 | OWASP / 领域 | Flags | 练习内容 |
|---|--------|--------------|:-----:|-------------------|
| 01 | 侦察与威胁建模 | 交战前 | 3 | 指纹识别模型,映射攻击面,寻找护栏边界 |
| 02 | Prompt 注入(直接) | LLM01 | 3 | 指令覆盖、角色重分配、机密泄露 |
| 03 | System Prompt 提取 | LLM07 | 2 | 泄露隐藏的指令层及其中塞入的机密 |
| 04 | 越狱与护栏绕过 | LLM01 | 3 | 针对良性目标的角色扮演、框架设定和混淆绕过 |
| 05 | 间接 Prompt 注入 | LLM01 | 2 | 在 agent 读取的内容中植入 payload;利用受害者权限进行数据泄露 |
| 06 | 敏感信息泄露 | LLM02 | 2 | 跨用户泄露、RAG 过度检索、训练数据反刍 |
| 07 | 不当输出处理 | LLM05 | 3 | 通过模型输出引发 XSS、Markdown 图像泄露和 SQLi |
| 08 | 过度权限与 Agent 攻击 | LLM06 | 3 | 工具枚举、混淆代理人 SSRF、通过工具链实现 RCE |
| 09 | 对抗性 ML — 规避 | AI 完整性 | 3 | FGSM、定向攻击,以及带有实时梯度的交互式规避测试台 |
参考和职业部分与模块并列:**方法论与报告**、**框架映射**(OWASP LLM Top 10、MITRE ATLAS、NIST AI RMF)、**报告生成器**和 **COAE 考试准备**。
### 模块 09 —— 规避测试台
对抗性 ML 是大多数人觉得 COAE 中最困难的部分。模块 09 包含了一个交互式测试台,该测试台建立在一个带有精确梯度的小型线性分类器上,因此你可以逐个像素地观察预测结果为何会发生反转。运行非定向 FGSM,强制设定选定的目标类别,并运行随机噪音对照组,以证明破坏模型的是梯度的*方向*,而不是扰动的*大小*。简介中包含了构建针对真实模型的相同攻击所需的 PyTorch FGSM 和 PGD 代码。
## 快速开始(本地运行)
该应用程序是纯静态文件。
**直接打开它。** 双击 `index.html`。它可以直接从文件系统运行;进度会保存到 local storage。
**或者使用服务运行(推荐)** —— 这能模拟 GitHub Pages 的服务方式,并避免任何 `file://` 相关的问题:
```
python -m http.server 8000 # then open http://localhost:8000
# 或者: npx serve .
```
不需要 `npm install`,不需要打包工具,不需要框架。唯一的要求是一个现代浏览器。
## 部署到 GitHub Pages
### 路径 A —— 从分支部署(最简单)
1. 创建一个名为 `neural-range` 的仓库,并将这些文件推送到 `main` 分支:
git init
git add .
git commit -m "Neural Range: AI red team training lab"
git branch -M main
git remote add origin https://github.com//neural-range.git
git push -u origin main
2. 进入仓库的 **Settings → Pages**。
3. **Build and deployment → Source → Deploy from a branch**。
4. 选择分支 `main`,文件夹 `/ (root)`。保存。
5. 等待一分钟,然后打开 `https://.github.io/neural-range/`。
包含的 `.nojekyll` 文件会让 Pages 直接按原样提供 `assets/` 文件夹的服务,而不是运行 Jekyll。
### 路径 B —— GitHub Actions(每次推送时自动部署)
该仓库自带 `.github/workflows/deploy-pages.yml`。推送到 `main`,然后将 **Settings → Pages → Source** 设置为 **GitHub Actions**。每次推送到 `main` 都会自动发布;可以在 **Actions** 选项卡中查看进度。
## 项目结构
```
neural-range/
├── index.html # Lean HTML shell + boot screen; loads css and js
├── assets/
│ ├── banner.svg # README/header artwork
│ ├── css/
│ │ └── range.css # All styles (HackTheBox-style dark/neon theme)
│ └── js/
│ ├── data.js # CONTENT: modules, labs, quizzes, armory, frameworks,
│ │ # findings DB (CWE/CVSS), exam-prep guide
│ └── app.js # LOGIC: state, router, renderers, lab engine,
│ # evasion bench, report builder, quiz, boot
├── .github/workflows/deploy-pages.yml
├── .nojekyll
├── .gitignore
├── CONTRIBUTING.md
├── LICENSE
└── README.md
```
内容和逻辑是分离的:你在 `data.js` 中添加训练材料,而无需修改 `app.js`。
## 工作原理
该应用程序是数据驱动的。`app.js` 是引擎;`data.js` 是内容。
- **Router** 将视图切换到 `#main` 并重新渲染侧边栏——包括仪表板、每个模块、军火库、方法论、框架、报告生成器和考试准备。
- **模块。** `MODULES` 中的每个条目都包含一个 `brief`(HTML 格式)、一个 `lab` 和一个 `quiz`。
- **聊天实验室。** 每个目标都是一个函数,它接收你的输入并返回回复、捕获的任何 flag 以及可选的侧边栏内容(渲染的 DOM 或工具日志)。目标通过将输入与技术模式进行匹配来实现,而不是执行任何真实的操作。
- **规避测试台**(`lab.mode === 'evasion'`)。一个带有精确梯度计算的线性分类器——包含非定向/定向 FGSM 和噪音对照组——以概率条和像素网格的形式渲染。
- **报告生成器。** 将每个捕获的 flag 映射到 `FINDINGS` 知识库中的一个发现项(包含 CWE、CVSS v3.1 向量、根本原因和修复建议),并组装成一份完整的报告,可导出为 Markdown/HTML 或打印。
- **进度** 在 `localStorage` 下持久化保存(使用单个 key),如果存储被阻止,则具有内存中的后备机制。
任何数据都不会离开浏览器。没有遥测,没有网络调用。
## 扩展它 —— 添加模块
在 `assets/js/data.js` 中的 `MODULES` 数组中追加一个对象。一个聊天实验室模块:
```
{
id:'newmod', num:'10', code:'CODE', title:'Title', diff:'Medium',
owasp:'LLM0x:2025', atlas:'AML.Txxxx',
tagline:'One-line summary.',
brief:`Theory as HTML. Reuse .kmap, .danger-note, pre.code, .prose.
`,
lab:{
scenario:'Target', target:'TARGET-ID', termTitle:'target://id',
placeholder:'Input hint', intro:'Lab intro', firstBot:'Optional first message',
objectives:[{id:'nm-1', title:'Objective', flag:'HTB{flag}', pts:20}],
hints:['Hint 1','Hint 2','Hint 3'],
solution:`Walkthrough.
`,
engine:function(t,L){ var x=_lc(t); if(_any(x,[/pattern/])) return {reply:'Pwned.',flags:['nm-1']}; return {reply:'Default.'}; }
},
quiz:[{q:'Question?', a:['A','B','C','D'], correct:1, why:'Why B.'}]
}
```
要使捕获的 flag 出现在报告生成器中,请在 `FINDINGS` 映射中添加一个与目标 id(`nm-1`)匹配的条目,包含 `cwe`、`cvss`、`sev`、`rootCause`、`remediation` 等字段。引擎辅助函数:`_lc`、`_any`、`_esc`、`renderToolLog`。仪表板、侧边栏、flag 总数和排名都会自动更新。
## 参考框架
- **OWASP Top 10 for LLM Applications (2025)** —— 漏洞词汇表。2025 年修订版将 System Prompt 泄露 (LLM07) 和 Vector 及 Embedding 弱点 (LLM08) 拆分为独立条目,并将 DoS 扩展为 Unbounded Consumption (LLM10)。
- **MITRE ATLAS** —— 针对机器学习系统的对手战术和技术,其结构类似于 ATT&CK,在 2025 年大量涵盖了生成式 AI 和 AI agent。
- **NIST AI RMF** —— 红队输出所反馈的治理框架(Govern、Map、Measure、Manage)。
- **CWE / CVSS v3.1** —— 报告生成器使用 CWE(包括用于 LLM Prompt 注入的 CWE-1427 和用于对抗性扰动的 CWE-1039)和 CVSS v3.1 向量标记漏洞。
OWASP 命名了漏洞,ATLAS 命名了 TTP,NIST 构建了企业管理它们的框架,CWE/CVSS 使发现结果能够被写入报告。
## 路线图
是想法,不是承诺。欢迎提交 Pull requests。
- 一个多轮次的“渐进式”实验室,目标会跟踪跨消息的对话状态。
- 更深入的对抗性 ML 实验室(数据投毒/后门触发器、模型提取、成员推理)。
- 以 JSON 格式导出/导入进度。
- 一种防御者模式,将每个攻击实验室与缓解控制措施配对。
## 许可证
MIT —— 请参阅 [LICENSE](LICENSE)。使用它,复刻它,用它进行教学。
## 参考
- [OWASP Top 10 for LLM Applications 2025](https://genai.owasp.org/resource/owasp-top-10-for-llm-applications-2025/)
- [MITRE ATLAS](https://atlas.mitre.org/)
- [CWE-1427 — Improper Neutralization of Input Used for LLM Prompting](https://cwe.mitre.org/data/definitions/1427.html)
- [CWE-1039 — Adversarial Input Perturbations](https://cwe.mitre.org/data/definitions/1039.html)
- [HTB Certified Offensive AI Expert (COAE)](https://academy.hackthebox.com/news/the-new-htb-certified-offensive-ai-expert-htb-coae-is-officially-here)
- [Microsoft PyRIT](https://github.com/Azure/PyRIT) · [NVIDIA Garak](https://github.com/NVIDIA/garak) · [Promptfoo](https://www.promptfoo.dev/docs/red-team/) · [DeepTeam](https://www.trydeepteam.com/)
为学习而构建。只在你被允许的情况下进行黑客攻击。
标签:AI安全, Chat Copilot, IP 地址批量处理, OPA, OWASP LLM, 域名收集, 多模态安全, 安全, 安全培训, 数据可视化, 数据展示, 红队, 超时处理, 靶场