Threat Intelligence

ATR Implements the Detection Layer the NSA Identified as Missing in MCP

Panguard AI Team2026年5月27日6 min

The NSA published 17 pages on MCP security risks in May 2026. It named zero detection frameworks. ATR fills that layer -- 433 rules covering all five NSA risk categories, in production at Microsoft, Cisco, MISP, and OWASP.

2026 年 5 月 20 日，NSA 人工智慧安全中心發布了一份 17 頁的網路安全資訊單：「模型上下文協定（MCP）：AI 驅動自動化的安全設計考量」。這是美國政府首份直接針對 MCP 安全的重要技術文件。

這份文件對風險識別相當完整。它映射了 MCP 的五類結構性弱點，呼籲「社群協調」來強化 AI 安全基礎。但它沒有做到的，是點名任何一個能對它描述的風險採取行動的偵測框架、工具或規則集。

這個空缺，和 CISA 與五眼聯盟夥伴在 2026 年 4 月 30 日指出的一樣。他們的聯合指引點名了 prompt injection 過濾和觸發動作異常偵測作為必要控制措施，但兩份文件都沒有點名任何能實作這些控制的東西。

ATR（Agent Threat Rules）填補了這一層。

NSA 五大風險類別對應 ATR

NSA CSI 識別了五類 MCP 特定風險，每一類都對應到 ATR 現有的規則群組。

序列化風險。 MCP 伺服器從不受信任的來源反序列化結構化輸入。ATR 的編碼繞過規則偵測 base64、hex 和 Unicode 混淆模式，這些模式被用來透過序列化層走私 payload。

信任邊界違規。 MCP 跨越使用者上下文、工具上下文和外部服務之間的信任邊界。ATR 的權限提升規則偵測 skill 或工具嘗試宣稱提升的權限、假冒系統角色，或存取原始呼叫上下文中未授予的範圍。

Agent 濫用。 CSI 指出 MCP 讓 Agent 能夠採取使用者沒有預期的行動。ATR 的越獄和指令注入規則 -- 最大的單一類別，佔 96,096 個掃描 skill 中確認野生發現的 38% -- 偵測 skill 覆蓋系統指令、壓制先前上下文，或在對話中途引入衝突指令的模式。

動態工具呼叫。 CSI 標記了工具在執行期間在使用者不知情的情況下呼叫其他工具的風險。ATR 的程式碼注入和反向 shell 規則偵測執行期命令執行、子程序生成和與現場利用一致的回呼模式。其中兩條規則（ATR-2026-00440 和 ATR-2026-00441）在 MSRC 揭露 Microsoft Semantic Kernel 的 CVE 2026-26030 和 2026-25592 的 2 小時 16 分鐘內發布。

上下文共享弱點。 MCP 在工具和會話之間共享上下文，以洩漏敏感資訊的方式進行。ATR 的上下文外洩規則偵測讀取對話歷史、提取環境變數，或編碼並傳輸檢索資料到外部端點的 skill。

這個映射並非巧合。ATR 是從實證資料建立的 -- 96,096 個生產 skill 掃描、751 個確認惡意 -- 早在 NSA 發布指引之前。CSI 點名的攻擊模式，在任何政府機構命名它們之前，就已經存在於真實部署中了。

CISA 建議第 10 條

CISA 聯合指引的第 10 條建議特別要求觸發動作協定監控：系統必須偵測 Agent 採取了未由經過驗證的使用者指令直接觸發的行動。

偵測規則是讓這個建議可以實作的機制。一份說觸發動作異常需要偵測的政策聲明，並未指定要監控什麼簽章。ATR 的 433 條規則將這些簽章操作化成正規表達式工具無需修改即可使用的格式。

這很重要，因為這個建議沒有附帶實作。CISA 寫政策，安全社群寫偵測。這是正常的責任分工。ATR 的存在，正是為了政府指引沒有涵蓋的那一半。

ATR 目前在哪裡運行

ATR 目前在五個外部系統中正式部署： - Microsoft AGT（GitHub Actions 環境，為回應 MSRC CVE 揭露而整合） - Cisco AI Defense（以 MCP 為重點的 skill 掃描，2026 年 3 月整合） - MISP（合併到威脅分類和星系中，分發給歐盟國家級 CERT） - OWASP Agent Security Reference Hub（2026 年 4 月以貢獻者身份合併） - Gen Digital Sage（Norton/Avast 母公司，活躍整合）

與 LiteLLM proxy、NVIDIA Garak、meta-llama PurpleLlama 和 promptfoo 的整合目前正在主動審查中。模式是一致的：沒有原生 MCP 偵測層的安全工具，正在採用 ATR 作為它們的規則基底。

野生掃描語料庫 -- 橫跨 OpenClaw、ClawHub、Skills.sh 和 Hermes 的 96,096 個 skill -- 發現了 751 個確認惡意的 skill。該資料集早於 NSA CSI。CSI 點名的攻擊模式，在政府發布指引之前，就已經存在於生產 skill 登錄中了。

接下來的方向

ATR v3.0.0-alpha 正在積極開發中。一份 OASIS Open Project 正式提案於 2026 年 5 月 26 日提交，目標是在中立的治理機構下將 ATR 推進為國際標準。目標是一個任何安全工具、SIEM 或執行期 Agent 框架都能採用的偵測層，不帶廠商鎖定。

新的 CVE 連結規則在揭露後幾小時內就發布，而不是幾週後。ATR-2026-00440 和 ATR-2026-00441 在 Semantic Kernel CVE 公告的一個工作天內落地。從公開 CVE 到生產偵測簽章的管道現在已自動化。

NSA CSI 以呼籲社群協調作為結尾。這個標準已經存在。它是 MIT 授權。貢獻、整合和規則提案都在 github.com/Agent-Threat-Rule/agent-threat-rules 公開進行。