How Cisco Ships ATR Rules in AI Defense
Cisco AI Defense merged 34 ATR rules as upstream. Then they built a CLI to consume ATR rule packs. Here is how the integration works.
一個 PR 改變了什麼
2026 年 3 月某天,ATR repo 收到一個 pull request。來自 Cisco AI Defense 的工程師。PR #79,1,272 行新增,把 34 條 ATR 偵測規則搬進他們的 skill-scanner。
我們看了三天,合併。
接下來 Cisco 做了一件更有意思的事:他們不只是把規則複製過去,而是專門蓋了一個 `--rule-packs` CLI 旗標,讓他們的 scanner 能持續拉取 ATR 規則更新。他們把 ATR 當成上游依賴來經營。
這就是企業採用偵測標準的正確姿勢。
整合了什麼
34 條規則,涵蓋:
- •提示注入——系統提示覆蓋、指令劫持
- •工具下毒——藏在工具描述裡的惡意指令
- •資料外洩——agent 回應裡的資料洩漏
- •憑證竊取——偷讀環境變數和金鑰檔案
現在這些規則跑在 Cisco AI Defense 的生產 scanner 裡。每個提交到他們平台的 skill,上架前都要先過 ATR 規則。
任何平台都能複製
npm install agent-threat-rules
# 規則就在 node_modules/agent-threat-rules/rules/ 裡
# YAML 格式,用任何語言解析ATR 規則故意做得很簡單。YAML、regex、零依賴。TypeScript 能跑、Python 能跑、Go 能跑。Cisco 用 TypeScript 包了一層,但格式本身不綁任何語言或框架。
一家財富 500 強的背書代表什麼
Benchmark 數字再漂亮,不如一個事實:Cisco 的安全工程師看了這些規則,覺得可以放進自家生產環境。
這代表三件事:
1. 規則格式已經 production-ready
2. 規則抓得到真實威脅,不是學術練習
3. 整合路徑可複製——裝、解析、跑
上游模式
ATR 的運作方式跟 Linux 的套件庫一樣。ATR 發布偵測內容,消費者拉取。ATR 出新規則,消費者 bump 版本就好。消費者遇到誤報或繞過,回報回來讓大家的規則一起變好。
網絡效應:每個消費者都在幫其他消費者。
你的平台也能這樣做。
[整合指南](https://agentthreatrule.org/en/integrate) · [PR #79](https://github.com/cisco-ai-defense/skill-scanner/pull/79)