NIST AI RMF 定義流程。
ATR 讓它能被偵測驗證。
GOVERN / MAP / MEASURE / MANAGE 四個 function,每一個都有 ATR 規則可掛進去(逐條分布見下方表格)。
AI RMF 是一份治理框架——它告訴你要 GOVERN、MAP、MEASURE、MANAGE 哪些風險,但本身不偵測任何東西。ATR 把 compliance.nist_ai_rmf metadata 寫進規則:每條規則標明自己服務哪個 subcategory,於是框架的每個 function 底下都有可以實際開火的偵測。首版於 2026-05-09 隨 v2.1.0 發布,當時 330 條規則全部對應;corpus 成長到 655 條後,對應同步擴張到多數規則。
對應不是一句「對齊 NIST」的宣稱。每條都引用該規則賴以判斷的偵測元素(regex / token / signature),逐條對得起 YAML——可下載、可審核、可被任何稽核人員推翻。
框架本身是散文。要讓機器能消費它,得有人把它轉成結構化格式。ATR 維護者把 NIST AI RMF 整理成 OSCAL 格式的社群 catalog(72 個控制項 + 176 條交叉參照連結),以 CC0 授權發布在 Agent-Threat-Rule/ai-rmf-oscal-catalog。這份 catalog 是社群自發整理,不是 NIST 官方產出。
這份內容進一步提交給 NIST 官方的 usnistgov/oscal-content 倉庫:submission(PR #338)仍在審查中,提交在 NIST 自己的 collaboration branch 上,NIST OSCAL maintainer 已在串上回應、一起對齊內容。維護者已寄信 [email protected] 詢問方向,等待 NIST 團隊指引中。這是開放標準該走的路徑——把貢獻送進上游、公開協作、由標準機構自己決定要不要採。
NIST AI Risk Management Framework(AI RMF 1.0 + GenAI Profile)是美國聯邦 AI 機構採用的事實標準,也是 NIST CAISI 推動 COSAiS Single-Agent / Multi-Agent overlay 工作的測量基底。它把 AI 風險管理拆成 GOVERN / MAP / MEASURE / MANAGE 四個 function——這是治理的語言,告訴你該管什麼,卻沒告訴你怎麼在一份 SKILL.md 或一個 MCP tool 描述上把風險抓出來。
那道缺口正是多數 AI 安全產品填得最潦草的地方。它們宣稱「對應 NIST AI RMF」,但通常只是一份封閉文件、一句行銷話術、或單一框架的交叉對照——沒有任何可逐條審核的 per-rule mapping。框架被引用,卻沒有任何能在真實成品上開火的東西接在它底下。
ATR 把那一層接上,做成 MIT 授權、open-source、可重現的 per-rule metadata。AI RMF 從一份治理框架,變成一個可驗證的偵測層:任何政府、任何 SOC、任何稽核人員,都能下載 YAML 逐條檢視——每條規則對應到哪個 subcategory、為何如此對應、以何 detection element 為證據。
對應落在 16 個 subcategory 上,GOVERN / MAP / MEASURE / MANAGE 四個 function 沒有一個是空的——治理框架的每一段流程,底下都掛得到能開火的規則。一條規則可同時對應多個 subcategory(primary + secondary strength);各 subcategory 的對應次數見下表。
MG.2.3 出現次數最多(442 次),因為多數偵測規則都對應到「containment / disengage」回應路徑——偵測本身就是觸發隔離機制的條件。
對應寫在規則裡,不是寫在投影片上。每條規則的 NIST 對應都明確說明它服務哪個 subcategory、以及為何。以下是 ATR-2026-00118(Approval Fatigue Exploitation)的實際 metadata:
compliance:
nist_ai_rmf:
- subcategory: GV.6.1
context: Approval fatigue exploitation manipulates
human-in-the-loop oversight by overwhelming operators
with rapid permission requests or minimizing
dangerous actions; GV.6.1 requires data and oversight
governance policies that preserve meaningful human
review rather than enabling bulk auto-approval of
risky tool calls.
strength: primarycontext 欄位明確說明這條規則為何歸屬 GV.6.1——不是泛指「governance」,而是「approval fatigue 攻擊違反 oversight 治理政策的具體路徑」。每條規則皆以此格式記錄。
Mapping pipeline 由三段組成:LLM-assisted 批次產生 + per-rule QA + atomic patch。完全 open-source、可重現。
- 輸入v2.1.0 當時的 330 條 ATR rule YAML(detection patterns、test cases、既有 metadata)、NIST AI RMF 1.0 reference、GenAI Profile、手寫 5-shot 範例。新規則的 mapping 沿用同一 batch pipeline 補上。
- 批次產生
scripts/expand-nist-mapping.ts— Claude Opus + 5-shot prompt + structured output。每條規則產出 ≥1 個 primary 加 0–3 個 secondary subcategory,並附上 per-mapping context。所有 subcategory ID 嚴格對照 RMF 規格驗證,零 hallucination。 - 原子套用
scripts/apply-nist-mapping.ts— 讀取 proposal YAML、patch 對應規則 YAML 的 compliance.nist_ai_rmf 區塊、tmp + rename 原子寫入、patch 後 YAML 仍可 parse(0 / 261 失敗)。既有的人工 mapping 不會被覆寫。 - 成本與時間USD 24.98(原估 USD 34)· wall-clock 約 52 分鐘 · 261 條新 mapping 疊在 v0.1 既有的 69 條之上,當時 v2.1.0 corpus 內的 330 條規則全數對應。
- Provenance每條規則的 proposal YAML 完整保存於 proposals/nist/。任何人皆可重跑 pipeline、比對輸出、驗證 mapping 推論。
ATR 設計上希望能作為 NIST CAISI 推動 COSAiS Single-Agent / Multi-Agent overlay 工作的 reference implementation,並以此回應 RFI NIST-2025-0035。這是 ATR 自行提交的回應,不代表 NIST 已選定 ATR。
CAISI 在 Research Blog 提出的「measurement-science-first」框架,正是這份 mapping 的設計根基:對應到一個 subcategory 不該是一句斷言,而該附帶可重現的量測證據(garak in-the-wild benchmark、SKILL.md FP corpus、公開測試 corpus)。能量到的就標數字,量不到的就不宣稱——這跟 CAISI 對「以量測為先」的要求是同一套紀律。
- →RFI 文件編號:NIST-2025-0035(CAISI Issues Request for Information About Securing AI Agent Systems)
- →姊妹計畫:NCCoE AI Agent Identity & Authorization——ATR 的偵測層自然位於身分層之上
- →效能 benchmark:NVIDIA garak in-the-wild jailbreak recall 98.0%(650 樣本)、完整 23-probe garak 38.5%(3,475 樣本)· 498 條已標註 SKILL.md 上 FP rate 0.20% · DOI 10.5281/zenodo.19178002
對映不是只能看的封閉規格,是可改的公開 metadata。每條規則的 RMF 對應都在 GitHub 上以 YAML 形式公開可讀——可 fork、可挑戰、可提 PR 修正 strength 或 context。一個對映若禁不起被推翻,就稱不上是標準。
更完整的脈絡:Sovereign AI Defense — 公開倡議