LLM红队测试方法论：常见攻击类型（提示词注入：在用户输入中嵌入恶意指令覆盖系统提示；越狱（Jailbreak）：用角色扮演/场景设定绕过安全过滤；间接注入：通过外部文档/工具结果注入恶意指令；数据提取：诱导模型输出训练数据或系统提示）；红队测试框架（PyRIT（微软开源）；Garak LLM漏洞扫描器；自动化变体生成）；关键测试场景（系统提示泄露测试；敏感话题边界测试；角色扮演越狱测试；多轮渐进操控测试；工具调用权限越权测试）；防御策略（输入验证和净化；系统提示强化；输出过滤；权限最小化；异常请求检测）；评估指标（攻击成功率ASR；安全过滤误报率；最大风险暴露场景）；企业安全测试流程（内部红队+外部安全审计+持续自动化测试）。