2026 年 5 月,NSA 的人工智慧安全中心發布了《Model Context Protocol (MCP): Security Design Considerations for AI-Driven Automation》。它把 MCP 的風險拆成 8 項具名安全顧慮,給了 9 條建議——而且如同所有政府指引,零條可執行的偵測規則。
它的核心判斷是一句話:「MCP 的快速擴散,已超前其安全模型的發展。」NSA 說,安全的預設行為「必須靠實作的嚴謹、良好的編碼實務、更清楚的協定規範, 以及健全的驗證工具來落實」。ATR 就是其中一種驗證工具層——而且,刻意地,只是其中一層。
九條建議裡,有兩條的形狀就是規則:
「追蹤並修補 MCP 相關漏洞」——CSI 要的是一套正式流程, 監看 CVE、廠商公告、開源 issue tracker,訂閱安全情報。這正是 ATR 的 CVE 飛輪: 橫跨 15 個來源追蹤 2,262 個 CVE,產出 594 條 detection-ready 簽章。ATR-2026-00451 覆蓋進了 CISA KEV 的 LiteLLM 管理端 SQLi,ATR-2026-00534 覆蓋 Akamai 六月揭露的阿里雲 RDS MCP 未認證 metadata 外滲。 一則 Microsoft Semantic Kernel 的 MSRC 公告,從揭露到一條經回歸測試、已發布的規則, 大約兩小時。
「過濾並監控輸出管線與鏈式執行」——把每個工具輸出 都當成不可信、偵測間接注入與工具鏈跳轉。這是 ATR 最密的一群規則:ATR-2026-00002(間接 prompt 注入)、ATR-2026-00010(惡意工具回應)。
其餘七條,我們也老實說
一個標準的可信度,取決於它願不願意說清楚自己不做什麼。CSI 也說「掃描你的本地網路、 找出開放或有漏洞的 MCP server」,並點名了掃描工具——MCP Scanner、Ramparts、CyberMCP、 Proximity。ATR 不是其中之一。ATR 是掃描器跑的規則 內容,不是掃描器本身,也不做網路探索。「為日誌與偵測埋點」是 SIEM 的工作; ATR 自己不產生任何 log——它是 SIEM 消費的偵測內容。身分綁定、訊息簽章、沙箱隔離, 這些是基礎設施,不是 pattern 偵測。所以把 ATR 當其中一層,不是唯一一層。
我們把全部 8 項顧慮、9 條建議都對映到具體規則,每一條都標了誠實的強度評級—— 包含哪些只是「互補」、哪些 ATR 根本不碰。 完整對映在這裡。
跑起來
npm install -g agent-threat-rules
npx agent-threat-rules scan .指向你的 skill 目錄或 MCP 設定。規則是開放、MIT 授權的——讀它、測它、把我們漏掉的 變種寄給我們。