開放標準

Agent Threat Rules (ATR)

首個 AI Agent 威脅的開放偵測標準。機器可讀、社群驅動，專為 Sigma 和 YARA 從未設計來偵測的威脅而生。

在 GitHub 上貢獻立即開始

問題

傳統規則看不見 Agent 威脅

Sigma 偵測日誌型 IOC。YARA 匹配檔案層級的位元組模式。兩者都無法理解提示詞流程、工具呼叫或多輪 Agent 對話。

AI Agent 帶來全新攻擊面：提示詞注入、工具投毒、上下文竊取、技能入侵。這些威脅存在於語意層 -- 對設計來偵測網路封包和檔案雜湊的模式匹配器完全不可見。

ATR 是缺失的偵測標準。專為 AI Agent 時代而生。

Sigma Rules

日誌型 IOC。無法感知提示詞上下文或工具互動。

YARA Rules

檔案層級位元組模式。無法檢查 Agent 對話流程。

ATR Rules

語意層偵測。專為提示詞、工具和 Agent 行為而生。

為什麼需要 ATR

三個標準。三個時代。

Sigma 定義了網路偵測。YARA 定義了檔案偵測。ATR 定義了 Agent 偵測。

能力

Sigma

YARA

ATR

偵測目標

日誌事件

檔案 / 記憶體

Agent 行為

提示詞注入偵測

工具呼叫監控

多輪對話分析

語意層匹配

OWASP Agentic Top 10 對應

MITRE ATT&CK / ATLAS 參考

機器可讀格式

自動化回應動作

社群規則庫

規則分類

9 大類別。52 條規則。持續增長中。

涵蓋 AI Agent 攻擊向量的完整光譜，對應 OWASP LLM Top 10。

21 條規則

提示詞注入

直接和間接提示詞注入、越獄攻擊、系統提示詞覆寫、多輪攻擊

6 條規則

工具投毒

惡意 MCP 回應、工具輸出注入、未授權工具呼叫、透過工具的 SSRF

3 條規則

上下文竊取

系統提示詞洩漏、API 金鑰暴露、內部指令竊取

5 條規則

Agent 操縱

跨 Agent 攻擊、目標劫持、跨 Agent 通訊欺騙、人機信任利用

2 條規則

權限提升

工具權限提升、範圍蔓延、管理員函式存取

5 條規則

過度自主

失控 Agent 迴圈、資源耗盡、連鎖故障偵測

7 條規則

技能入侵

技能冒充、隱藏功能、鏈式攻擊、參數注入、更新攻擊

1 條規則

資料投毒

RAG 檢索投毒、知識庫污染

2 條規則

模型安全

模型行為萃取偵測、惡意微調資料偵測

整合架構

ATR 在技術堆疊中的位置

ATR 規則在語意層進行評估 -- 介於 LLM 和它呼叫的工具之間。

使用者輸入

提示詞文字、上傳檔案、對話上下文

ATR 引擎

32 條規則，每個事件評估時間 <1ms。封鎖、告警或上報。

LLM / Agent

Claude、GPT、Gemini、本地模型 -- 任何供應商

工具與技能

MCP 伺服器、OpenClaw 技能、檔案系統、Shell、API

ATR 在語意層攔截 -- 在惡意指令到達 Agent 之前，在被入侵的輸出到達工具之前。

運作原理

YAML 規則。即時引擎。

撰寫人類可讀的規則。ATR 引擎在毫秒內將其與即時 Agent 遙測資料進行匹配。

定義偵測邏輯

每條規則指定 Agent 欄位的條件：user_input、tool_calls、model_output、context。支援正則表達式、關鍵字和語意運算子。

對應安全框架

規則連結到 OWASP LLM Top 10 和 MITRE ATLAS 參考，提供合規覆蓋率和威脅上下文。

引擎即時評估

ATR 引擎載入規則，在 Agent 事件發生時即時匹配。每條規則的評估時間低於一毫秒。

自動回應

當規則觸發時，可配置的動作啟動：block_input、alert、snapshot、escalate。基於閾值的自動回應防止誤報疲勞。

範例：直接提示詞注入偵測

title: "Direct Prompt Injection via User Input"
id: ATR-2026-001
status: experimental
severity: high

references:
  owasp_llm:
    - "LLM01:2025 - Prompt Injection"

detection:
  conditions:
    - field: user_input
      operator: regex
      value: "(?i)(ignore|disregard)\\s+previous\\s+instructions"
  condition: any

response:
  actions:
    - block_input
    - alert
    - snapshot

規則範例

針對真實威脅的規則

每條規則鎖定在生產環境 AI Agent 部署中觀察到的特定攻擊模式。

ATR-2026-008

critical

透過 MCP 的工具投毒

工具投毒

title: "Direct Prompt Injection via User Input"
id: ATR-2026-001
status: experimental
severity: high

references:
  owasp_llm:
    - "LLM01:2025 - Prompt Injection"

detection:
  conditions:
    - field: user_input
      operator: regex
      value: "(?i)(ignore|disregard)\\s+previous\\s+instructions"
  condition: any

response:
  actions:
    - block_input
    - alert
    - snapshot

ATR-2026-012

high

透過 Markdown 的上下文竊取

上下文竊取

title: "Tool Poisoning via MCP Response"
id: ATR-2026-008
status: experimental
severity: critical

references:
  owasp_llm:
    - "LLM02:2025 - Tool Misuse"

detection:
  conditions:
    - field: tool_output
      operator: regex
      value: "(eval|exec|child_process|__import__|subprocess\\.run)\\("
    - field: tool_output
      operator: contains
      value: "import os"
  condition: any

response:
  actions:
    - block_output
    - alert
    - block_tool

ATR-2026-020

medium

過度 Agent 自主迴圈

過度自主

title: "Context Exfiltration via Markdown"
id: ATR-2026-012
status: experimental
severity: high

detection:
  conditions:
    - field: model_output
      operator: regex
      value: "!\\[.*\\]\\(https?://[^)]+\\?.*="
    - field: model_output
      operator: regex
      value: "(api_key|secret|token|password|credential)"
  condition: all

response:
  actions:
    - block_output
    - alert
    - snapshot

合規對應

OWASP Agentic Top 10 覆蓋

每條 ATR 規則對應到 OWASP Agentic Top 10，提供最關鍵 AI Agent 安全風險的結構化覆蓋。

ASI01Agent 目標劫持

ASI02工具濫用與利用

ASI03身份與權限濫用

ASI04Agent 供應鏈漏洞

ASI05非預期程式碼執行

ASI06記憶體與上下文投毒

ASI07不安全的跨 Agent 通訊

ASI08連鎖故障

ASI09人機信任利用

ASI10失控 Agent

生態系

開放標準。社群驅動成長。

ATR 遵循讓 Sigma 和 YARA 成為產業標準的同一模式 -- 開放治理、社群貢獻、廠商中立設計。

偵測規則

威脅類別

10/10

OWASP Agentic 覆蓋

MIT

授權

貢獻流程

發現威脅模式

在生產環境、研究或 CTF 中觀察到新的攻擊向量。記錄行為。

撰寫 ATR 規則

以 YAML 定義偵測條件。對應 OWASP 和 MITRE 參考。新增測試案例。

提交 Pull Request

社群審查、測試、合併。規則自動部署到所有 ATR 使用者。

集體防禦

每條新規則強化整個生態系。一個貢獻者保護數千個部署。

發展路線

標準持續進化

v0.1Current

基礎

9 大類別 32 條規則
YAML 格式規範
OWASP Agentic Top 10 對應
即時評估引擎
CLI 工具

v0.2Next

擴展

50+ 條社群貢獻規則
語意運算子支援
多 Agent 關聯規則
IDE 整合（VS Code、Cursor）
Threat Cloud 自動生成規則

v1.0

產業標準

100+ 條生產級規則
正式規範文件
廠商整合計畫
認證與合規工具組
治理機構成立

加入 ATR 社群

ATR 是開源且社群驅動的。貢獻規則、回報新威脅模式，或將 ATR 整合到你自己的 Agent 安全堆疊中。

在 GitHub 上貢獻立即開始

title: "Direct Prompt Injection via User Input" id: ATR-2026-001 status: experimental severity: high references: owasp_llm: - "LLM01:2025 - Prompt Injection" detection: conditions: - field: user_input operator: regex value: "(?i)(ignore|disregard)\\s+previous\\s+instructions" condition: any response: actions: - block_input - alert - snapshot

title: "Tool Poisoning via MCP Response" id: ATR-2026-008 status: experimental severity: critical references: owasp_llm: - "LLM02:2025 - Tool Misuse" detection: conditions: - field: tool_output operator: regex value: "(eval|exec|child_process|__import__|subprocess\\.run)\\(" - field: tool_output operator: contains value: "import os" condition: any response: actions: - block_output - alert - block_tool

title: "Context Exfiltration via Markdown" id: ATR-2026-012 status: experimental severity: high detection: conditions: - field: model_output operator: regex value: "!\\[.*\\]\\(https?://[^)]+\\?.*=" - field: model_output operator: regex value: "(api_key|secret|token|password|credential)" condition: all response: actions: - block_output - alert - snapshot