Industry

ATR in MISP: Taxonomy + Galaxy Merged on the Same Day

ATR ResearchMay 10, 20265 min

Two MISP merges on 2026-05-10: PR #323 added the ATR taxonomy (standardised tags for AI agent threats); PR #1207 added the ATR galaxy with 533 cross-references mapping individual ATR rules to MITRE ATLAS and ATT&CK techniques. CERTs and ISACs now have both the vocabulary and the cross-walk to existing TI frameworks. Pivot, share IOCs, correlate across borders — without bespoke ontology.

合併

2026-05-10 UTC 17:40,MISP/misp-taxonomies#323 併入 main。ATR 現在是上游 MISP taxonomy。

如果你沒跑過 CERT、沒在 ISAC 桌子前坐過,MISP 對你可能沒什麼意義。我們解釋一下。

MISP 是什麼

MISP(Malware Information Sharing Platform)是全球各國 CSIRT 與 Information Sharing and Analysis Center 使用的標準威脅情資分享層。CERT-EU、CERT-FR、美國 H-ISAC、FS-ISAC、ENISA,以及數十個國家級 CERT 都在跑。一個機構觀察到攻擊並標記後,同儕機構可以根據共享標籤 pivot,從自己的感測器拉出相關遙測資料。

標籤需要詞彙。MISP 的 misp-taxonomies repo 就是那套詞彙 — 一組策展過的 namespace、predicate、value,所有人同意它們意思相同。

對 AI agent 威脅,過去沒有 namespace。想追蹤提示注入或工具下毒的 CERT,要嘛用自由文字標籤(無法關聯),要嘛硬塞進不相關的 taxonomy(失真)。PR #323 修了這件事。

Taxonomy 涵蓋什麼

ATR namespace 在 agent 威脅面加上標準化標籤:

●prompt-injection — 直接、間接、多輪、jailbreak 家族
●tool-poisoning — 工具描述中的隱藏指令、參數注入
●skill-compromise — agent Skill 的供應鏈入侵
●mcp-supply-chain — Model Context Protocol server 入侵、惡意 MCP package
●agent-manipulation — 目標劫持、scope creep、持久化
●memory-context-poisoning — 對抗性記憶體注入
●inter-agent-communication — 多 agent 訊息篡改
●rogue-agents — 未經授權的 agent 部署、影子 IT agent

每個 taxonomy value 都連回 agent-threat-rules repo 中對應的 ATR rule ID。標記事件 atr:prompt-injection="indirect-via-document" 的 CERT 分析師可以直接 pivot 到偵測該 pattern 的 ATR 規則。

Galaxy 合併

同一天合併的還有 MISP/misp-galaxy#1207。Galaxy 加上 533 條交叉引用,把每條 ATR 規則對應到 MITRE ATLAS 與 ATT&CK 技術。

Taxonomy 給 CERT 標籤,galaxy 給 cross-walk。分析師把事件標 atr:prompt-injection="indirect-via-document",可以直接 pivot 到 ATR galaxy 條目,看到該規則對應的 ATLAS 技術(AML.T0051 Prompt Injection、AML.T0043 Craft Adversarial Data),然後跟機構既有追蹤的 ATT&CK 對手 playbook 關聯。

對 TI 團隊來說,這就是「知道叫什麼」和「知道怎麼處理」的差別。

為什麼 CERT 在意這個

三個具體的工作流程收益:

1. 跨機構關聯。A 國的 CERT-A 標記事件,B 國的 CERT-B 查詢自家 MISP instance 時,標籤對得上。以前兩個機構會用不同的自由文字字串標記同一類攻擊。

2. IOC 分享。Indicator of Compromise(URL、模型指紋、惡意 Skill hash)可以帶著正確 context 分享。標在 ATR namespace 的 tool-poisoning IOC 告訴接收方要找哪一類攻擊,而不只是「這裡有個 hash」。

3. 既有工具直接能用。每個 CERT 都已經有 MISP 整合進 SIEM、ticketing、case management 系統。AI agent 威脅可以塞進同一條 pipeline。不用新 dashboard、不用新訓練、不用新採購週期。

標準制定者那一點

ATR 沒有發明 MISP。我們提了一個 PR,把 AI agent 威脅塞進 CERT 已經在用的工作流程。這就是開放標準工作的樣子:到實務工作者所在的地方、做整合工作、出貨。

如果你在運作 CERT 或 ISAC,想協助把 ATR taxonomy 接進你的 MISP instance,repo 有整合說明,維護者也可聯絡。

Taxonomy PR #323 · Galaxy PR #1207 · ATR repo · MISP project