生成式人工智能大语言模型渗透测试：大语言模型安全防护

生成式人工智能大语言模型渗透测试：大语言模型安全防护（中文字幕英文视频教程） 在生成式人工智能（GenAI）技术飞速发展的当下，大语言模型（LLM）已广泛应用于各类场景，但随之而来的安全风险也日益凸显。为帮助相关从业者全面掌握 LLM 安全防护技能，提升对大语言模型的安全防御能力，《生成式人工智能大语言模型渗透测试：大语言模型安全防护》课程应运而生。本课程内容系统全面，涵盖 LLM 安全与渗透测试的多个关键维度，且所有视频均配备中文字幕（srt 格式），方便中文用户学习，课程共包含 58 个视频，能为学习者提供丰富且实用的学习资源。 一、课程导入：开启 LLM 安全学习之旅 课程开篇的 “Introduction”（导论）模块，是学习者进入 LLM 安全领域的第一步。该模块包含 1 个视频，搭配中文字幕，不仅对课程整体内容进行了清晰介绍，还提供了重要的课程资源，如 “LLM PENTEST.pptx”，帮助学习者快速了解课程结构与学习重点，为后续的深入学习做好铺垫，让学习者能明确学习方向，高效开启 LLM 安全知识的探索之路。 二、基础认知：筑牢 LLM 安全知识根基 “Introduction to LLM Security & Penetration Testing”（LLM 安全与渗透测试导论）模块，通过 2 个带中文字幕的视频，为学习者搭建起 LLM 安全的基础认知框架。其中，“What is Penetration Testing”（什么是渗透测试）视频，详细阐释了渗透测试的核心概念、原理与流程，让学习者明白渗透测试在 LLM 安全防护中的重要性；“Why LLMs Are Vulnerable”（为何 LLM 存在漏洞）视频，则深入分析了大语言模型在设计、训练、应用等环节可能存在的安全隐患，帮助学习者从根源上理解 LLM 脆弱性的成因，为后续学习漏洞分析与防护策略打下坚实基础。 三、漏洞剖析：全面掌握 LLM 安全风险点 “Overview of LLM Vulnerabilities”（LLM 漏洞概述）模块是课程的核心部分之一，包含 10 个带中文字幕的视频以及 1 个实用的 IPython 笔记本文件（“Ai Application vulnerabilities.ipynb”）。该模块从多个角度深入剖析 LLM 漏洞：“Why Benchmarks Are Not Enough AI Safety & Security”（为何基准测试不足以保障 AI 安全）视频，打破了学习者对传统基准测试的认知局限，强调需从更全面的视角关注 AI 安全；多个漏洞演示视频，如 “LLM Application Vulnerabilities - Demo 01 (Code Explanation)”（LLM 应用漏洞 - 演示 01（代码解析））、“Demo 02 (Biased and Stereotypes)”（演示 02（偏见与刻板印象））等，通过具体案例展示了 LLM 应用中存在的代码漏洞、偏见问题、敏感数据泄露、服务中断、幻觉等多种漏洞类型，让学习者直观感受漏洞危害；“Foundation Models vs. LLM Apps”（基础模型与 LLM 应用）视频清晰对比了二者差异，帮助学习者针对性分析漏洞；“Strategies for LLM Application Safety”（LLM 应用安全策略）和 “Examining LLM Vulnerabilities”（审视 LLM 漏洞）视频，则从防护策略和漏洞审查角度，为学习者提供了应对 LLM 漏洞的思路与方法，助力学习者全面掌握 LLM 安全风险点，提升漏洞识别能力。 四、渗透测试基础：构建安全防御核心能力 “Penetration Testing & Red Teaming Fundamentals”（渗透测试与红队基础）模块，借助 4 个带中文字幕的视频，助力学习者构建渗透测试与红队操作的核心能力。“Why Penetration Testing is Essential for GenAI”（为何渗透测试对生成式人工智能至关重要）视频，强调了渗透测试在 GenAI 领域的必要性，让学习者认识到其在 LLM 安全防护中的核心地位；“Comparing Red Teaming and Penetration Testing”（红队与渗透测试对比）视频，清晰区分了两者的异同，帮助学习者根据实际需求选择合适的安全测试方式；“Penetration Testing Process”（渗透测试流程）和 “Exploitation”（利用）、“Post-Exploitation”（后期利用）视频，详细讲解了渗透测试的完整流程，包括从前期准备、漏洞扫描，到漏洞利用以及后期的成果分析与处理等环节，同时重点强调在渗透测试过程中，如何通过模拟攻击行为发现 LLM 的安全漏洞，进而为后续制定针对性的安全防护措施提供依据，切实提升学习者的安全防御能力。 五、LLM 红队技术：强化高级安全防护技能 “Red Teaming for LLMs”（LLM 红队技术）模块包含 1 个带中文字幕的视频，聚焦 LLM 红队操作的关键技术。“Red Teaming LLMs Five Key Techniques”（LLM 红队五大关键技术）视频，深入讲解了在 LLM 红队活动中常用的五种核心技术，包括技术原理、操作步骤以及在实际应用中的注意事项。通过学习该模块，学习者能够掌握高级的 LLM 安全测试方法，从红队视角发现 LLM 潜在的安全漏洞，进而优化安全防护策略，强化自身在 LLM 高级安全防护方面的技能，为 LLM 的安全稳定运行提供更有力的保障。 六、报告与防护：完善 LLM 安全防护闭环 “Reporting & Mitigation Strategies”（报告与缓解策略）模块通过 2 个带中文字幕的视频，帮助学习者完善 LLM 安全防护的闭环。“Reporting”（报告）视频详细介绍了 LLM 安全测试报告的撰写规范、内容要点以及呈现方式，强调一份高质量的报告能为企业或组织了解 LLM 安全状况、制定防护措施提供重要参考；“Remediation and Reporting”（修复与报告）视频则进一步讲解了如何根据安全测试报告中的漏洞信息，制定科学合理的漏洞修复方案，以及如何对修复效果进行验证，确保 LLM 的安全漏洞得到有效解决，形成 “测试 - 报告 - 修复 - 验证” 的完整安全防护闭环，提升学习者在 LLM 安全防护全流程中的操作能力。 七、ATT&CK 框架应用：借助标准提升防护水平 “MITRE ATT&CK Framework for LLMs”（适用于 LLM 的 MITRE ATT&CK 框架）模块是课程的重要技术支撑部分，包含 14 个带中文字幕的视频。该模块从 ATT&CK 框架的基础认知入手，“What is ATT&CK”（什么是 ATT&CK）视频介绍了 ATT&CK 框架的基本概念与起源；“Understanding the Pyramid of Pain”（理解痛苦金字塔）视频帮助学习者掌握漏洞分析的重要工具；“Overview of ATT&CK Matrices”（ATT&CK 矩阵概述）、“ATT&CK Tactics”（ATT&CK 战术）、“ATT&CK Techniques”（ATT&CK 技术）、“ATT&CK Subtechniques”（ATT&CK 子技术）等视频，系统讲解了 ATT&CK 框架的核心组成部分，让学习者深入理解框架的结构与应用逻辑；“Data Sources for ATT&CK”（ATT&CK 的数据来源）、“Detection Strategies”（检测策略）、“Implementing Mitigation Techniques”（实施缓解技术）等视频，为学习者提供了基于 ATT&CK 框架的 LLM 安全检测与防护方法；“Exploring ATT&CK Groups”（探索 ATT&CK 组织）、“Software in the ATT&CK Framework”（ATT&CK 框架中的软件）、“Campaigns Overview”（活动概述）、“ATT&CK Relationships”（ATT&CK 关系）、“ATT&CK Enterprise Matrix - Hands-On”（ATT&CK 企业矩阵 - 实践）等视频，则通过实践案例和详细解析，帮助学习者将 ATT&CK 框架灵活应用于 LLM 安全防护工作中，借助这一标准框架提升 LLM 安全防护的系统性与专业性。 八、深度漏洞解析：聚焦 LLM 应用安全重点 “LLM Application Vulnerabilities”（LLM 应用漏洞）模块是对 LLM 漏洞知识的进一步深化，包含 13 个带中文字幕的视频以及 2 个实验访问链接（“Indirect Prompt Injection Lab Access.url”“Insecure Output Handling Lab Access.url”）。该模块针对 LLM 应用中常见的重点漏洞展开深入讲解：“Prompt Injection”（提示注入）、“Indirect Prompt Injection Demo”（间接提示注入演示）视频，详细分析了提示注入漏洞的原理、攻击方式及危害，同时通过实验链接让学习者进行实操演练，加深对漏洞的理解与防御能力；“Insecure Output Handling Theory”（不安全输出处理理论）和 “Insecure Output Handling Demo”（不安全输出处理演示）视频，结合实验操作，讲解了不安全输出处理可能引发的安全问题及防护措施；“Supply Chain Vulnerabilities”（供应链漏洞）、“Model Denial of Service (DoS)”（模型拒绝服务）、“Stop Model DOS Attack”（阻止模型 DOS 攻击）、“Training Data Poisoning”（训练数据投毒）、“Sensitive Information Disclosure”（敏感信息泄露）、“Plugin Security LLM Applications”（LLM 应用插件安全）、“Excessive Agency”（过度代理）、“Overreliance”（过度依赖）、“Model Theft”（模型窃取）等视频，全面覆盖了 LLM 应用在供应链、服务可用性、数据安全、插件使用、权限控制、模型保护等方面的漏洞，通过理论讲解与案例分析，帮助学习者深入掌握各