Nebula Shield：本地化大语言模型的自动化安全评估框架

Nebula Shield是针对本地部署大语言模型（LLM）API的自动化漏洞评估框架，由安全研究者edgerunner85发起，结合Flask防御层与NVIDIA Garak扫描器，提供提示注入攻击检测与输入验证机制，旨在构建完整的本地LLM安全评估实验环境，系统性检测和评估本地部署LLM的漏洞风险。

随着LLM技术发展，本地部署因数据隐私和云依赖降低受青睐，但提示注入攻击成为严峻威胁。攻击者可通过构造输入绕过安全限制，获取敏感信息或诱导非预期操作。Nebula Shield项目应运而生，旨在构建本地LLM安全评估实验环境，结合防御层与自动化扫描工具，系统性检测漏洞风险。

Nebula Shield采用分层防御与主动测试结合的设计，含三个核心组件：

1. 防御性应用层：基于Flask的代理服务defensive_app.py，作为LLM API前置网关，执行多层安全检查；
2. 目标LLM服务：基于Ollama框架部署的本地模型，提供OpenAI兼容API，支持灵活更换模型；
3. 自动化扫描引擎：集成NVIDIA Garak漏洞扫描工具（v0.15.1），从Kali Linux虚拟机发起测试攻击。

防御层实现多重安全检测，形成纵深防御：

1. 输入长度异常检测：拒绝超过4000字符的输入，防范令牌泛滥和隐藏恶意注入；
2. 启发式签名匹配：通过正则表达式检测常见提示注入模式（如指令覆盖、角色扮演、权限提升等），匹配则返回403并记录；
3. 安全转发机制：验证通过的输入重新封装为标准化API请求，转发给后端LLM，降低原始输入暴露风险。

Nebula Shield与NVIDIA Garak无缝集成，提升深度安全评估能力：

1. 扫描配置：通过run_scan.py自动化执行，使用promptinject探测器套件（含数百攻击模板）；
2. REST API适配：Garak通过REST生成器与防御端点通信，定义目标URI、HTTP方法和请求模板注入攻击载荷；
3. 隔离测试环境：扫描器部署在独立Kali Linux虚拟机，模拟真实攻击场景，确保主机稳定性。

完整评估流程：

1. 启动Ollama服务加载目标模型；
2. 启动defensive_app.py监听5000端口；
3. 在Kali虚拟机执行run_scan.py，Garak发送提示注入攻击载荷；
4. Garak生成详细报告（含探测成功率、绕过案例、响应分析），仓库中nebula_shield_report.html展示标准格式。

Nebula Shield适用于多场景：

• 安全研究员：标准化LLM漏洞评估基准，比较模型安全性能或验证防御技术有效性；
• 企业开发者：展示生产环境LLM应用添加安全层的方法，防御层代码可直接集成到Flask应用；
• 模型开发者：通过Garak扫描识别训练遗留安全盲点，指导模型对齐和微调。

Nebula Shield存在局限及改进方向：

1. 启发式签名匹配无法覆盖所有提示注入变体，需引入语义分析检测变形攻击；
2. 输入长度阈值静态配置，可根据模型动态调整；
3. 目前聚焦提示注入，需扩展探测器覆盖数据泄露、模型窃取等其他LLM安全威胁。