ATR 規則描述的攻擊,傳統安全工具看不見。封包過濾器抓不到 prompt injection,因為這是語意層攻擊,不是語法層。檔案掃描器抓不到 tool poisoning,因為 payload 藏在 JSON tool 描述裡,不是二進位檔。ATR 用 agent-context 欄位(如 tool_call.arguments、agent_action.command_line、model_output、agent_event.event_type)來做匹配,正好補上這個缺口。
每條 ATR 規則是一個 YAML 文件,包含五個必要區塊:唯一 ID、嚴重性分類、偵測條件(regex、keyword、語意運算子)、OWASP / MITRE / NIST 合規對應、以及測試案例(true positive 與 true negative)。格式設計目標是讓任何掃描引擎——PanGuard、Microsoft AGT、Cisco AI Defense、MISP、OWASP Agentic Top 10 reference implementation——都能載入並執行同一條規則,得到同樣的判定結果。
v2.1.3 時 ATR 規則庫共 344 條,涵蓋 10 大威脅類別:prompt-injection (115)、agent-manipulation (105)、skill-compromise (40)、context-exfiltration (33)、tool-poisoning (22)、privilege-escalation (11)、model-abuse (8)、excessive-autonomy (6)、model-security (3)、data-poisoning (1)。OWASP Agentic Top 10 覆蓋率 10/10。規則集採用 MIT 授權,公開於 github.com/Agent-Threat-Rule/agent-threat-rules。
生產部署包括 Microsoft Agent Governance Toolkit(PR #1277 合併 287 條規則,並啟用每週自動同步 workflow)、Cisco AI Defense skill-scanner(PR #99 合併全部 344 條規則)、MISP(misp-galaxy PR #1207、misp-taxonomies PR #323)。PanGuard AI 創辦人 Adam Lin 說:「標準存在的目的就是被引用。成功的衡量標準是有多少 ecosystem 採用我們的 rule ID,不是有多少使用者安裝我們的 CLI。」