6 個框架。每條規則都映射。
每一條法規都說同一句話:你必須管理 AI agent 風險。它們沒說的是怎麼在真實成品上證明你做到了。ATR 的 655 條規則,每一條都帶有六個框架對應——OWASP LLM、OWASP Agentic、MITRE ATLAS、NIST AI RMF、EU AI Act、ISO 42001——合法性與 100% 覆蓋由 CI 強制。一條義務於是接上一個能在 SKILL.md、MCP tool 描述、agent config 上跑的偵測。SAFE-MCP 為技術層級對應(78/85)。所有 metadata 皆 MIT 授權、可下載、可審核。
合規官員無法把一個 URL 當成採購證據提交。下載結構化的合規映射包(PDF + JSON):每條規則的框架對應、rule ID 索引、品質分數摘要。因為是開放標準,審稿者不必信任 ATR——他們可以自己驗每一條對應。
所有對應皆為 ATR 自行整理的交叉對照文件,並非上述各機構的背書。
全部 655 條規則皆帶有 OWASP LLM Top 10 (2025) 參照。
全部 655 條規則皆帶有 OWASP Agentic Top 10 參照;10 個 ASI 風險類別全覆蓋。
全部 655 條規則皆帶有 MITRE ATLAS 技術參照,在規則瀏覽器中依戰術分組。(ATR 自行整理的 ATLAS 交叉對照。)
全部 655 條規則皆帶有 NIST AI RMF subcategory 對應,涵蓋 GV/MP/MS/MG 四大 function。社群撰寫的 OSCAL catalog 已自行 publish(CC0),NIST OSCAL collaboration branch #338 審查中——是協作,不是 NIST 背書或採用。
全部 655 條規則皆對應到高風險 AI 義務(第 9、10、12、13、14、15 條)。法案說的是義務,ATR 給的是能對著該條文跑出證據的執行期偵測。是偵測證據,本身並非合規保證。
全部 655 條規則皆對應到 AI 管理系統條款(6.2、8.1–8.4、9.1)。
技術層級覆蓋:85 項 SAFE-MCP 技術中至少有一條規則覆蓋 78 項(保守下限,最後完整列舉於 v1.0.0)。
「符合某框架」是宣稱;指出偵測某攻擊的那一段 regex,是證據。ATR 的合規對應寫在每條規則的 YAML 裡——具體的 compliance metadata,引用偵測此攻擊的確切 regex 或 token,而非泛指「與該框架對齊」。任何人都能把對應和它聲稱偵測的東西擺在一起看。
在 GitHub 查看 raw rule YAML →認為某條對應有誤?這是開放標準——歡迎 fork、挑戰,並提 PR 或開 issue 修正任何 mapping。
開 issue 挑戰某條對應 →