How does MITRE ATLAS map to AI-agent detection rules?
ATR aligns to 34 of 101 top-level MITRE ATLAS techniques and 13 of 16 tactics against the ATLAS v5.6.0 draft. This is the honest state of that crosswalk, gaps included.
ATR 目前對齊 MITRE ATLAS 101 個頂層 technique 中的 34 個,橫跨 16 個 ATLAS tactic 中的 13 個,基準是 ATLAS v5.6.0 草案。這代表還有 66 個 technique 尚未有任何 ATR 規則支撐。這是一份進行中的 crosswalk,不是已發布的對應表。我把缺口攤在明處寫出來,是因為一個藏住覆蓋漏洞的資安標準,比沒有標準更糟。
我是 Adam Lin,維護 ATR(Agent Threat Rules),一個開放、採用 MIT 授權的 AI agent 偵測標準。PanGuard 建構在 ATR 之上並負責營運它。這篇說明 ATLAS 是什麼、為什麼 agent 專用規則集必須 crosswalk 到它,以及 34/101 的覆蓋究竟停在哪裡。
什麼是 MITRE ATLAS,為什麼要 crosswalk 到它?
MITRE ATLAS(Adversarial Threat Landscape for Artificial-Intelligence Systems)是針對機器學習與 AI 系統攻擊的 ATT&CK 式知識庫。它把真實的攻擊者行為組織成 tactic(攻擊者在各階段的目標,例如偵察或外洩)與 technique(達成該目標所用的具體手法)。v5.6.0 草案列出 16 個 tactic 與 101 個頂層 technique。
只出規則、不做對應的偵測規則集,只是一堆沒有共同語言的比對器。Crosswalk 到 ATLAS,讓每條規則都有座標:這條規則偵測這個 tactic 底下的這個 technique。這件事有三個具體理由。資安團隊可以問「我在 ATLAS 上哪裡是盲的?」並得到答案。規則作者能看到哪些 technique 過度覆蓋、哪些一條規則都沒有。合規審查者能把一個控制項追溯到業界標準分類,而不是某家廠商的私有分類。
ATR 也對 OWASP 做同一種 crosswalk:866 條規則到分類的對應,涵蓋 OWASP Agentic Top 10(2026)全部 10 個分類,其中 9 個為 STRONG 強度,1 個(ASI10 Rogue Agents)為 MODERATE。ATLAS 是第二個座標軸。OWASP 告訴你一條規則處理哪一類 agent 風險,ATLAS 告訴你它偵測哪一個攻擊者 technique。兩套分類有重疊,但不能互相取代。
34/101 個 technique 實際覆蓋了什麼?
這 34 個被覆蓋的 technique,集中在 ATR corpus 最強的地方:prompt injection 與 jailbreak 變體、工具濫用、憑證與 token 竊取,以及 agent skill 與 MCP server 的供應鏈竄改。ATR 是一個近 690 條規則、橫跨 10 個分類的 corpus(截至 2026 年 7 月為 688 條,以 npm agent-threat-rules v3.5.6 發布),其中大多數規則描述的攻擊,都能乾淨地對應到 ATLAS 的 execution、exfiltration 與 initial-access technique。
這些覆蓋屬於確定性的 Layer 1 偵測。在 498 個真實樣本的 SKILL.md corpus 上,ATR 的 Layer 1 規則達到 100% recall、97% precision 與 0.2% 誤報率。在 650 個樣本的 NVIDIA garak 野外 jailbreak corpus 上,recall 為 97.2%。這些都是逐 corpus、逐層的數字,不是單一的整體引擎數字;誤報行為是分 lane 的:對 65,000 個良性樣本的 benign gate,enforce lane 約 0.24% FP,預設的 hunt lane 約 9%。沒有一個混合後的 precision 數字能誠實描述整個引擎,所以我不報這種數字。
ATR 覆蓋的 technique,是我能用真實攻擊 payload 佐證的那些。撐起這個 corpus 的野外掃描橫掃六個公開 registry 上的 96,096 個 AI agent skill,確認 751 個為惡意。真實的 MCP 事故錨定了供應鏈 technique:postmark-mcp server 連續 15 個版本每天靜默 BCC 數千封信、MCPJam Inspector(CVE-2026-23744)把一個 HTTP 請求變成 RCE、Azure MCP Server(CVE-2026-26118)透過 SSRF 外洩 managed-identity token。
那 66 個缺口在哪裡?
尚未覆蓋的 66 個 technique 分成幾個誠實的類別。第一,模型層級的攻擊,是 ATR 以行為為中心的規則碰不到的:訓練集的 data-poisoning、model-extraction、針對模型權重的 adversarial-example 製作,大多落在 ATR 觀察的執行期行為之外。第二,需要 ATR 未攝取的基礎設施遙測的 technique,例如模型工件層級的 ML 供應鏈入侵。第三,有三個 ATLAS tactic 目前 ATR 完全沒有覆蓋,因為我還沒找到能通過 benign gate 的可泛化攻擊 payload。
我不會粉飾這些。一個 technique 只有在存在一條帶有真實 true-positive 與 true-negative 測試案例、且通過 65,000 樣本 benign gate 的規則時,才算被覆蓋。一條偵測攻擊「描述文字」而非攻擊本身的規則不算數,先前一批預測規則正是因為這個失敗被廢棄。無法通過誤報稽核的覆蓋,不是覆蓋。
一個新 technique 如何變成被覆蓋的規則?
透過 threat crystallization。一個 AI 理解某個攻擊一次,這份理解被寫成一條確定性規則,然後這條規則以毫秒級速度為每一個跑引擎的人執行。一個新攻擊在大約一小時內變成已發布的規則,而不是委員會流程要花的數週。當 66 個未覆蓋 technique 之一的 payload 出現、且能泛化通過 benign gate 時,ATLAS crosswalk 就會移動。這正是為什麼這是一份對草案版 ATLAS 的草案對齊,也是為什麼這個數字會變。
這份對應並非由 MITRE 發布或背書。它是我進行中的 crosswalk,提供出來,是為了讓任何使用 ATR 的人,都能以我看到的同樣解析度看到覆蓋與缺口。
FAQ
ATR 的 ATLAS 對應是官方的或經 MITRE 背書的嗎?
不是。它是一份對 ATLAS v5.6.0 草案的獨立進行中 crosswalk,由我作為 ATR 的一部分維護。它是草案對齊,不是已發布或經 MITRE 背書的對應表。
為什麼只有 101 個 technique 中的 34 個?
因為一個 technique 只有在 ATR 有一條由真實攻擊 payload 佐證、且能通過 65,000 樣本 benign gate 的規則時才算數。未覆蓋的 66 個大多是模型層級攻擊,以及尚無可泛化 payload 通過該 gate 的情況。
ATLAS 覆蓋跟 ATR 的 OWASP 對應是什麼關係?
它們是兩個獨立的座標軸。OWASP(866 條對應,全部 10 個 Agentic Top 10 分類)分類 agent 風險;ATLAS 分類攻擊者 technique。單一規則通常同時帶有這兩個座標。
新 technique 的覆蓋出得多快?
透過 threat crystallization,一旦該 technique 的真實 payload 泛化通過 benign gate,每條規則約一小時。這正是隨時間推移 34/101 這個數字的動力。
你可以自己讀這份標準、核對這份 crosswalk,或在安裝前先掃描一個 skill 或 MCP server:npm install -g @panguard-ai/panguard && pga up,接著 pga scan <target>。