核心用法
Prompt Guard 是一款专注于大语言模型(LLM)提示词安全的开源防御工具,采用纯离线设计为核心,内置577+条检测模式,覆盖提示注入、越狱攻击、系统指令覆盖等11类安全威胁。其架构支持分层加载(Tiered Loading),用户可根据场景选择Critical/High/Full三级模式,兼顾安全性与性能。工具提供Python SDK与CLI双接口,支持输入检测与输出DLP扫描,并可通过YAML灵活配置敏感度、响应动作(Log/Warn/Block/Block+Notify)及缓存策略。
显著优点
1. 离线优先,零依赖:核心功能完全离线运行,无需联网即可抵御已知攻击模式,避免第三方API延迟与隐私泄露风险
2. 分层架构,性能可控:Critical级仅加载45条高危模式(如密钥窃取、系统销毁指令),响应延迟极低;需深度检测时可动态升级至Full级
3. 多语言与编码对抗:支持英/韩/日/中/俄等10种语言的注入检测,内置解码器识别编码混淆攻击
4. 缓存机制:LRU哈希缓存实现90%重复请求命中,显著降低计算开销
5. API扩展性:可选API接入早期访问模式(7-14天领先开源)与高级检测(DNS隧道、隐写分析),形成"离线核心+云增强"混合架构
潜在局限
- 模式覆盖盲区:基于正则/规则的模式匹配难以应对零日攻击或高度变形的语义攻击,需依赖API层的AI模型补充
- 误报风险:High/Paranoid敏感度下,合法的技术讨论(如代码示例中的
rm -rf)可能触发误拦截 - API依赖争议:默认启用API(内置beta key)的设计虽便利,但可能引发用户对"隐形数据上传"的合规疑虑
- 维护成本:577+模式需持续更新以跟进攻击演进,开源社区的维护响应速度是关键变量
适合人群
- AI应用开发者:为ChatBot、Agent系统快速集成生产级输入过滤
- 企业安全团队:需符合数据不出境要求的金融、政务、医疗行业用户
- 红队/安全研究员:利用SHIELD分类体系进行攻击模式分析与基线测试
- MCP协议开发者:专门检测Model Context Protocol层的安全滥用
常规风险
| 风险类型 | 说明 | 缓解建议 |
|---------|------|---------|
| 过度信任 | 误将"无CRITICAL报警"等同于绝对安全 | 结合输出扫描与人工审计,启用Paranoid模式于高危场景 |
| 配置泄露 | YAML中的`canary_tokens`、`owner_ids`若提交至公开仓库 | 使用环境变量注入敏感配置,分离配置文件与代码仓库 |
| API密钥滥用 | 自定义API key的权限管控与流量计费 | 限制IP白名单,启用API层的reporting监控异常调用 |
| 模式失效 | 攻击者针对性绕过公开规则 | 订阅Premium API获取非公开检测逻辑,定期更新版本 |