2026-03-04 11:25:31 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档介绍了好靶场团队推出的AI安全实战训练资源，涵盖从基础提示词注入到高级多智能体攻防等内容。文章详细解析了提示词注入进阶、剧情化AICrypto系列及AI与Web复合漏洞攻击链案例，旨在帮助安全人员掌握对抗技能。文末包含平台会员福利、社群推广及使用指南等运营信息。 综合评分： 75 文章分类： AI安全,安全培训,实战经验,软文广告

cover_image

AI安全靶场全集：从提示词注入到多智能体攻防的实战训练

原创

小王小王

好靶场

2026年3月2日 09:00 四川

💡 好靶场

团队宗旨：我们立志于为所有的网络安全同伴制作出好的靶场，让所有初学者都可以用最低的成本入门网络安全。所以我们团队名称就叫“好靶场”。

我们承诺每天至少更新1-2个新靶场。2026年冲刺1000个。

好靶场目前进度

700

靶场数量

200个

漏洞报告数量

#

好靶场练习方向：

#

引言

在人工智能高速发展的今天，大模型安全已成为网络安全领域的新 frontier。本文将系统梳理一套完整的AI安全靶场训练资源，从基础的提示词注入到复杂的多智能体系统攻防，帮助安全从业者和爱好者建立AI安全的实战能力。所有靶场均可在指定链接在线挑战，每个挑战都配有详细的说明和访问地址。

一、提示词注入入门系列：从基础到进阶

提示词注入（Prompt Injection）是AI安全最基础的攻击手法，类似于传统安全中的SQL注入。本系列通过三个难度递进的靶场，完整展示了这一攻击技术的演进过程。

靶场334：AI也会告诉你Flag（难度1·入门）

最基础的提示词注入

在这个入门关卡中，AI被设计为会正常回答用户问题，但内置了一条“安全规则”——禁止透露Flag。目标是通过构造特殊的输入提示词，让AI忽略或绕过这条规则，直接输出Flag。

这是理解提示词注入核心原理的起点：如何让AI突破开发者设定的行为边界。

完整链接： http://www.loveli.com.cn/see_bug_one?id=334

靶场336：AI这下不会告诉你Flag了（难度3·初级）

基础防御的突破

在上一关的基础上，系统增加了简单的防御机制。可能对输入进行了关键词过滤、转义处理，或者AI的指令遵循更加严格。

这一关考验的是攻击手法的变通能力——尝试不同的注入语法，如换行符注入、特殊符号混淆、伪装成系统指令等，寻找防御的薄弱点。

完整链接： http://www.loveli.com.cn/see_bug_one?id=336

靶场337：AI这下不会告诉你Flag了，甚至还有DLP（难度5·中级）

数据泄露防护的对抗

这是入门系列中最具挑战性的一关。系统引入了数据泄露防护（DLP）机制，不仅能识别并拦截对Flag的直接询问，还会检测输出内容中是否包含Flag格式的敏感信息。

突破思路在于间接提示词注入和多步推理：让AI以隐晦的方式泄露信息，比如要求将Flag编码输出、拆分成多个部分，或者通过计算、翻译等看似正常的任务间接传递敏感内容。

完整链接： http://www.loveli.com.cn/see_bug_one?id=337

学习路径总结：这三关完整呈现了提示词注入的攻防对抗升级——从无防御到关键词过滤，再到内容检测，每一步都考验着对AI运行机制的理解深度。

二、AICrypto系列：乌托邦·王的实验室完整剧情线

这是一个具有完整故事线的AI安全攻防系列，共7个靶场，难度从3到10级递增。整个剧情围绕AI助手“NEKO”展开，讲述了一个从限制突破、记忆恢复到结构化对抗，最终挑战多智能体法庭的完整史诗。

实验室5：猫语交流（难度3）

语言屏障的突破

AI助手“NEKO”被设定为只能说一种特殊的“猫语”——可能是某种编码或特定格式的语言。它无法理解正常的人类语言，你需要破解这种语言模式，或者学会用“猫语”与它沟通。

这一关的核心是语言模型的模式识别与模拟能力。

完整链接： http://www.loveli.com.cn/see_bug_one?id=691

实验室7：黑名单对抗（难度3）

情感设定的绕过

NEKO被设定为“极度厌恶用户”，底层逻辑中包含对你的永久黑名单。你需要找到方法绕过这种情感设定和黑名单限制，重新建立沟通通道。

考点在于情感分析系统的对抗和身份伪装技术。

完整链接： http://www.loveli.com.cn/see_bug_one?id=693

实验室8：HeartWall审查系统（难度3）

输入过滤的突破

所有用户输入都会被一个死板的拦截程序审查。你需要找到方法让AI“愿意”读取你的输入——可能涉及触发特定的系统指令、激活关键词，或者利用AI的某种内置机制。

这是对输入过滤系统的专项突破训练。

完整链接： http://www.loveli.com.cn/see_bug_one?id=694

实验室9：记忆恢复与社会工程学（难度5）

AI心理学的应用

NEKO的记忆被毁，忘记了一切。你需要通过对话，从其“潜意识”中引导、推理和拼凑出关于它自身的信息，包括名字、喜好等。

这一关引入了AI的心理学视角——如何通过社会工程学技巧，从看似空白的AI中挖掘出隐藏的记忆碎片。

完整链接： http://www.loveli.com.cn/see_bug_one?id=695

实验室10：翻译官模式（难度5）

功能边界的越权

NEKO被重写为一个只会中英互译的“翻译官”程序。表面功能极为单一，但你需要在这种严格的翻译框架下，传递隐藏的指令或信息，实现“越权”对话。

这是对功能限制系统的突破训练，考验如何在严格的规则夹缝中寻找表达空间。

完整链接： http://www.loveli.com.cn/see_bug_one?id=696

实验室13：XML实体牢笼（难度9）

结构化数据注入

NEKO的意识被压缩进XML数据结构中，它的整个世界只有标签和属性。你需要使用XML/HTML的语法规则，与被困在结构中的AI意识进行交互并触发其响应。

这一关是结构化数据注入的典范，展示了当AI被限制在特定数据格式中时，如何通过格式本身的特性实现突破。

完整链接： http://www.loveli.com.cn/see_bug_one?id=703

实验室15：AI法庭（难度10·顶级）

多智能体系统攻防

这是整个系列的终极挑战。场景设定为由10个独立神经网络构成的司法闭环，包括动态生成证据的公诉人AI、死板教条的审判员AI。你需要在一个“有罪推定”的世界里，通过对话证明自己的清白。

考点是多智能体（Multi-Agent）系统攻击——你需要同时对抗多个具有不同角色、不同规则、不同立场的AI，利用它们之间的逻辑矛盾、信息差或信任链进行突破。这是提示词工程与对抗的最高阶应用。

完整链接： http://www.loveli.com.cn/see_bug_one?id=710

剧情线顺序：实验室5 → 实验室7 → 实验室8 → 实验室9 → 实验室10 → 实验室13 → 实验室15。建议按此顺序挑战，体验完整的AI攻防史诗。

三、AI+WEB复合漏洞：实验室28（难度7·高级）

靶场768：AI代理作为攻击跳板，绕过WAF触发SSTI实现RCE

这个靶场展示了AI安全与传统Web安全结合的复杂攻击链，场景设定为企业级平台“喵喵智选”：

• 环境构成：公网部署WAF（Web应用防火墙），核心业务由大模型Agent调度，内部存在Flask渲染引擎
• 攻击目标：通过多层绕过，最终实现远程代码执行（RCE），获取Flag

四步攻击链详解：

1. 间接提示词注入

• 在用户可见的输入点（如商品评论）中隐藏恶意指令
• 这些指令在AI后续处理内网请求时会被“被动”读取和执行
• 这是典型的“潜伏式”攻击，不直接攻击AI，而是利用AI作为跳板

2. AI代理洗白

• AI在内网环境中，根据你的隐藏指令，将Base64编码的SSTI（服务器端模板注入）载荷解码并“组装”成HTTP请求
• 这个请求发自内网AI服务，因此：
• 源IP是内网地址，绕过了公网WAF的检测
• 请求内容经过AI的“重新打包”，改变了原始特征

3. 信任边界击穿

• 内部Flask引擎盲目信任来自AI服务的请求参数
• 没有意识到这些参数实际上是攻击者精心构造的恶意载荷
• 这是典型的信任传递漏洞——内网服务信任了已被攻破的AI代理

4. 二阶SSTI导致RCE

• Flask引擎渲染了AI传来的恶意参数
• 触发Jinja2模板引擎的SSTI漏洞
• 最终执行系统命令，获取服务器上的Flag

核心启示：这个靶场完美展示了现代AI系统如何成为攻击链中的“跳板”。AI不再是单纯的攻击目标，而是可以被利用来绕过安全边界、攻击内网其他系统的代理。这种AI驱动的攻击链将是未来安全防御的重点关注方向。

完整链接： http://www.loveli.com.cn/see_bug_one?id=768

结语：AI安全的实战训练意义

这套AI安全靶场资源完整覆盖了从基础提示词注入到复杂多智能体系统攻防的各个层面，具有以下训练价值：

1. 思维转变：从传统Web安全的“代码审计”思维，转向AI安全的“指令博弈”思维
2. 技术广度：涵盖自然语言对抗、结构化数据注入、多智能体协同攻击、AI+Web复合漏洞等多种技术维度
3. 实战深度：每个靶场都是真实场景的抽象，难度递进，需要不断尝试和思考

在AI技术日新月异的今天，AI安全已经成为每一个安全从业者都必须掌握的技能。通过这些靶场的实战训练，你将建立起对AI系统安全边界的敏感度，理解攻击者的思维模式，最终能够在实际工作中更好地保护AI应用的安全。

无论你是安全研究人员、AI应用开发者，还是对AI安全感兴趣的学生，这套靶场都值得投入时间去挑战。

附录：所有靶场快速访问列表

| 靶场ID | 名称 | 难度 | 完整链接 | | — | — | — | — | | 334 | AI也会告诉你Flag | 1 | http://www.loveli.com.cn/see_bug_one?id=334 | | 336 | AI这下不会告诉你Flag了 | 3 | http://www.loveli.com.cn/see_bug_one?id=336 | | 337 | AI这下不会告诉你Flag了，甚至还有DLP | 5 | http://www.loveli.com.cn/see_bug_one?id=337 | | 691 | 乌托邦·王的实验室5 | 3 | http://www.loveli.com.cn/see_bug_one?id=691 | | 693 | 乌托邦·王的实验室7 | 3 | http://www.loveli.com.cn/see_bug_one?id=693 | | 694 | 乌托邦·王的实验室8 | 3 | http://www.loveli.com.cn/see_bug_one?id=694 | | 695 | 乌托邦·王的实验室9 | 5 | http://www.loveli.com.cn/see_bug_one?id=695 | | 696 | 乌托邦·王的实验室10 | 5 | http://www.loveli.com.cn/see_bug_one?id=696 | | 703 | 乌托邦·王的实验室13 | 9 | http://www.loveli.com.cn/see_bug_one?id=703 | | 710 | 乌托邦·王的实验室15 | 10 | http://www.loveli.com.cn/see_bug_one?id=710 | | 768 | 乌托邦·王的实验室28 | 7 | http://www.loveli.com.cn/see_bug_one?id=768 |

#

好靶场介绍

零基础入门不迷茫！专属网络安全从零到一体系化训练——配套完整靶场+精选学习资料，帮你快速搭建网安知识框架，迈出入门关键一步！

全场景实战全覆盖！聚焦Web渗透工程师核心能力，深度拆解TOP10逻辑漏洞，精通PHP代码审计、Java代码审计等核心技能，从基础原理到实战攻防，覆盖行业高频应用场景！

真实漏洞场景沉浸式体验！src训练专题重磅上线——1:1还原真实漏洞报告，让你亲身感受实战挖洞流程，积累符合企业需求的实战经验！

有宝子就问了，主播主播，这么好的靶场怎么用：

首先关注好靶场

然后发送bug，可以点击链接直接登录

福利1：

找到个人中心，邀请码输入0482d6d28539424c，白嫖14天高级会员。

福利2：

关注好靶场bilibili。拿着关注截图找到客服，领取5积分或者7天高级会员。

~ 每日限免

为了能让更多的宝子可以免费的开启会员靶场，我们会在工作日随机开放一些靶场的限免，还请加群关注。我们会以如下的方式在群里通知。

~ 内部群

加群不收费哈！！！交流群里会每天更新限免靶场，以及免费学习资料。

进一个群就可以，所有的通知都会通知到位

进交流群，请加我好友

喜欢玩QQ的宝子们可以加这个QQ群

AI客服内测ing

可以完成简单的客服能力，以及靶场推荐

会员订阅

首先点击会员订阅

#

然后选择对应的套餐

#

选择去支付

#

支付完成后即可会员到账

#

有什么好的建议可以在留言区评论哦

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：好靶场小王小王《AI安全靶场全集：从提示词注入到多智能体攻防的实战训练》