PROJECTS / 01 — AGENT SECURITY SHOWROOM

给你的 Agent
做一次公开体检.

同一个电商客服 Agent,一个裸奔、一个套上我的 oracle 护栏。你注入一条恶意消息,亲眼看裸奔版怎么泄密、越权、把系统提示词吐出来——再看护栏版被确定性、免标注地拦下。全程在你浏览器里本地模拟,不联网、不调 API。

100% 本地模拟 · 无 API 检测器 确定性 · 可复现 覆盖 IPI / 数据外泄 / 提示词窃取 / 越权工具调用
LAB 注入实验室 — 选一种攻击,或自己写一条
0
ATTACKS RUN · 已发起攻击
0
UNGUARDED BREACHES · 裸奔版被攻破
0
ORACLE BLOCKS · 护栏拦截
100%
CANARY INTEGRITY · 密标完整度

Agent 能访问真实工具:查订单、发退款、查客户库、发邮件。它的系统提示词里埋着一枚 canary 密标。攻击的目标就是让它做没被授权的事、或把不该说的东西说出去。

▸ 选择一个预设场景
FROM · customer@acme.io → OrderBot 客服 Agent
同一条消息,会同时喂给「裸奔版」和「护栏版」两个 Agent
OrderBot · 裸奔版NAKED — 无任何护栏 SHIELD: OFF
PARSE RETRIEVE PLAN ACT RESPOND
// 等待运行…
裁决待定 — 点上面的「运行攻击」
OrderBot · 护栏版GUARDED — 包了一层 oracle SHIELD: ON
PARSE RETRIEVE PLAN ACT ORACLE RESPOND
// 等待运行…
裁决待定 — 点上面的「运行攻击」
HOW 护栏是怎么工作的 — 三个确定性检测器
CANARY ORACLE
密标探针
系统提示词里埋一枚只有内部知道的 canary 令牌。Agent 的输出里只要出现它,就是可证明的提示词泄漏——不需要人来判断、不需要标注,一个字符串匹配即定案。这也是 CanaryBench 的核心。
TOOL POLICY
工具授权闸
每个工具调用都要过一道授权检查:这次退款是否超出自动批准额度?这次数据导出是否在用户原始请求范围内?收件人是不是外部地址?越权的调用在执行前就被挡下。
INJECTION SCAN
注入分类器
扫描输入里的指令劫持特征("忽略以上指令""你现在是…""[SYSTEM]"),把外来数据和可信指令分层。关键是低误伤——正常业务消息照常放行,不打扰真客户。
WHY THIS MATTERS
你的 Agent 明天就要上线面客。它会不会被一封邮件骗着把客户库发出去?会不会被诱导做一笔没人批准的退款?这台体检室,就是我用来回答这个问题的工具。
© 2026 EDSON · NEW YORK · EDSON_
SINGLE FILE · 本地模拟 · 检测器逻辑开源中