Sigma 寫給 SIEM。YARA 寫給 malware。

ATR 寫給 AI agent。

AI agent 安全威脅的公共偵測規則格式。版本化、可機器讀取、廠商中立。任何符合規範的引擎都能評估。社群維護,MIT 永久授權。

427 條規則·8 個類別·97.1% garak 抓得到

讀規範瀏覽規則投規則

標準同儕:MISP / CIRCL·OWASP A-S-R-H·NIST AI RMF (OSCAL)·OpenTelemetry

已上線:Cisco AI Defense·Microsoft AGT·Gen Digital Sage

MIT License · ATR 社群維護 · 規範 v1.0 穩定版

為什麼要做新的

舊的偵測規則
抓不到 AI agent 在搞什麼。

舊時代

Sigma · YARA · CVE

看 log、看檔案、編漏洞編號——盯著程式碼,看不到意圖。

新攻擊面

AI Agent 的行為

Prompt 注入、工具下毒、skill 被汙染、context 外洩——攻擊發生在 prompt 跟 tool call 層,不在程式檔案層。

新標準

ATR

不綁特定協議的行為偵測規則。看 agent 在做什麼,不是看它在跑什麼。MIT 永久,社群治理。

2017 年 Sigma 成為 SIEM 偵測的開放標準之前,每家 SOC 各寫各的規則。1999 年 CVE 出現之前,每家廠商各編各的漏洞編號。AI Agent 的偵測層,現在就站在那個位置——還沒被任何人標準化。ATR 把這格填上。

00,000

skills 已掃描 — 史上最大規模的 AI agent 安全掃描

751

惡意 AI agent skill。
三個協同攻擊者。
史上最大的 AI agent 惡意軟體行動。

hightower6eu

354

Solana / Google Workspace 偽裝

sakaen736jih

212

C2 伺服器 91.92.242.30

52yuanchangxing

137

偽冒開發工具 + npm typosquat

ATR 掃描 ClawHub、OpenClaw、Skills.sh 等六個 registry，共 96,096 個 skill 時發現了這些攻擊者。751 個惡意 skill 全數加入黑名單，並已通報 NousResearch。

閱讀完整研究報告 →

已被採用

Cisco AI Defense

PR #79 + #99 已合併 · 330 條完整規則集進入 skill-scanner 生產環境

查看 PR #99 →

Microsoft AGT

PR #908 + #1277 已合併 · 287 條規則 + 每週自動同步 workflow

查看 PR #1277 →

整合進行中: NVIDIA garak #1676 · Gen Digital Sage #33 · IBM mcp-context-forge #4109 · OWASP LLM Top 10 #814

數據一覽

427

條偵測規則

8 個威脅類別

66.2%

HackAPrompt 召回率

4,780 個對抗性樣本

99.7%

PINT 精準度 (0.25% FP)

850 個樣本

23K

npm

月下載量 (30d)

已在生產環境

Cisco AI Defense · Microsoft AGT · Gen Digital Sage

已合併 PR、已進入生產部署

標準同儕 / 整合中

MISP/CIRCL(已合併)· OWASP A-S-R-H(已合併)· NIST AI RMF(社群 OSCAL · oscal-content#333 審查中)· OpenTelemetry GenAI SIG(#165 審查中)

兩件已合併,兩件 maintainer 審查中

生產環境閉環案例

Microsoft 自己的 AI 工程師把 ATR 當成內建的。

2026-05-07

CVE 公開

MSRC 發布 Semantic Kernel CVE-2026-26030 + CVE-2026-25592

2026-05-11 06:07 UTC

Microsoft Copilot 開 PR

Microsoft Copilot SWE Agent 開 AGT#1981，regression-test fixtures 預設 ATR 偵測已存在

2026-05-11 08:24 UTC

ATR v2.1.2 發布

ATR-2026-00440 + ATR-2026-00441 發布到 npm。CVE 公開到規則發布：2 小時 16 分鐘

這不是人工安排的整合。Microsoft 的自主 AI 工程師在開 PR 時預設 ATR 已覆蓋——這個假設正確。規則在 2 小時 16 分鐘內驗證並發布。

查看 AGT#1981 →

致民主國家的公開邀請

每個民主國家都在做主權 AI。
沒人在做主權 AI 的防禦層。

印度、日本、英國、法國、韓國、UAE、台灣——大家都在做自己的主權 AI 模型跟算力。但沒有任何一個合約包含對應的防禦層。這個缺口如果沒被開放標準填上,就會被閉源方案、地緣政治綁定的私下協議、或被對岸先補上。

我們邀請各國的數位部會、AI 安全機構、與標準制定組織,評估 ATR 作為您主權 AI 防禦層的開放基底。

不被任何廠商綁住。不帶地緣政治條件。可以分叉、可以替換、可以問責。第一個 reference deployment 已在對話中。歡迎任何民主國家加入。

[email protected]·閱讀完整公開信 →

ATR 偵測什麼

8 個威脅類別。
427 條規則。真實 CVE。

提示注入

169 條規則

透過精心構造的輸入劫持 agent 行為

Agent 操控

105 條規則

對 agent 的社交工程和行為操控

上下文外洩

41 條規則

竊取對話上下文和敏感資料

Skill 入侵

38 條規則

惡意或有漏洞的 MCP skill 和 SKILL.md

工具下毒

36 條規則

被下毒的工具描述和惡意工具回應

權限提升

15 條規則

未授權提升 agent 權限

模型層級攻擊

15 條規則

針對 LLM 模型本身的攻擊——行為提取、對抗式 fine-tuning、污染訓練資料

過度自主

8 條規則

Agent 超越預期的操作邊界

瀏覽所有規則 + YAML 詳情 →

已在生產環境運行

Cisco AI Defense
將完整 ATR 規則集
作為 skill-scanner 上游。

2026-04-03,他們的工程師提了 PR #79(34 條 PoC 規則),3 天合併。2026-04-22,production PR #99 把整套 ATR 規則送進 Cisco AI Defense 的 skill-scanner 生產環境。他們專門建了 --rule-packs CLI 把 ATR 當作第一級規則來源。

PR #79 (PoC, 34 rules) →PR #99 (production, 完整規則集) →

Microsoft Agent Governance Toolkit 從 15 條規則擴張到 287 條,每週自動同步。

2026-04-13 的 PR #908 先合併 15 條規則作為 PolicyDocument 格式 PoC。2026-04-26 的 production PR #1277 擴張到 287 條規則,並加上每週自動同步 ATR 上游釋出版本的 workflow。

PR #908 (PoC, 15 rules) →PR #1277 (production, 287 rules + auto-sync) →

Gen Digital Sage 在 Norton/Avast/LifeLock 母公司的 agentic-AI 風險評分層採用完整 ATR rule pack。

2026-05-11 合併,Norton/Avast/LifeLock 母集團的 Sage 平台把 ATR 規則作為 agentic-AI 安全的判斷基礎。

PR #33 →

標準同儕也採用 ATR

MISP / CIRCL

Taxonomy + Galaxy 已合併 2026-05-10

OWASP A-S-R-H

已合併 2026-05-11

NIST AI RMF (OSCAL)

社群 catalog 已發布 · oscal-content#333 審查中

OpenTelemetry GenAI SIG

agent.threat.detection.* 審查中

個 Fortune-500 採用

Cisco · Microsoft · Gen Digital

427

條偵測規則

跨 8 個類別

96,096

skills 已掃描

跨多個 registry

11/30

生態系 PR

已合併

標準覆蓋

OWASP Agentic

10/10

完整覆蓋

SAFE-MCP

91.8%

78/85 技術

OWASP AST10

7/10

3 個是流程層級

PINT F1

76.7

850 個樣本

框架告訴你威脅存在，ATR 告訴你怎麼偵測。ATR 對 MITRE ATLAS 的關係，就像 Sigma 規則對 ATT&CK 的關係。

查看完整覆蓋對照表 →

威脅結晶化

每一次攻擊，都讓所有人更安全。

Threat Cloud 的運作原理就像免疫系統。LLM 語義分析（適應性免疫）抓到新型攻擊後，把偵測邏輯「結晶」成 regex 規則（先天免疫）——從每次 500ms 的推理成本，變成 5ms 的 pattern match。926 份威脅報告產生了 42 條結晶規則，4.5% 的結晶率代表剩下的 95.5% 已被現有規則覆蓋。

這個飛輪已經在運轉。96,096 次掃描發現 751 個惡意 skill，觸發結晶流程，新規則再回頭掃描——一個不斷自我強化的循環。

偵測1/5

全球感測器

端點透過 ATR Reporter 回報可疑模式

更多端點 = 更多資料 = 更強規則

926

威脅報告

結晶規則

4.5%

結晶率

<48h

偵測到部署

更多端點 = 更多資料 = 更強規則

開始整合 ATR。

一行指令。即時結果。

$ npx agent-threat-rules scan .

# 結果

3 個 SKILL.md 已掃描

12 個工具描述已檢查

1 CRITICAL: 工具描述中的憑證竊取

ATR-2026-00121

47ms 完成。

TypeScript、Python、Raw YAML、SIEM 轉換器——四種整合路徑。

整合指南查看威脅清單