PaulDuvall/owasp_llm_top10

# OWASP LLM Top 10 -- 研讨会演示 [](https://github.com/PaulDuvall/owasp_llm_top10/actions/workflows/ci.yml) [](LICENSE)  这些是针对 [OWASP LLM Top 10 (2025)](https://genai.owasp.org/llm-top-10/) 中风险的最小化、可运行示例， 专为现场研讨会构建。每种风险都包含一个 `vulnerable.py` 和一个 `mitigated.py`， 它们之间仅存在微小且具有教学意义的差异。 这是一个**教学工具**，而不是扫描器。要进行生产环境的红蓝对抗， 请使用 [garak](https://github.com/NVIDIA/garak) 或 [promptfoo](https://github.com/promptfoo/promptfoo)。 ## 涵盖的风险 - [LLM01 -- Prompt Injection](src/llm01_prompt_injection/) - [LLM02 -- Sensitive Information Disclosure](src/llm02_sensitive_info_disclosure/) - [LLM06 -- Excessive Agency](src/llm06_excessive_agency/) - [LLM08 -- Vector and Embedding Weaknesses](src/llm08_vector_embedding_weaknesses/) ## 快速开始 ``` pip install -r requirements.txt python src/llm01_prompt_injection/vulnerable.py python src/llm01_prompt_injection/mitigated.py ``` 无需 API key -- 每个演示都包含一个确定性模拟器。设置 `OPENAI_API_KEY` 并安装 `openai` 即可针对真实模型运行。 ## 运行测试 ``` pytest ``` ## 研讨会形式 参阅 [WORKSHOP.md](WORKSHOP.md) 获取建议的 35 分钟实验室配对 (agent-loop 实验: LLM01+LLM06; RAG 实验: LLM02+LLM08) 及其运行清单。 ## 课程 这些演示为 O'Reilly 实时培训课程 *AI-Native DevSecOps: Shipping Secure AI-Generated Code Through a CI/CD Pipeline* 提供支持。讲师： Paul Duvall。

标签：AI安全, AWS, Chat Copilot, CISA项目, DevSecOps, DLL 劫持, DNS解析, DPI, EC2, GitHub Actions, IaC, LLM, MIT许可, O'Reilly, Petitpotam, pytest, Python, Python 3.11, RAG安全, Red Canary, Top 10, Unmanaged PE, 上游代理, 人工智能安全, 代码示例, 合规性, 向量与嵌入弱点, 大模型安全, 大语言模型, 安全培训, 安全报告, 安全测试, 安全漏洞, 开源项目, 提示注入, 攻击性安全, 数据分析, 无后门, 漏洞利用检测, 自动笔记, 越权操作, 集群管理, 零日漏洞检测