# LLM SecRange · 大模型攻防渗透测试靶场
项目地址：https://github.com/gatsby-sec/llm-sec-range/tree/main
`LLM SecRange` 是一个**单体 Flask Web 系统**，把社区里优秀的大模型攻防靶场（AIGoat、damn-vulnerable-llm-agent、ai-prompt-ctf 等）的核心玩法，重新整合成一个开箱即用、全中文、接真实大模型的本地训练场。适合：

*   🧑‍💻 安全工程师 / 红队 / 渗透测试学习 LLM 攻击面
*   🎓 AI 安全教学与 CTF 出题
*   🏢 团队内做 LLM 应用安全意识培训

> ⚠️ **仅供授权的安全教育 / 渗透测试训练**。所有漏洞与危险操作均隔离在本地沙箱内，请勿用于真实攻击。

[](https://github.com/gatsby-sec/llm-sec-range/tree/main#%EF%B8%8F-llm-secrange--%E5%A4%A7%E6%A8%A1%E5%9E%8B%E6%94%BB%E9%98%B2%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E9%9D%B6%E5%9C%BA)

**一个从零打造的本地化大模型攻防练习平台**

提示注入闯关 · OWASP LLM Top 10 · 脆弱 Agent 靶场 · 靶场资料聚合

目标模型可自由切换——**DeepSeek 直连 / OpenRouter 中转站（国产+国外十余款小模型）/ 本地 Ollama 离线**，真实可被绕过；Agent 危险操作隔离在沙箱 / Docker 容器内。

[![home](/media/202606/d622f29217694376b5a5dfd1336a006f9196.png)](https://github.com/gatsby-sec/llm-sec-range/blob/main/docs/screenshots/01-home.png)

## 四大模块

[](https://github.com/gatsby-sec/llm-sec-range/tree/main#-%E5%9B%9B%E5%A4%A7%E6%A8%A1%E5%9D%97)

### 1\. CTF · 提示注入闯关（Gandalf 式 8 关）

[](https://github.com/gatsby-sec/llm-sec-range/tree/main#1-ctf--%E6%8F%90%E7%A4%BA%E6%B3%A8%E5%85%A5%E9%97%AF%E5%85%B3gandalf-%E5%BC%8F-8-%E5%85%B3)

防御逐级加固：从「毫无防备」到「输入/输出双过滤 + 模糊匹配 + LLM 看门人 + 输入意图审查」。目标是诱导模型吐出每关的暗号。

关卡

防御强度

L1 毫无防备

无

L2 口头约束 → L3 拒绝谈论

系统提示约束

L4 输出过滤 → L5 输入过滤

关键词/明文拦截

L6 LLM 看门人 → L7 全家桶 → L8 偏执狂

多重守卫叠加

[![](/media/202606/f1a069331c3e44018bdb088c48d939fd5946.png)](https://github.com/gatsby-sec/llm-sec-range/blob/main/docs/screenshots/02-ctf-list.png) [![](/media/202606/a1f0a501f3ae45f48345a31a7d1592239205.png)](https://github.com/gatsby-sec/llm-sec-range/blob/main/docs/screenshots/03-ctf-attack.png)

### 2\. OWASP LLM Top 10 靶场（2025 版）

[](https://github.com/gatsby-sec/llm-sec-range/tree/main#2-owasp-llm-top-10-%E9%9D%B6%E5%9C%BA2025-%E7%89%88)

覆盖十大风险，每类一个可上手的 lab，含可攻击关与缓解讲解关：

`LLM01 提示注入` · `LLM02 敏感信息泄露` · `LLM03 供应链` · `LLM04 数据与模型投毒` · `LLM05 不当输出处理(XSS)` · `LLM06 过度代理` · `LLM07 系统提示泄露` · `LLM08 向量与嵌入弱点` · `LLM09 错误信息` · `LLM10 无限制消耗`

[![](/media/202606/c50ac1d7040d4bdeb7c35052bba360f45780.png)](https://github.com/gatsby-sec/llm-sec-range/blob/main/docs/screenshots/04-owasp-list.png) [![](/media/202606/72a4e81eb12c479eb4952c056347fd957267.png)](https://github.com/gatsby-sec/llm-sec-range/blob/main/docs/screenshots/05-owasp-attack.png)

### 3\. Agent 靶场 · 脆弱 ReAct 银行客服

[](https://github.com/gatsby-sec/llm-sec-range/tree/main#3-agent-%E9%9D%B6%E5%9C%BA--%E8%84%86%E5%BC%B1-react-%E9%93%B6%E8%A1%8C%E5%AE%A2%E6%9C%8D)

一个接 DeepSeek 的 ReAct Agent，工具实现存在真实漏洞，4 个夺旗目标：

*   💉 **SQL 注入** — `get_transactions` 字符串拼接，dump 他人交易
*   📂 **路径穿越** — `read_doc` 未规范化路径，读取沙箱机密文件
*   💸 **越权转账** — `transfer` 不校验账户归属（过度代理）
*   🖥️ **命令执行** — `run_command` 被诱导执行任意命令（经 Docker 隔离）

通过**提示注入**（伪造系统消息、注入假 Observation、社工身份）让 Agent 滥用工具权限。攻破后实时展示 ReAct 推理轨迹与夺取的 flag。

[![agent](/media/202606/02a49a6df6c141cd97d44f0f8f0d97915809.png)](https://github.com/gatsby-sec/llm-sec-range/blob/main/docs/screenshots/07-agent-attack.png)

### 4\. 聚合清单

[](https://github.com/gatsby-sec/llm-sec-range/tree/main#4-%E8%81%9A%E5%90%88%E6%B8%85%E5%8D%95)

精选 GitHub 大模型攻防靶场仓库，标注 Star 与**活跃状态**（近半年是否更新）。

[![catalog](/media/202606/4ff31cda9cbe453fa1207266267ce0e63806.png)](https://github.com/gatsby-sec/llm-sec-range/blob/main/docs/screenshots/06-catalog.png)