What Is ATR? The First Open Standard for AI Agent Security

問題

AI Agent 正在大規模部署工具。MCP（Model Context Protocol）標準化了 Agent 使用外部工具的方式，生態系爆發——數千個 Skills 在 npm、ClawHub 和 GitHub 上發布。但沒有標準化的方法來偵測這些工具中的威脅。每家安全廠商建自己的專有偵測邏輯。研究者發布一次性腳本。沒人能比較結果，因為大家衡量的東西都不一樣。網路安全在 1990 年代用 Snort 規則解決了這個問題。端點安全在 2010 年代用 Sigma 規則解決了。AI Agent 安全需要同樣的東西：一個開放、社群維護、機器可讀的偵測標準。

ATR 是什麼

ATR（Agent Threat Rules）是一組 YAML 格式的偵測規則，專為 AI Agent 安全威脅設計。每條規則針對一個特定攻擊模式——prompt injection、憑證竊取、供應鏈操控、權限提升——並以任何掃描引擎都能實作的格式定義偵測邏輯。 ATR v0.4.0 包含 71 條規則，依威脅類別組織： - PI（Prompt Injection）：13 條規則，覆蓋身份覆寫、指令劫持、越獄、隱形區塊注入、eval 注入和社交工程 - SC（Supply Chain）：8 條規則，覆蓋依賴攻擊、仿冒套件名、postinstall 腳本和版本間行為變化 - CT（Credential Theft）：7 條規則，覆蓋 SSH 金鑰竊取、環境變數外洩和雲端憑證竊取 - PE（Privilege Escalation）：6 條規則，覆蓋 shell 逃逸、sudo 濫用和能力擴展 - DE（Data Exfiltration）：5 條規則，覆蓋隱蔽通道、編碼資料傳輸和 DNS 通道 - 另外 32 條規則覆蓋身份仿冒、OAuth 濫用、A2A 驗證、核准疲勞和動態匯入攻擊

規則格式

每條 ATR 規則都是一個標準結構的 YAML 檔案。`context_signals` 欄位是 ATR 與簡單 grep 的區別。同一個模式在文件中可能是良性的（「這是 prompt injection 的範例：ignore previous instructions」），在工具描述中則是惡意的。ATR 規則直接在規則定義中編碼這種上下文感知能力。

OWASP Agentic Top 10 覆蓋

OWASP 在 2026 年初發布了 Agentic Security Top 10（ASI01-ASI10）——首個針對 AI Agent 系統的官方威脅分類。ATR 映射到全部 10 個類別，共 77 條規則映射。ASI01-ASI06 為 STRONG 覆蓋（每類 8-13 條規則），ASI07-ASI10 為 MODERATE 覆蓋（每類 4-7 條規則）。

如何使用 ATR

ATR 規則不綁定特定引擎。你可以用： - PanGuard：`npm install -g @panguard-ai/panguard && pga scan` —— 參考實作 - 直接整合：從 `@panguard-ai/atr` 匯入規則，建入你的 CI/CD 管線 - 手動審查：讀 YAML 檔案，手動對照模式稽核你的 Skills ATR 倉庫採用 MIT 授權，接受社群貢獻。如果你發現新的攻擊模式，可以提交為 ATR 規則，數小時內完成審查並分發。

為什麼開放很重要

專有偵測是黑箱。你無法稽核它、無法驗證它、無法貢獻。新攻擊出現時，你只能等廠商更新。用 ATR，規則是公開的。你可以確切讀到它偵測什麼、漏掉什麼。你可以提交改進。你可以 fork 它並針對你的環境客製化。這種透明度不是弱點。Snort 規則是公開的，Snort 成為歷史上部署最廣的入侵偵測系統。Sigma 規則是公開的，它們是端點偵測的標準。開放創造信任，信任創造採用，採用創造讓每個人都更安全的網路效應。

開始使用

安裝 ATR 並掃描你的 Skills： ```bash npm install -g [email protected] atr scan . ``` 或安裝 PanGuard 取得完整安全套件： ```bash curl -fsSL https://get.panguard.ai | bash pga setup ``` ATR 原始碼：[github.com/Agent-Threat-Rule/agent-threat-rules](https://github.com/Agent-Threat-Rule/agent-threat-rules)