Galah：基于LLM的动态Web蜜罐

项目介绍

Galah（/ɡəˈlɑː/ - 发音为‘guh-laa’）是一款基于大型语言模型（LLM）驱动的Web蜜罐，旨在模拟各种应用程序，并动态响应任意HTTP请求。Galah支持多个主流LLM提供商，包括OpenAI、GoogleAI、GCP的Vertex AI、Anthropic、Cohere和Ollama。与传统的静态模拟特定Web应用程序或漏洞的Web蜜罐不同，Galah能够动态生成与请求相关的响应，包括HTTP头和主体内容。生成的响应会被缓存一段时间，以防止对相同请求的重复生成，从而降低API成本。

项目技术分析

Galah的核心技术在于其利用LLM动态生成HTTP响应的能力。通过配置文件中的提示（prompt），Galah能够指导LLM生成符合特定JSON格式的响应。这种动态响应机制使得Galah能够灵活应对各种HTTP请求，而不仅仅是预设的固定模式。此外，Galah还实现了端口特定的缓存机制，确保同一请求在不同端口上不会重复使用相同的响应，从而提高了系统的灵活性和安全性。

项目及技术应用场景

Galah适用于多种网络安全场景，特别是在需要动态模拟Web应用程序以诱捕攻击者的环境中。例如：

• 网络安全研究：研究人员可以使用Galah来模拟各种Web应用程序，观察攻击者的行为模式，从而改进防御策略。
• 蜜罐部署：在企业网络中部署Galah，可以动态响应攻击者的请求，收集攻击数据，帮助企业更好地了解和应对潜在威胁。
• API测试：开发人员可以使用Galah来测试API的安全性和鲁棒性，确保API在面对各种异常请求时能够正确响应。

项目特点

• 动态响应：Galah能够根据任意HTTP请求动态生成响应，无需预设固定模式，极大地提高了蜜罐的灵活性和真实性。
• 多LLM支持：支持多个主流LLM提供商，用户可以根据需求选择合适的LLM模型。
• 缓存机制：通过缓存生成的响应，Galah能够有效降低API调用成本，同时确保响应的时效性。
• 易于部署：Galah提供了本地部署和Docker部署两种方式，用户可以根据自己的环境选择合适的部署方式。
• 非生产用途：Galah主要作为探索LLM在HTTP消息生成中能力的实验性项目，不建议在生产环境中使用。

通过以上特点，Galah为用户提供了一个强大的工具，帮助他们在网络安全研究和实验中获得更多有价值的数据和见解。如果你对网络安全和LLM技术感兴趣，Galah绝对是一个值得尝试的开源项目。