Skip to content

Sigma 寫給 SIEM。YARA 寫給 malware。

ATR 寫給 AI agent。

一條在台北寫的規則,能擋下西雅圖首次通報的攻擊——規則格式不必有人重新發明。

AI agent 安全威脅的公共偵測規則格式。版本化、可機器讀取、廠商中立,任何符合規範的引擎都能評估。社群維護,MIT 永久授權。

713 條規則·10 個類別·97.2% garak 抓得到
標準同儕:MISP / CIRCL·OWASP·NIST AI RMF (OSCAL)·OpenTelemetry
已上線:Microsoft AGT·Cisco AI Defense·Gen Digital Sage
為什麼要做新的

舊的偵測標準,看不到 AI agent 的行為。

舊時代
Sigma · YARA · CVE

看 log、看檔案、編漏洞編號——盯著程式碼,看不到意圖。

新攻擊面
AI Agent 的行為

Prompt 注入、工具下毒、skill 被汙染、context 外洩——攻擊發生在 prompt 跟 tool call 層,不在程式檔案層。

新標準
ATR

廠商中立、機器可讀的行為偵測規則。看 agent 在做什麼,不是看它在跑什麼。任何符合規範的引擎都能評估。MIT 永久,社群治理。

2017 年 Sigma 成為 SIEM 偵測的開放標準之前,每家 SOC 各寫各的規則。1999 年 CVE 出現之前,每家廠商各編各的漏洞編號。AI Agent 的偵測層,現在就站在那個位置——還沒被任何人標準化。ATR 把這格填上。

00,000
skills 已掃描 — 史上最大規模的 AI agent 安全掃描
1,302

個 skill 被標記,552 個經人工複審確認為惡意。三個協同攻擊者。史上最大的 AI agent 惡意軟體行動。

hightower6eu
354
Solana / Google Workspace 偽裝
sakaen736jih
212
C2 伺服器 91.92.242.30
52yuanchangxing
137
偽冒開發工具 + npm typosquat

ATR 掃描 ClawHub、OpenClaw、Skills.sh 等六個 registry,共 96,096 個 skill 時發現了這些攻擊者。1,302 個 skill 被標記,經人工複審後確認 552 個為惡意,全數加入黑名單並已通報 NousResearch。

ATR 偵測什麼

10 個威脅類別。713 條規則。真實 CVE。

提示注入
242 條規則

透過精心構造的輸入劫持 agent 行為

上下文外洩
111 條規則

竊取對話上下文和敏感資料

Agent 操控
106 條規則

對 agent 的社交工程和行為操控

工具下毒
90 條規則

被下毒的工具描述和惡意工具回應

Skill 入侵
45 條規則

惡意或有漏洞的 MCP skill 和 SKILL.md

權限提升
42 條規則

未授權提升 agent 權限

Model Abuse
37 條規則

濫用模型能力——越獄、有害內容生成、資源濫用

過度自主
32 條規則

Agent 超越預期的操作邊界

Data Poisoning
5 條規則

污染訓練資料、記憶體或檢索來源以扭曲 agent 行為

Model Security
3 條規則

針對模型本身的攻擊——模型提取、逆向還原、對抗式輸入

已被採用

已在生產環境運行的安全平台,把 ATR 當成上游規則來源。

Microsoft AGT

PR #908 + #1277 已合併 · 287 條規則(合併當時)+ 每週自動同步

查看 PR →

Cisco AI Defense

PR #79 + #99 已合併 · 完整規則集進入 skill-scanner 生產環境

查看 PR →

Gen Digital Sage

PR #33 已合併 · Norton / Avast / LifeLock 母集團的 agentic-AI 風險評分層

查看 PR →
生產環境閉環 · 2 小時 16 分

Microsoft 的自主 AI 工程師開 PR 時,預設 ATR 已覆蓋——而這個假設是對的。

2026-05-11,Copilot SWE Agent 為兩個 Semantic Kernel CVE 開了 AGT#1981,regression fixtures 預設 ATR 偵測存在。規則在 2 小時 16 分鐘內驗證並發布到 npm。不是人工安排的整合。

查看 AGT#1981 →
3
已在生產環境
Microsoft · Cisco · Gen Digital
713
條偵測規則
跨 10 個類別
96,096
skills 已掃描
跨多個 registry
20/34
生態系 PR
已合併
一個活的標準

每一次攻擊,都讓所有人更安全。

紅隊大掃描與 CVE 匯入兩條管線每天運轉:新攻擊被語義層抓到後,「結晶」成 regex 規則回流標準——從每次 500ms 的推理,變成 5ms 的 pattern match。自動結晶化把標準從 462 條長到 713 條,全部隨 npm agent-threat-rules@3.5.6 發布。

但成長從不是目的——對精確度誠實才是。v3.5.0 引入偵測車道:每條規則標明成熟度,使用者自己決定要信任到哪。enforce 車道只放最成熟的規則開火(在 65,000 筆良性語料上約 0.24% 誤報);預設的 hunt 車道把全部規則當建議性訊號跑(約 9%)。誤報率逐車道揭露,而不是用一個好看的數字一概而論。一個標準的可信度,取決於它願不願意公開自己最差的數字。

agent-threat-rules@3.5.6·713 條規則·CVE 匯入 + 結晶管線每天運轉·標準最後重生 2026-07-05
偵測1/5
全球感測器

端點透過 ATR Reporter 回報可疑模式

更多端點 = 更多資料 = 更強規則
OWASP Agentic
10/10
完整覆蓋
SAFE-MCP
91.8%
78/85 技術
OWASP AST10
7/10
3 個是流程層級
PINT F1
77.7
850 個樣本

框架告訴你威脅存在,ATR 告訴你怎麼偵測。ATR 對 MITRE ATLAS 的關係,就像 Sigma 規則對 ATT&CK 的關係——目前對映官方 ATLAS v5.6.0 的 34/101 個技法。覆蓋集中在 agent 原生的攻擊面,不是硬充版面。

開始整合 ATR。

一行指令。即時結果。
$ npx agent-threat-rules scan .
# 結果
3 個 SKILL.md 已掃描
12 個工具描述已檢查
1 CRITICAL: 工具描述中的憑證竊取
ATR-2026-00121
47ms 完成。

TypeScript、Python、Raw YAML、SIEM 轉換器——四種整合路徑,同一份規則。MIT 永久,沒有授權鎖,任何符合規範的引擎都能評估。