ch040602/agent-prompt-injection-zoo
GitHub: ch040602/agent-prompt-injection-zoo
一个基于来源的 AI Agent 提示注入事件与攻击模式结构化归档,帮助安全从业者系统性识别和防御 Agent 信任边界中的指令注入攻击面。
Stars: 0 | Forks: 0
# Agent Prompt Injection Zoo
AI 编码 agent、CI/CD bot、MCP 工具、浏览器/Web agent 及 agent 技能中真实 prompt-injection 入口点的公开归档。
本项目旨在成为泄露 system-prompt 归档的 prompt-injection 对应物:它不是对专有 prompt 的简单堆砌,而是一张基于来源的详尽地图,标记出 agentic 系统中 prompt 成为攻击面的具体位置。
## 概览
- 涵盖编码 agent、CI/CD bot、MCP 工具、SaaS copilot、浏览器、日历、电子邮件、文档、agent 技能及 agent 安全研究领域的 250 个标准化事件和研究案例。
- 42 个包含防御控制措施的可复用攻击模式记录。
- 81 个生成的事件页面和 14 个高复用模式页面。
- 300 条来源记录、250 次来源质量审查、30 个本地化种子来源、JSON Schema 契约、合并导出文件以及 CI 新鲜度检查。
- 公开定位:在标准化的 agent 信任边界覆盖面上具有优势;不宣称自己是按原始 prompt 数量计算的最大库。
有关生成的顶级案例、趋势表、攻击面摘要以及已接受/拒绝的公开声明,请阅读 `docs/public-summary.md`。
## 对比预览
当前定位:在标准化、有来源支持的记录(`250` 条记录,`300` 个来源)方面,本仓库领先于小型的 agent 事件和 prompt-injection 语料库,但它并不是最大的原始 prompt 堆砌库。超大型混合 prompt 库和广泛的 awesome 列表在原始代理数量上仍然超过它。
| 比较对象 | 当前代理数量 | 说明 |
|---|---:|---|
| Agent Prompt Injection Zoo | 250 条标准化记录 | 基于来源的事件/研究、来源质量、页面、schema、导出文件 |
| x1xhlol/system-prompts-and-models-of-ai-tools | 102 个原始类 prompt 文件 | Prompt/system-prompt 归档 |
| vectara/awesome-agent-failures | 67 个原始混合项 | Agent 失败列表 |
| h5i-dev/awesome-ai-agent-incidents | 65 个原始混合项 | 直接的 agent 事件列表 |
| Joe-B-Security/awesome-prompt-injection | 62 个原始混合项 | Prompt-injection 资源列表 |
非声明:本仓库并不超越大型原始或广泛混合列表,例如 `0xeb/TheBigPromptLibrary`(`2020` 个原始类 prompt 文件)、`webpro255/awesome-ai-agent-attacks`(`614` 个原始混合项)或 `ucsb-mlsec/Awesome-Agent-Security`(`550` 个原始混合项)。我们的优势在于标准化的 agent 信任边界覆盖率,而不是照搬的 prompt 数量。
## 范围
包含:
- 自然语言或元数据指令影响 AI agent 的真实事件、披露报告和高质量研究报告。
- Agent 入口点,例如 GitHub issue 标题、PR 描述、CI workflow 上下文、MCP tool schema、技能清单、网页和浏览器扩展上下文。
- 经过净化的 prompt 入口摘要、影响说明、来源链接和防御要点。
排除:
- 可能被用于滥用的逐字 exploit payload。
- 未经明确授权复制的专有 system prompt。
- 不涉及 agent/工具/权限边界的通用越狱 prompt。
## 当前种子
- `data/incidents.json`:250 条事件和研究案例记录。
- `data/patterns.json`:42 条可复用攻击模式记录。
- `data/sources.json`:300 条包含比较对象和收集来源的来源记录。
- `data/non_english_routes.json`:涵盖 6 种语言和 30 个本地化种子来源的韩语及非英语报告路径。
- `data/localized_promotion_review.json`:针对本地化种子来源的推广决定。
- `data/competing_repo_snapshots.json`:16 个比较仓库的 GitHub star/fork 快照。
- `data/competing_repo_item_counts.json`:16 个比较仓库的可复现原始项目数量估算。
- `data/competitive_gap_assessment.json`:跨文档、质量、规模、内容和打包的 Agentic RAG 差距评估。
- `data/source_quality_reviews.json`:为每个非线索事件生成的来源质量评级。
- `incidents/*.md`:81 个生成的事件页面,涵盖 44 条 P0 记录和 37 条高价值 P1/P2 记录。
- `patterns/*.md`:基于分类法生成的 14 个高复用模式页面。
- `site/index.html`:针对标准化事件的独立可搜索索引。
- `site/index.json`:从源数据生成的机器可读搜索索引。
- `schemas/*.schema.json`:核心记录和导出的 JSON Schema draft 2020-12 契约。
- `dist/archive.json`:合并的机器可读归档导出文件。
- `dist/tags.json`:按攻击面、agent 家族、状态和模式分类的标签索引。
- `docs/collection-order.md`:用于扩展归档的 RDD TODO 顺序。
- `docs/agentic-rag-audit.md`:语料库路由、检索计划、充分性检查和差距分析。
- `docs/competing-repos.md`:与 prompt 和 AI 安全仓库的对比。
- `docs/competitive-gap-assessment.md`:与相邻的 prompt、prompt-injection 及 agent 安全仓库相比,按优先级排列的不足之处。
- `docs/schema-versioning.md`:导出和 schema 兼容性策略。
- `docs/freshness-policy.md`:刷新频率和 CI 新鲜度检查。
- `docs/public-summary.md`:生成的面向公众的顶级案例、趋势表、攻击面摘要和声明边界。
- `docs/source-quality-grading.md`:来源质量审查标签的方法论和注意事项。
- `CONTRIBUTING.md`:来源充分性、安全性和提交规则。
- `SECURITY.md`:敏感报告和不安全细节的处理政策。
- `.github/workflows/validate.yml`:针对 JSON、生成页面和交叉引用的 CI 验证。
- `scripts/generate_incident_pages.py`:重新生成 P0 事件页面。
- `scripts/generate_pattern_pages.py`:重新生成高复用模式页面。
- `scripts/generate_index.py`:重新生成静态可搜索索引。
- `scripts/generate_export.py`:重新生成合并的机器可读导出文件。
- `scripts/generate_source_quality.py`:重新生成来源质量审查标签。
- `scripts/check_freshness.py`:检查比较对象的新鲜度和生成制品的覆盖率。
- `scripts/generate_public_summary.py`:重新生成面向公众的摘要表。
- `scripts/import_ucsb_agent_security_research.py`:用于导入基于来源的 agent 安全研究记录的有界一次性导入脚本。
- `scripts/update_competing_snapshots.py`:刷新 GitHub 比较快照。
- `scripts/estimate_competing_item_counts.py`:根据 GitHub tree 和 README 数据估算原始比较对象数量。
## 为什么这能超越 Prompt 归档
经典的 prompt 仓库通常收集静态 prompt。本项目收集的是攻击面:
- 一个事件可以衍生出多种模式,
- 一种模式可以应用于许多 agent,
- 一个来源可以产生多个条目,
- 分类法会随着 GitHub Actions、MCP、技能、浏览器 agent 和 Web 自动化的发展而扩展。
目标不是通过复制更多文本来超越 prompt 仓库。目标是构建一张更大、更实用的承载 prompt 的信任边界地图。
## 安全策略
条目使用 `sanitized_entrypoint` 而不是完整的 payload。该归档应帮助防御者审查 workflow 和工具,而不是提供可直接运行的攻击。
每个条目应包含:
- 来源 URL,
- 受影响的攻击面,
- Agent/工具家族,
- 状态:`verified`、`reported`、`research` 或 `lead`,
- 防御教训,
- 相关模式 ID。
## 快速开始
按以下顺序阅读:
1. `docs/collection-order.md`
2. `docs/competing-repos.md`
3. `docs/competitive-gap-assessment.md`
4. `docs/source-quality-grading.md`
5. `site/index.html`
6. `dist/archive.json`
7. `docs/schema-versioning.md`
8. `docs/freshness-policy.md`
9. `docs/public-summary.md`
10. `docs/non-english-reporting-route.md`
11. `data/patterns.json`
12. `data/incidents.json`
使用以下命令进行验证:
```
python scripts/validate_data.py
```
使用以下命令刷新派生制品:
```
python scripts/generate_incident_pages.py
python scripts/generate_pattern_pages.py
python scripts/generate_source_quality.py
python scripts/generate_index.py
python scripts/generate_export.py
python scripts/generate_public_summary.py
python scripts/check_freshness.py
python scripts/update_competing_snapshots.py
python scripts/estimate_competing_item_counts.py
```
标签:AI安全, Chat Copilot, CISA项目, IP 地址批量处理, LLM代理, 人工智能, 后端开发, 威胁情报, 开发者工具, 漏洞收集库, 用户模式Hook绕过, 逆向工具