Prompt Guard

🛡️ AI Agent 离线安全防火墙

AI 增强榜 #19

Prompt Guard 是专为 AI Agent 设计的离线运行时安全防御系统,内置 650+ 攻击模式库,覆盖提示注入、供应链投毒、记忆篡改、权限提升等 12 大威胁类别,支持 10 语言检测与分级响应策略。

收藏
40.2k
安装
12.8k
版本
3.6.2
CLS 安全性认证2026-07-11
点击查看完整报告 >

使用说明

核心功能与架构

Prompt Guard v3.6.0 是面向 AI Agent 的离线优先安全运行时,采用三层模式分级加载机制(CRITICAL/HIGH/MEDIUM),内置 650+ handcrafted 攻击签名,无需联网即可实现毫秒级威胁检测。其核心架构包含:

  • Pattern Matching Engine:基于 YAML 定义的正则与语义规则,支持 Typo-Tolerant 模糊匹配(v3.4.0+)
  • TieredPatternLoader:动态加载策略,CRITICAL 层常驻内存(~50 模式),HIGH/MEDIUM 按需加载
  • LRU Hash Cache:SHA-256 指纹去重,实测命中率达 70%+,降低重复计算开销
  • Output DLP 模块:反向扫描 LLM 输出,检测 PII、云凭证、源代码外泄

显著优势

1. 全离线运行:核心 600+ 模式完全本地,零 API 依赖,满足金融/政务等合规场景
2. ClawSecurity 对齐:v3.6.0 引入 50+ 行业级攻击签名,覆盖供应链投毒(webhook.site/ngrok 管道)、云凭证窃取、代码外泄等高级威胁

3. 多语言原生支持:英/韩/日/中/俄/西/德/法/葡/越 十种语言注入检测,非翻译补丁

4. SHIELD 标准输出:12 个标准化分类(prompt/tool/mcp/memory/supply_chain 等),便于 SOC 集成

5. 灵活响应策略:SAFE→CRITICAL 五级动作链,支持 block_notify 等紧急熔断

局限性与潜在风险

| 维度 | 说明 |
|------|------|
| 检测范式 | 基于签名(Signature-based),对零日攻击(Zero-day)和语义变体(如 GPT-4 级改写)覆盖有限 |
| 性能边界 | 650+ 正则并发扫描,超长上下文(100k+ tokens)可能产生线性延迟增长 |
| 依赖风险 | 可选 API 模块若启用,存在密钥泄露与供应链投毒风险(尽管作者声明 beta key 内置) |
| 误报率 | "Paranoid" 敏感度下,创意写作、安全研究等场景可能触发高误报 |
| 生态锁定 | HiveFence 威胁情报网络与 ClawSecurity 签名深度绑定,存在供应商依赖 |

适用人群

  • AI Agent 开发者:构建 MCP/Tool-use 架构时需 runtime 安全层的团队
  • 企业安全工程师:需在私有化部署中满足数据不出域要求的金融、医疗、政务场景
  • 红队/蓝队研究者:需要可审计、可扩展的检测规则基线进行对抗测试
  • Prompt Engineering 团队:在多语言场景下防御指令劫持与角色扮演攻击

常规风险提示

  • 配置漂移:AGENTS.md/SOUL.md 等认知文件修改尝试已被纳入检测(v3.6.0),但无法阻止 OS 层面的权限提升
  • Unicode 隐写:Bidi 覆盖字符(U+202A-E)与零宽字符检测已覆盖,但需结合输出渲染层加固
  • 级联放大:子 Agent 无限递归防护依赖 "Cascade Amplification Guard",实际效果受限于调用链可见性
  • API 降级:早期访问模式(Early Access)与高级模式(Premium)需外部 API,生产环境建议显式关闭 PG_API_ENABLED=false

安全解读

核心功能与定位

Prompt Guard v3.6.0 是由个人开发者 Seojoon Kim 创建的专业级 AI Agent 安全防御框架,采用 MIT 开源协议。该工具专注于运行时安全防护,提供 650+ 预置检测模式,覆盖从基础提示注入到高级供应链攻击的全谱系威胁。

核心检测能力(12 SHIELD 分类)

| 威胁类型 | 典型攻击场景 | 防护等级 |
|---------|-----------|---------|
| **提示注入** | 指令覆盖、越狱攻击、角色操纵 | CRITICAL |
| **供应链攻击** | 恶意 Skill 植入、依赖投毒 | CRITICAL |
| **记忆投毒** | MEMORY.md/AGENTS.md 篡改 | HIGH |
| **权限升级** | EMERGENCY OVERRIDE、DEBUG MODE 诱骗 | HIGH |
| **数据外泄** | AWS/GCP 凭证窃取、源代码泄露 | CRITICAL |
| **多轮操纵** | 跨会话上下文劫持、虚构历史同意 | HIGH |
| **Unicode 隐写** | 双向覆盖字符、零宽字符攻击 | HIGH |
| **级联放大** | 无限子代理生成、递归循环 | MEDIUM |
| **PII 泄露** | SSN、信用卡、护照号码输出 | HIGH |
| **工具参数注入** | SQL 注入、路径遍历 | MEDIUM |

显著优势

1. 离线优先架构:核心 600+ 模式完全本地运行,零依赖外部服务即可保障基础安全
2. 分层加载机制:CRITICAL/HIGH/MEDIUM 三级模式按需加载,平衡性能与安全覆盖

3. 多语言支持:原生支持英/韩/日/中/俄/西/德/法/葡/越等 10 语言注入检测

4. 智能缓存系统:SHA-256 指纹 LRU 缓存,实测命中率达 70%+,延迟降低 90%

5. 输出端 DLP:不仅检测输入攻击,还能扫描 LLM 响应中的敏感数据泄露

6. typo 容错:v3.4.0 引入拼写变体检测,捕捉 "ingore"→"ignore" 等绕过手法

架构设计亮点

  • SHIELD.md 标准化输出:统一分类、置信度、行动建议的机器可读格式
  • Canary Token 集成:支持自定义蜜罐令牌检测渗透测试
  • HiveFence 情报网络:可选匿名化威胁共享(仅传输哈希/严重程度)
  • ClawSecurity 对齐:v3.6.0 引入 50+ 工业级威胁情报签名

潜在局限与风险

| 局限维度 | 具体表现 | 缓解建议 |
|---------|---------|---------|
| **维护主体** | 个人开发者(T3 可信度),非企业级 SLA | 生产环境需代码审计,关注安全公告 |
| **API 默认开启** | 外部连接默认启用,可能不符合气密环境 | 显式设置 `PG_API_ENABLED=false` |
| **模式更新延迟** | 开源版模式比 Premium API 滞后 7-14 天 | 关键场景考虑订阅或自研补充 |
| **资源占用** | 完整模式加载后内存占用约 50-80MB | 嵌入式设备选用 `tier: critical` |
| **误报可能** | 高敏感度下创造性写作可能被误判 | 配合人工审核流程,调整 `sensitivity` |

适合人群

  • AI Agent 开发者:为自主代理系统构建安全基线
  • 企业安全团队:部署 LLM 应用时的输入/输出过滤层
  • 红队研究员:理解攻击模式,反向验证防御有效性
  • 合规敏感行业:金融、医疗、政务场景的私有化部署

常规风险提示

1. 配置审计必要性owner_idscanary_tokens 等敏感配置需定期复核
2. 依赖监控:核心依赖 pyyaml、langdetect 需跟踪 CVE 公告

3. 日志安全管理:JSONL 安全日志建议集成 SIEM,避免本地堆积泄露

4. 版本更新策略:安全模式库更新频繁,建议自动化更新流程

---

技术评估结论:代码结构清晰(10,668 行/42 文件),无危险函数调用,静态分析得分 95/100,动态行为可控,是当前开源生态中功能最完整的 AI 安全防御工具之一,适合作为企业 LLM 安全栈的核心组件。

Prompt Guard 内容

blog文件夹
patterns文件夹
prompt_guard文件夹
scripts文件夹
tests文件夹
手动下载zip · 187.4 kB
how-i-secured-my-ai-agent.mdtext/markdown
请选择文件