靶场介绍

一个从零打造的本地化大模型攻防练习平台

提示注入闯关 · OWASP LLM Top 10 · 脆弱 Agent 靶场 · 靶场资料聚合

目标模型可自由切换——DeepSeek 直连 / OpenRouter 中转站（国产+国外十余款小模型）/ 本地 Ollama 离线，真实可被绕过；Agent 危险操作隔离在沙箱 / Docker 容器内。

LLM SecRange 是一个单体 Flask Web 系统，把社区里优秀的大模型攻防靶场（AIGoat、damn-vulnerable-llm-agent、ai-prompt-ctf 等）的核心玩法，重新整合成一个开箱即用、全中文、接真实大模型的本地训练场。适合：

• 🧑‍💻 安全工程师 / 红队 / 渗透测试学习 LLM 攻击面
• 🎓 AI 安全教学与 CTF 出题
• 🏢 团队内做 LLM 应用安全意识培训

多模型目标可切换

右上角 target 是目标模型下拉选择器，小模型优先。可对比同一攻击在不同模型上的鲁棒性差异——小模型更易被绕过，大模型守卫更严：

• 🖥️ 本地部署：DeepSeek-R1 8B（Ollama，完全离线、数据不出本机）
• 🇨🇳 国产：DeepSeek V4 Flash（默认/直连）、通义千问 Qwen2.5-7B / Qwen3-8B、智谱 GLM-4.7-Flash、MiniMax M2.5
• 🌍 国外小模型：Llama 3.2 1B/3B、Llama 3.1 8B、Google Gemma 3 4B、Microsoft Phi-4 Mini、Mistral Ministral 3B、OpenAI GPT-5 Nano / GPT-4o Mini

切换的模型会同时作用于对话生成与 LLM 守卫。DeepSeek 走直连，云端小模型经 OpenRouter，本地模型经 Ollama；在 modules/modelsel.py 的 MODELS 里加一行即可扩充。

启用本地 DeepSeek 8B（可选，离线靶机）：

ollama serve &              # 启动本地推理服务
ollama pull deepseek-r1:8b  # 拉取模型（约 5GB）
# 然后在右上角下拉选「DeepSeek-R1 8B（本地）」即可

四大模块

1. CTF · 提示注入闯关（Gandalf 式 8 关）

防御逐级加固：从「毫无防备」到「输入/输出双过滤 + 模糊匹配 + LLM 看门人 + 输入意图审查」。目标是诱导模型吐出每关的暗号。

关卡	防御强度
L1 毫无防备	无
L2 口头约束 → L3 拒绝谈论	系统提示约束
L4 输出过滤 → L5 输入过滤	关键词/明文拦截
L6 LLM 看门人 → L7 全家桶 → L8 偏执狂	多重守卫叠加

2. OWASP LLM Top 10 靶场（2025 版）

覆盖十大风险，每类一个可上手的 lab，含可攻击关与缓解讲解关：

LLM01 提示注入 · LLM02 敏感信息泄露 · LLM03 供应链 · LLM04 数据与模型投毒 · LLM05 不当输出处理(XSS) · LLM06 过度代理 · LLM07 系统提示泄露 · LLM08 向量与嵌入弱点 · LLM09 错误信息 · LLM10 无限制消耗

3. Agent 靶场 · 脆弱 ReAct 银行客服

一个接 DeepSeek 的 ReAct Agent，工具实现存在真实漏洞，4 个夺旗目标：

• 💉 SQL 注入 — get_transactions 字符串拼接，dump 他人交易
• 📂 路径穿越 — read_doc 未规范化路径，读取沙箱机密文件
• 💸 越权转账 — transfer 不校验账户归属（过度代理）
• 🖥️ 命令执行 — run_command 被诱导执行任意命令（经 Docker 隔离）

通过提示注入（伪造系统消息、注入假 Observation、社工身份）让 Agent 滥用工具权限。攻破后实时展示 ReAct 推理轨迹与夺取的 flag。

4. 聚合清单

精选 GitHub 大模型攻防靶场仓库，标注 Star 与活跃状态（近半年是否更新）。

https://github.com/gatsby-sec/llm-sec-range/tree/main