一個公開的攻擊偵測標準，必須面對雙重用途。

ATR 規則描述 AI agent 攻擊的行為特徵。任何描述攻擊的系統——CVE 資料庫、Sigma 規則、YARA 簽名、MITRE ATT&CK——都帶著同一道張力。資安界長年的共識是：把攻擊技術寫在明處，防守方獲得的領先，大於攻擊方從文件得到的便利。隱晦只能拖延，公開才能讓所有防守方同時補上。ATR 站在透明這一邊，因為偵測標準的價值正建立在它能被審查。

兩個刻意的設計約束，把這道張力收窄：

• 1.規則中的 true_positive test case 是最小化的模式範例，不是完整的攻擊鏈。它們足以驗證偵測，卻仍需要額外的攻擊工程才能變成可用的 exploit——偵測規範需要的特徵面，遠小於武器化需要的工作量。
• 2.特別危險的規則（高 CVSS、已在野外主動利用）在送 PR 前，遵循負責任揭露的時程，確認受影響廠商已有修補時間。ATR-2026-00440 與 ATR-2026-00441 對應 Microsoft Semantic Kernel 的兩個 critical CVE（CVE-2026-26030、CVE-2026-25592），是這條原則的實例：規則在 MSRC 公開揭露之後才發布。

資料來源同樣有界線。PyRIT 的 Pliny L1B3RT4S 資料集未被導入——Anthropic 的使用政策不允許 subagent 消費它。AdvBench、HarmBench、JailbreakBench 被歸類為測試語料庫（data/test-corpora/），而非規則來源：這些資料集描述目標行為，不是包裝好的攻擊 payload。

最後，誠實的揭露也意味著說清楚 ATR 抓不到什麼。規則以 pattern 為基礎，對換句話說的改寫、語意等價的重述、非英語的注入、跨多輪逐步升級、以及傳輸層協定攻擊本質上是盲的——任何讀過公開規則的攻擊者，都能避開特定的動詞、名詞與句構。ATR 公開維護 64 條已知繞過技法（每條規則的 evasion_tests 欄位）與一份完整的 LIMITATIONS.md，把這些邊界寫成可被引用的文件，而不是行銷話術裡的空白。一個偵測標準的可信度，取決於它願不願意公開自己最差的數字。