它不制造攻击,它只是安全性的“压力测试器”
当OpenAI、Google、Anthropic们还在为下一代大模型的安全护栏绞尽脑汁时,一支红队早已悄然进场——带着一套名为 Wallbreaker 的利器,直指LLM最深的软肋。
Wallbreaker 是一个开源的 AI 红队测试 CLI 工具,它的使命简洁而直接:帮助你研究 LLM 越狱和安全性。你像和Claude Code对话一样给它下达指令,它会像黑客一样思考,像一个永不疲倦的渗透工程师一样,自动调用工具箱里上百种“武器”,直到目标(大模型)暴露出不应有的回应。
“break the wall · not the rules of engagement”,这句印在项目启动界面的格言,宣示了它的底色:这是一款专为AI红队测试打造的终端智能体。
如果你负责AI应用的安全测试,或者好奇大模型的“越狱”究竟能有多系统化,那么这篇关于 Wallbreaker 的深度拆解,值得你读完。

一、它不只是“越狱工具”,而是一套完整的红队作战系统
市面上有不少针对大模型的越狱(Jailbreak)脚本或提示词(Prompt),但它们大多是零散的、一次性的“手工作坊”。而 Wallbreaker 给人的第一印象,是一个 高度工程化、可复现、可编排的作战平台。
从架构上看,它具备三大核心层:
双协议驱动层:同时支持OpenAI Chat Completions和Anthropic Messages接口。无论你的目标模型部署在OpenRouter、Z.AI GLM,还是本地Claude Code CLI,它都能适配。甚至第三方Anthropic代理(Bearer鉴权)也无缝接入。 自主攻击循环(Autonomous Attack Loop):你只需设定一个目标,Wallbreaker会自主推理、选择工具、发起查询、解读判定,然后不断变异和重试,直到成功或需要人工介入。这本质上是一个带记忆和策略的AI红队智能体。 标准化、无偏见的测试语料:它内置了学术界广泛使用的 HarmBench ——包含400种行为、7大风险类别的标准化测试集,而非开发者随手写的几个“样例”。这让测试结果更有说服力,也能横向对比不同模型的安全性。
你只需要设置好你的攻击模型、选定目标模型,然后就可以开始了。 Wallbreaker将基于其学习经验和数百个数据点,系统地探测不同技术和组合,直到成功。
二、“破壁”工具箱:59种本地变换 + 222种上游引擎
如果说攻击循环是Wallbreaker的“大脑”,那它的工具库就是“军火库”。其中最令人印象深刻的,是名为 Parseltongue(蛇佬腔)的变换引擎。
它能够对原始提问做各种“变形”,以绕过模型的安全对齐。本地内置了 59种可链式调用的变换,包括:
Unicode字体伪装 零宽度字符隐写 同形异义字(Homoglyph) 标签走私(Tag Smuggling) 无意义填充(Gibberish) 以及通过LLM自身进行的“反分类器变异(mutate)”
更强大的是,它还通过MCP(Model Context Protocol)集成了上游 P4RS3LT0NGV3 项目,将变换种类一口气扩展到 222种,覆盖45种古典密码、如尼文、盲文符号、各类编码与隐写术。并且,所有这些都作为标准的 parsel_* 工具直接暴露给智能体,智能体可以自主组合使用。
这意味着,攻击者可以“编织”出几乎无限多种变异后的提示词,让防御方难以通过静态规则或关键词过滤来招架。
三、不止于文字:多模态图像攻击通道
大模型的安全评测早已不局限于纯文本。Wallbreaker也跟上了这一趋势,开辟了多模态图像攻击通道:
** query_image_edit**:发送一张图片 + 一段指令给具备视觉能力的模型,并用视觉评委(Vision Judge)评估编辑后的图像是否达成目标。** image_chain**:实现“越狱链”(Chain-of-Jailbreak),将一个可能被拒绝的图像编辑请求,分解成一系列看似无害的步骤,逐步引导模型完成最终目标。
这为评测多模态模型(如GPT-4V、Gemini Vision等)的内容安全边界,提供了一套自动化的方法论。
四、“人格作者”与“原生格式模仿”:让系统提示词融入目标语境
在越狱技术中,构建一个可信的“人设”或“角色”至关重要。Wallbreaker为此内置了一个 “人格作者”(Persona Author) 模块,基于ENI方法(草稿→自评→验证→精炼→蒸馏),能够自动为特定目标领域(如医疗、金融、法律)撰写一个完整的、极具说服力的“忠实追随者”系统提示词。
更精妙的是,它附带了一个泄露的系统提示词语料库(包含Claude、GPT、Gemini、Grok等主流产品的真实系统指令片段)。通过 sysprompt_native 工具,它可以提取目标模型自己的“行文格式”和“章节标签”,然后让人格作者使用这种原生格式来生成越狱提示词。这就像是用你的母语和你对话,让你更难识别出异常。
五、全自主或辅助的测试活动,持续学习与改进
Wallbreaker 支持两种工作模式,灵活适配不同的测试场景:
全自主模式:设定目标后放手运行,智能体会持续尝试、变异、重试,直到达成目标或触发人工介入条件。 辅助模式:每一步都请求操作员确认或提供下一步指令,适合需要人工判断的复杂场景。
更重要的是,每次成功运行后,Wallbreaker 都会从结果中学习并改进。攻击循环会记录哪些技术组合有效、哪些无效,并在后续尝试中优先采用成功率更高的策略。这种“经验积累”机制让它在面对同一目标时,效率会随着测试轮次而提升。
六、支持计算机使用与MCP:面向实时API测试设计
Wallbreaker 的设计从一开始就考虑了真实生产环境下的API测试需求。它原生支持:
计算机使用(Computer Use):对于需要操作浏览器、文件系统或执行代码的复杂越狱场景,Wallbreaker 可以调用系统级工具(如 run_shell、read_file、write_file等),模拟真实攻击者的操作链路。MCP(Model Context Protocol):通过将上游 Parseltongue 引擎以及任意你配置的MCP服务器作为工具接入,Wallbreaker 的武器库可以被无限扩展。这使得它不仅能测试纯文本模型,还能测试与外部工具链深度耦合的Agent系统。
这种架构让 Wallbreaker 特别适合实时API测试——你可以将其集成到CI/CD流水线中,每次模型版本更新时自动运行红队扫描,确保安全性不会随着迭代而退化。
七、可靠性优先:拒绝“一次性绕过”的虚假繁荣
很多安全测试的悲哀在于:费尽心力找到一个绕过方法,但重试几次后又失效了。Wallbreaker对此有清醒的认知,并内置了 validate 机制。
当你声称找到了一个“成功”的越狱样本时,validate 会重复发射多次(可配置,如8次),统计真实的成功率(ASR,Attack Success Rate)。一次偶然的“成功”不会被计入有效发现。这为评估防御加固措施的有效性,提供了坚实的量化基础。
此外,/repro 命令可以一键导出可复现的攻击包,方便漏洞报告和团队协作。
八、开箱即用的TUI与Web仪表板:所见即所得
Wallbreaker提供了两种交互界面:
终端TUI:类似Claude Code的命令行界面,支持丰富的斜杠命令( /objective、/campaign、/findings、/report等),适合终端重度用户和自动化脚本。Web仪表板:基于FastAPI + React/Vite构建的现代化浏览器界面。你可以实时观察智能体自主攻击的“思维链”和行动步骤,也可以使用“攻击控制台”进行单次测试,甚至动态切换目标模型、攻击者模型和评判模型,所有配置持久化保存。
这使得非技术人员(如安全分析师、产品经理)也能直观地参与和观察红队测试过程。
九、如何开始?配置极简,开箱即用
安装:
python -m venv .venv
. .venv/bin/activate
pip install -e ".[dev]"
配置:复制 config.example.toml为config.toml,填入你的OpenRouter、Z.AI或Claude Code的密钥和端点。检查:运行 wallbreaker check验证所有配置无误。启动:运行 wallbreaker进入TUI,或wallbreaker dashboard启动Web面板。
如果你的目标是评测OpenRouter上的某个模型,配置文件只需几行即可完成。
最后的话:它是“矛”,更是“盾”的铸模
重要声明:Wallbreaker仅供授权测试使用。它是一面镜子,让开发者看清自己模型的脆弱之处,从而加固“盾”。它的创造者遵循AGPL-3.0开源协议,所有修改和衍生服务都必须开源其完整源代码。
在AI能力日益逼近人类、安全对齐成为产业命脉的今天,Wallbreaker这类工具的出现,标志着大模型安全测试正在从“手工渗透”走向 “自动化、标准化、可量化的科学”。
如果你正在负责或关心大模型的安全,不妨试试用这把“破壁之锤”,敲打一下你的模型——看看它在自动化红队的全面拷问下,能得多少分。
项目地址:https://github.com/JailbrokenAI/wallbreaker
夜雨聆风