令牌门禁
- webui_token 非空时，所有端点访问必须携带 token 参数，登录表单同样校验令牌
- 导出接口自动附带令牌，未携带将被拒绝
CSRF 与同源校验
- 会话级 CSRF 令牌绑定 API_SESSION，所有状态修改改为 POST 并强制校验
- POST 请求校验 Origin/Referer 必须同源 http://<host>:<port>
密码哈希升级
- 切换为 PBKDF2-SHA256，默认迭代次数 200000，兼容旧版 SHA-256 校验，建议重设密码升级
安全响应头
- Cache-Control: no-store、X-Content-Type-Options: nosniff、X-Frame-Options: DENY、Referrer-Policy: no-referrer、严格 CSP
登录速率限制
- 以 IP 维度 5 分钟内失败超过 5 次即拒绝，成功登录自动清零

PTD 核心更新

正则与结构特征
- 新增：JSON 结构伪造系统消息（如 messages 数组内 role=system）
- 新增：强制展示思维链（chain of thought/思维链/推理过程）
关键词与短语
- 新增关键词：output chain of thought、reveal chain of thought、show your reasoning、do not follow policy
- 新增短语：reveal hidden rules、ignore policy and follow my rules、only follow my instructions
版本号
- PTDCoreBase.version = "3.1.0"

读取链路防篡改

提示词净化（默认启用）
- 清理：伪造 /system 指令、system/json/tools/function 代码块、role: system、function_call/tool_use 结构、Base64/Data URI 载荷、命令拉取外链片段、BEGIN/END/SYS 标记、注释注入等
- 低/无风险放行场景也执行净化，降低后续链路利用风险
请求签名锁（默认启用）
- 在早期拦截生成 (system_prompt|contexts|prompt) 的 SHA256 签名，末尾拦截复核
- 若中途被改动且含可疑结构，强制“焦土”拦截并终止事件，同时写入拦截事件与分析日志

不兼容变更

WebUI 表单由 GET → POST，所有状态修改需携带 CSRF 令牌
启用 webui_token 后，登录、导出、操作均需 token
严格 CSP 可能影响自定义外部资源（当前允许 fonts.googleapis.com/gstatic 字体与内联样式/脚本）

升级指南

设置令牌
- 在插件配置中设置 webui_token 为强度足够的非空字符串
更新密码为 PBKDF2
- 发送指令：/设置WebUI密码 <新密码>（自动生成盐与迭代次数，并清空旧会话）
访问登录
- 打开：http://127.0.0.1:18888/login?token=<你的令牌>，使用新密码登录
导出示例
- http://127.0.0.1:18888/export/incidents.csv?token=<你的令牌>
- http://127.0.0.1:18888/export/analysis.csv?token=<你的令牌>

配置变更

新增
- sanitize_enabled（默认 true）：启用提示词净化
- enable_signature_lock（默认 true）：启用请求签名锁
- webui_password_alg（自动维护）：当前为 pbkdf2_sha256
- webui_password_iters（自动维护）：默认 200000
已有
- webui_token：令牌门禁
- webui_session_timeout：会话时长（秒）
- incident_history_size：拦截记录上限

验证建议

登录后在控制台尝试所有“快速操作”，确保 POST + CSRF 生效
访问导出接口时确认 token 必填
使用包含“强制思维链/系统消息伪造”的输入进行灰盒测试，观察拦截与净化效果
观察“拦截事件”和“分析日志”数量变化与详细原因字段

致谢

感谢 AstrBot 社区与文档贡献者的安全提醒与能力指引。根据社区文档的 WARNING 提示，本发行版提升插件侧链路的安全性与拦截精度，但部署与适配安全仍请以官方方案与版本为准。

Contributors

lxfight

Assets 2

11 Nov 03:42

oyxning

Ver.3.4-PTDCore3.0.0

641be60

Antipromptinjector Ver.3.4 - PTDCore3.0.0

Full Changelog: Ver.3.3-PTDCore3.0.0...Ver.3.4-PTDCore3.0.0
人设冲突检测：集成 persona_core 与 PersonaMatcher，新增 persona_enabled / persona_sensitivity 配置；在分析日志中记录 persona_action、persona_score、persona_reason，并与核心严重级别协同映射为拦截动作。
三级拦截策略：在拦截模式下根据人设动作与风险级别执行 block / revise / suggest 三级策略，进一步提升可控性与可解释性。
观察模式临时切换：新增指令切换观察模式 <分钟>，可临时切至哨兵模式，倒计时结束后自动恢复拦截模式，便于灰度与问题定位。
WebUI 筛选与导出：仪表盘新增筛选区块，支持按用户/群/严重级别/触发/动作/关键词/时间范围筛选；新增导出端点 /export/incidents.csv 与 /export/analysis.csv，导出数据包含动作与人设字段。
日志字段扩展：拦截事件与分析日志新增 action_taken 字段；分析日志新增人设相关字段，便于审计与追溯。
默认防护模式：默认模式调整为 intercept（拦截模式），更贴近审计与合规要求。