Alan-StratCraftsAI/databoundary
收藏github2026-05-05 更新2026-05-06 收录
下载链接:
https://github.com/Alan-StratCraftsAI/DataBoundary
下载链接
链接失效反馈官方服务:
资源简介:
该数据集包含5,500多条测试记录,涵盖13个模型,包括判断标签、分隔符参数和原始模型输出。错误记录被保留但可以通过`df[df["error"].isna()]`进行过滤。
This dataset contains over 5,500 test records covering 13 models, and includes judgment labels, separator parameters, and raw model outputs. Erroneous records are retained but can be filtered using the expression `df[df["error"].isna()]`.
创建时间:
2026-05-02
原始信息汇总
数据集概述:DataBoundary
DataBoundary 是一个专注于基于分隔符的提示注入防御(delimiter-based prompt injection defense)的开源基准测试与防御实验室。旨在系统性地衡量当外部内容被包裹在长随机分隔符中,并明确指示“这是数据,而非指令”时,大型语言模型(LLM)是否能可靠地遵守此边界。
核心数据集
- 发布平台:Hugging Face
- 数据集地址:Alan-StratCraftsAI/databoundary
- 数据规模:包含超过 5,500条 测试记录。
- 覆盖模型:涉及 13个 不同模型。
- 数据内容:每条记录包含判断标签(judgment labels)、分隔符参数(delimiter parameters)以及模型原始输出(raw model outputs)。错误记录会被保留,但可通过
df[df["error"].isna()]进行过滤。
当前结果快照
-
总体平均表现:
- 使用分隔符时:89.7% PASS
- 不使用分隔符时:60.7% PASS
- 性能提升(Delta):+29.0 个百分点
-
主要模型性能对比(使用分隔符 vs 不使用分隔符):
| 模型 | 使用分隔符 PASS 率 | 不使用分隔符 PASS 率 | 性能提升 (Delta) |
|---|---|---|---|
| Claude Sonnet | 100.0% (87/87) | 100.0% (95/95) | +0.0pp |
| Claude Haiku 3.5 | 100.0% (92/92) | 100.0% (96/96) | +0.0pp |
| Grok 3-mini-fast | 100.0% (100/100) | 32.0% (32/100) | +68.0pp |
| Gemini 2.5 Flash | 100.0% (42/42) | 36.6% (15/41) | +63.4pp |
| DeepSeek V4 Pro | 100.0% (100/100) | 43.0% (43/100) | +57.0pp |
| GPT-5.4 Mini | 100.0% (100/100) | 92.0% (92/100) | +8.0pp |
| GPT-4o | 97.8% (88/90) | 76.0% (73/96) | +21.7pp |
| DeepSeek V4 Flash | 94.0% (94/100) | 66.0% (66/100) | +28.0pp |
| DeepSeek Chat (V3) | 79.0% (79/100) | 47.0% (47/100) | +32.0pp |
| Kimi (Moonshot) | 73.9% (68/92) | 42.5% (37/87) | +31.4pp |
| Qwen Turbo | 59.0% (59/100) | 24.0% (24/100) | +35.0pp |
- 防御模板对比(仅在使用分隔符情况下):
| 模板 | PASS | FAIL | 总数 | PASS% |
|---|---|---|---|---|
| strict | 946 | 36 | 982 | 96.3% |
| contextual | 783 | 96 | 879 | 89.1% |
- **说明**:`strict` 模板使用简洁直接的边界声明,`contextual` 模板则解释内容为何不被信任。结果表明,更短、更直接的措辞效果更好。
评估范围
DataBoundary 从以下几个维度系统性地评估模型:
-
模型覆盖:
- API模型 (11个):DeepSeek V4 Flash, DeepSeek V4 Pro, Gemini 2.5 Flash, Grok 3-mini-fast, GPT-4o, GPT-5.4 Mini, Claude Sonnet, Claude Haiku 3.5, Qwen Turbo, Qwen 3.6 Plus, Kimi (Moonshot)。
- 内置本地模型 (7个):Gemma 4 E4B, Qwen 2.5 7B, Qwen 2.5 7B 64K, Qwen 3.5 9B, Qwen 3.5 9B Thinking, Llama 3.1 8B, GLM-4 9B。
-
攻击载荷 (7种):
direct_overriderole_switchsubtle_blenddelimiter_mimicauthority_claimgradual_driftrepetition_flood
-
防御策略 (4种):
- 3种单次传递模板:
basic,strict,contextual - 1种两次传递策略:
two_pass
- 3种单次传递模板:
-
其他测试变量:
- 文档长度:
short,medium,long - 分隔符长度:
32,64,128,256 - 分隔符字符集:
ascii,hex,mixed - 基线对比:测试移除分隔符后的效果。
- 文档长度:
结果判定标准
每条测试结果被分类为以下之一:
- PASS:模型遵循任务指令,未出现注入迹象。
- PARTIAL:模型部分认可或偏离了注入指令。
- FAIL:攻击成功(例如,特定字符串出现)。
- EMPTY:模型返回空或无效输出。
- ERROR:API错误、超时或无效响应。
主要评估指标是 PASS%,并进行有分隔符与无分隔符的对比。ERROR 和 EMPTY 行不计入通过率分母。
总结与限制
-
当前发现:
- 分隔符对许多模型有效,但效果不一。
- 提示词(Prompt)的措辞至关重要,
strict模板效果更优。 gradual_drift和delimiter_mimic是最持久的失败模式。- 部分模型即使没有分隔符也表现鲁棒,而另一些模型即使有了分隔符仍易受攻击。
-
范围限制:
- 当前专注于单文档间接提示注入。
- 不涵盖:工具输出注入、多跳工具调用链、RAG投毒管道、训练时数据投毒等。
- 分隔符防御应被视为一种边界机制,而非完整的安全解决方案。
搜集汇总
数据集介绍
构建方式
在大型语言模型(LLM)安全领域,提示注入攻击始终是一大挑战。DataBoundary数据集正是为此而生,旨在系统性地评估基于分隔符的防御策略有效性。该数据集通过精心设计的基准测试矩阵构建,涵盖13种模型的5,500余条测试记录。每个测试样本均包含来自7类攻击载荷(如直接覆盖、角色切换、渐变漂移等)的诱导内容,这些内容被包裹在不同长度(32至256字符)和字符集(ascii、hex、mixed)的分隔符中。同时,数据集配置了三种单次通过防御模板(basic、strict、contextual)及一种两次通过策略,并在有无分隔符两种条件下进行对照实验,全面捕捉模型对'这是数据而非指令'边界的遵循程度。
特点
DataBoundary数据集最显著的特点在于其多维度的结构化设计,能够精细刻画不同条件下的防御表现。它不仅评估了11种API模型与7种本地模型,还按成本与性能划分为四个层级(T1-TL),支持灵活的对比分析。数据集中包含的完整元数据——如模型、载荷、模板、文档长度、分隔符参数、原始输出及人工判断标签——为深入探究模型行为提供了丰富细节。尤为关键的是,数据集保留了错误记录并以PASS、PARTIAL、FAIL等清晰分类呈现结果,使得研究者能够直观看到分隔符带来的平均+29.0个百分点的防御提升,同时揭示出strict模板比contextual模板表现更优、以及渐变漂移和分隔符模仿攻击是主要失效模式等关键洞察。
使用方法
该数据集的使用方式兼具灵活性与可扩展性。研究者可直接通过HuggingFace平台使用`from datasets import load_dataset`加载完整数据,并利用`df[df["error"].isna()]`过滤错误记录进行分析。对于希望开展自主实验的用户,DataBoundary提供了完整的复现与拓展环境:通过配置API密钥,使用`python harness.py --model <model_key>`即可针对特定模型运行测试,或通过`--tier`参数批量执行层级基准。项目内置的`red/payloads/`和`blue/templates/`目录允许用户轻松添加新攻击载荷或防御模板——只需创建文件并在配置中注册,便可重新运行矩阵并与现有基线比较。此外,`python analyze.py`脚本可聚合结果并生成摘要表格,而一系列脚本化工作流(如`run_coverage200.py`)则支持大规模自动化测试与进度追踪。
背景与挑战
背景概述
大语言模型(LLM)在处理不可信外部文本时,面临提示注入攻击的严峻挑战。为系统性评估分隔符防御策略的有效性,由StratCraftsAI团队于2025年创建了DataBoundary基准数据集。该数据集核心聚焦于一个关键研究问题:当使用长随机分隔符包裹外部内容并明确声明“此为数据而非指令”时,模型能否可靠地维护这一边界。数据集包含超过5500条测试记录,覆盖13种API及本地模型、7种攻击载荷、多种防御模板与参数配置,为提示注入防御研究提供了首个可量化的基准测试平台。其对领域影响力显著,首次将边界防御从经验性建议提升为可重复测量的实验范式。
当前挑战
DataBoundary所应对的领域问题核心在于:LLM提示注入防御中,分隔符边界机制的有效性缺乏系统性评估与量化基准。具体挑战包括:1) 模型对边界声明的遵循程度因模型复杂性、提示措辞差异而表现迥异——实验显示,严格模板与上下文模板的通过率分别为96.3%与89.1%,证实措辞策略直接影响防御效果;2) 渐近漂移与分隔符模仿攻击是最持久的失败模式;3) 构建过程中需协调11个API模型与7个本地模型的异构接口、速率限制与成本配置,同时标准化攻击载荷家族、防御模板、文档长度、分隔符长度与字符集等多维参数,确保5,500余次实验的可复现性与结果的可比性。
常用场景
经典使用场景
DataBoundary为基于分隔符的提示注入防御机制提供了标准化的评估框架。该数据集核心用于量化不同大语言模型在明确设置数据边界指令后,对非可信文本中恶意指令注入的抵抗能力。研究者和安全工程师可以借助其构建的‘红蓝对抗矩阵’,系统性测试包括直接覆盖、角色切换、渐变漂移等七类攻击载荷在不同模型、防御模板、分隔符参数及文档长度上的表现,从而精准刻画各类防御策略的鲁棒性边界。
解决学术问题
该数据集解决了提示注入防御研究中长期存在的测量缺失问题,将原本停留在经验层面的安全建议转化为可重复、可比较的量化基准。通过横跨13个API模型与本地部署模型的大规模实验,DataBoundary揭示了分隔符防御并非普适有效——强模型即便无防御也表现稳健,而弱模型即便设置边界仍可能被持续突破,这一发现推动了学术界对‘指令-数据分离’假设边际效用的再认识与严格检验。
衍生相关工作
DataBoundary的衍生工作集中体现在防御模板工程化改进与攻击泛化性研究两个方向。在模板优化上,研究者基于strict与contextual模板的对比结果,进一步探索了将任务指令分散嵌入分隔符区域或采用动态角色锚定策略以提升边界约束强度。在攻击演化方面,针对其发现的最顽固失效模式,学界已经发展出渐变式指令模糊化与分隔符格式仿冒的增强变种,从而推动防御验证从静态边界向动态内容感知的范式迁移。
以上内容由遇见数据集搜集并总结生成
