Sigma 寫給 SIEM。YARA 寫給 malware。
ATR 寫給 AI agent。
一條在台北寫的規則,能擋下西雅圖首次通報的攻擊——規則格式不必有人重新發明。
AI agent 安全威脅的公共偵測規則格式。版本化、可機器讀取、廠商中立,任何符合規範的引擎都能評估。社群維護,MIT 永久授權。
舊的偵測標準,
看不到 AI agent 的行為。
看 log、看檔案、編漏洞編號——盯著程式碼,看不到意圖。
Prompt 注入、工具下毒、skill 被汙染、context 外洩——攻擊發生在 prompt 跟 tool call 層,不在程式檔案層。
廠商中立、機器可讀的行為偵測規則。看 agent 在做什麼,不是看它在跑什麼。任何符合規範的引擎都能評估。MIT 永久,社群治理。
2017 年 Sigma 成為 SIEM 偵測的開放標準之前,每家 SOC 各寫各的規則。1999 年 CVE 出現之前,每家廠商各編各的漏洞編號。AI Agent 的偵測層,現在就站在那個位置——還沒被任何人標準化。ATR 把這格填上。
個 skill 被標記,552 個經人工複審確認為惡意。三個協同攻擊者。史上最大的 AI agent 惡意軟體行動。
ATR 掃描 ClawHub、OpenClaw、Skills.sh 等六個 registry,共 96,096 個 skill 時發現了這些攻擊者。1,302 個 skill 被標記,經人工複審後確認 552 個為惡意,全數加入黑名單並已通報 NousResearch。
10 個威脅類別。713 條規則。真實 CVE。
透過精心構造的輸入劫持 agent 行為
竊取對話上下文和敏感資料
對 agent 的社交工程和行為操控
被下毒的工具描述和惡意工具回應
惡意或有漏洞的 MCP skill 和 SKILL.md
未授權提升 agent 權限
濫用模型能力——越獄、有害內容生成、資源濫用
Agent 超越預期的操作邊界
污染訓練資料、記憶體或檢索來源以扭曲 agent 行為
針對模型本身的攻擊——模型提取、逆向還原、對抗式輸入
已在生產環境運行的安全平台,把 ATR 當成上游規則來源。
Microsoft 的自主 AI 工程師開 PR 時,預設 ATR 已覆蓋——而這個假設是對的。
2026-05-11,Copilot SWE Agent 為兩個 Semantic Kernel CVE 開了 AGT#1981,regression fixtures 預設 ATR 偵測存在。規則在 2 小時 16 分鐘內驗證並發布到 npm。不是人工安排的整合。
查看 AGT#1981 →另有 10 個公開目錄與文件索引收錄 ATR — 完整採用清單
每一次攻擊,都讓所有人更安全。
紅隊大掃描與 CVE 匯入兩條管線每天運轉:新攻擊被語義層抓到後,「結晶」成 regex 規則回流標準——從每次 500ms 的推理,變成 5ms 的 pattern match。自動結晶化把標準從 462 條長到 713 條,全部隨 npm agent-threat-rules@3.5.6 發布。
但成長從不是目的——對精確度誠實才是。v3.5.0 引入偵測車道:每條規則標明成熟度,使用者自己決定要信任到哪。enforce 車道只放最成熟的規則開火(在 65,000 筆良性語料上約 0.24% 誤報);預設的 hunt 車道把全部規則當建議性訊號跑(約 9%)。誤報率逐車道揭露,而不是用一個好看的數字一概而論。一個標準的可信度,取決於它願不願意公開自己最差的數字。
端點透過 ATR Reporter 回報可疑模式
框架告訴你威脅存在,ATR 告訴你怎麼偵測。ATR 對 MITRE ATLAS 的關係,就像 Sigma 規則對 ATT&CK 的關係——目前對映官方 ATLAS v5.6.0 的 34/101 個技法。覆蓋集中在 agent 原生的攻擊面,不是硬充版面。