每個國家都在建 Sovereign AI。
沒有一個國家在建 Sovereign AI Defense。
直到現在。

Sovereign AI 為什麼是這個時代的國家命題

AI 不再只是「工具」，而是下一個時代的國家競爭力核心—— 誰控制 AI，就控制未來的經濟、軍事、外交與文化話語權。 過去 18 個月，民主陣營已簽下超過 USD 10B 的 Sovereign AI 合約：

驅動力是主權焦慮——各國不希望關鍵資料與智慧跑到美國雲端，也不願在關鍵時刻被外國平台關閉或審查。

每個國家都有了自己的 AI，卻沒有一個國家有自己的 AI Defense

這些國家都有了自己的模型、自己的算力。 但當這些 AI 變成 Agent——會自主行動、調度工具、串接 MCP、執行交易——沒有一套被廣泛接受的安全檢測標準。

目前的現實是：Sovereign AI 客戶的安全層，多由美國私企供應（閉源規則庫、黑盒模型）。 這製造了 Sovereign AI 本來要消除的依賴。你可以擁有自己的 AI，但得跟外國私企買防禦的「知識」——這是不完整的主權。

ATR — 讓 Sovereign AI 有對應 Defense 的開放標準

MIT License · 642 條行為規則 · Protocol-agnostic · Behavioral-based。從真實攻擊情資產生,對應 NVIDIA garak、OWASP Agentic、MITRE ATLAS 三大標準 taxonomy。任何國家可採用,任何組織可貢獻,沒有地緣政治風險,沒有 vendor lock-in。

ATR 抓的是攻擊的行為意圖，不是字串特徵。 攻擊者改 prompt、改 payload、改包裝都無法繞過，因為偵測的是因果結構。 每次攻擊都必須重新設計整條攻擊鏈，成本指數級上升。

20 年的偵測知識不會消失，它換了個外殼

任何銀行、醫院或半導體廠的資安中心，都累積了一整套用多年攻防實戰養出來的偵測 IP——Sigma、YARA、Snort、Splunk SPL、Elastic EQL。每一條規則背後，都有一場真實事件。

AI Agent 時代來臨後，SQL injection 沒有消失——它跑進了 reasoning chain。Command injection 跑進了 tool calls。SSRF 跑進了 MCP 連線。攻擊面變了，攻擊的本質沒變。

ATR 提供一個開放的參考 CLI atr migrate，把既有的偵測規則轉成 ATR 格式的草稿規則，讓累積的偵測知識能銜接到 AI Agent 時代，不用打掉重練。每條輸出都對 benign 樣本語料做誤報檢查，沒過關就拒收。

# Open reference CLI (MIT)
atr migrate --source snort --input ./rules.snort --output ./atr-out

已在全球主要資安堆疊落地

0 → 642 條規則 · 2 個生產環境（Microsoft、Cisco）外加 Gen Digital Sage（已合併）· 標準同儕引用 · 20+ adopters 在 ADOPTERS.md · MIT 永久授權 · DOI 10.5281/zenodo.19178002

一個由社群治理的開放標準

ATR 不是單一實驗室或單一廠商的作品。每條規則都經過一條公開、可稽核的流程： pull request → 自動化 safety gate → 社群審核 → 合併 → npm publish。 治理規則寫在 GOVERNANCE.md；每條規則都有 provenance metadata； 任何貢獻者都可以挑戰、修正、或擴充 taxonomy。

如果這份倡議對你的組織有共鳴，有三個層次可以參與：

• →貢獻規則： 把你見過的 AI agent 攻擊樣本，轉成 ATR 格式的 YAML rule 提 PR
• →貢獻 probe： 定義新的攻擊類別，讓規則產出可以系統化覆蓋
• →貢獻驗證： 用真實攻擊 corpus 測 FP/Recall，找出規則盲點

開放治理本身就是 Sovereign AI Defense 必要的制度基礎——攻擊不是由單一實驗室定義、防禦也不應該由單一廠商決定。

第一個國家級 reference deployment 需要什麼

沒有任何國家會「擁有」這個標準，只會率先採用它—— 像第一個採用 Linux 的銀行、第一個採用 OpenSSL 的政府。以下是讓一個民主國家適合成為第一個 reference deployment 的條件。

讓這個缺口被更多人看見

這份宣言的傳播，會直接決定下一個民主國家多快採納。轉發 = 縮短時間窗口。