核心用法
Prompt Guard 是专为大型语言模型(LLM)设计的提示词注入防御系统,采用三层架构实现高效威胁检测:
1. 分级模式加载(Tiered Loading)
- CRITICAL 级(~45 模式):始终加载,覆盖密钥泄露、危险系统命令、反向 Shell、SSH 密钥注入、认知型 Rootkit 等致命威胁
- HIGH 级(~82 模式):默认加载,包含指令覆盖、越狱攻击、系统伪装、语义蠕虫等
- MEDIUM 级(~100+ 模式):按需加载,处理角色操纵、情感操控等进阶攻击
- API 扩展:早期访问模式(7-14 天提前开源)、高级检测(DNS 隧道、隐写、沙箱逃逸)
2. 核心检测流程
from prompt_guard import PromptGuard guard = PromptGuard() # API 默认启用,内置 Beta Key result = guard.analyze(user_input) # 返回分级响应:ALLOW/LOG/WARN/BLOCK/BLOCK_NOTIFY
3. 输出端 DLP 保护
支持对 LLM 响应进行敏感信息扫描与脱敏处理,防止模型意外泄露训练数据或系统提示。
4. 性能优化
- LRU 哈希缓存实现 90% 重复查询加速
- 多语言支持:英/韩/日/中/俄/西/德/法/葡/越
- SHIELD 标准化输出格式,便于安全运营集成
显著优点
| 维度 | 优势 |
|------|------|
| **离线能力** | 577+ 核心模式完全离线运行,零依赖外部服务 |
| **威胁覆盖** | v3.2.0 新增 27 种实战武器化攻击模式,涵盖反向 Shell、数据外泄管道、持久化植入 |
| **响应分级** | 5 级严重度(SAFE→CRITICAL)匹配差异化处置策略 |
| **灵活部署** | 支持 pip 安装、CLI 调用、Python API、YAML 配置 |
| **生态集成** | HiveFence 威胁情报网络、SHIELD.md 分类标准、MCP 协议防护 |
潜在缺点与局限性
1. 正则模式局限性:基于 577+ 正则/启发式规则,对零日提示词攻击和语义级对抗样本(如编码混淆、多步诱导)的检测存在理论上限
2. API 依赖权衡:高级功能(DNS 隧道、隐写检测)锁定在付费 API 层,离线版无法覆盖 APT 级攻击
3. 误报风险:高敏感度(paranoid)模式下,创意写作、代码示例等场景可能触发误拦截
4. 上下文窗口限制:超长输入的多轮攻击上下文分析能力未明确披露
5. 维护成本:攻击模式需持续更新,社区版更新频率依赖作者(Seojoon Kim 个人维护)
适合人群
- AI 应用开发者:为 Chatbot、Agent 系统构建输入过滤层
- 企业安全团队:需要符合 SHIELD 标准的 LLM 安全审计工具
- 红队/蓝队研究人员:研究提示词攻击手法与防御对策
- SaaS 平台运营方:防止用户通过提示注入窃取其他用户数据或系统密钥
常规风险
| 风险类型 | 说明 |
|----------|------|
| **单点依赖** | 核心模式库由单一维护者(Seojoon Kim)主导,长期可持续性需关注社区贡献 |
| **API 密钥泄露** | 内置 Beta Key 存在被滥用的潜在风险,生产环境应替换为私有密钥 |
| **模式绕过** | 攻击者可针对公开的正则模式设计绕过变体(安全通过模糊性原则) |
| **性能瓶颈** | 全模式扫描(`pattern_tier: full`)在高并发场景下可能成为延迟瓶颈 |
| **合规盲区** | 未明确披露是否通过 SOC2、ISO27001 等认证,企业采购需额外尽职调查 |