MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) je strukturovaná znalostní báze o taktikách, technikách a případových studiích protivníka zaměřených na umělou inteligenci a systémy strojového učení. Představte si ji jako rozšíření MITRE ATT&CK specifické pro umělou inteligenci, které se neaplikuje na sítě a koncové body, ale na datové kanály, API pro inferenci modelů, školicí procesy a nástroje umělé inteligence, které vaši zaměstnanci používají každý den. K roku 2026 dokumentuje ATLAS 16 taktik, 170 technik, 35 zmírňujících opatření a 57 případových studií z reálného světa.
Co je MITRE ATLAS a jaký problém řeší?
Po dvě desetiletí poskytoval MITRE ATT&CK obráncům společný jazyk pro chování protivníka. Katalogizoval, jak se útočníci pohybují v sítích, zvyšují oprávnění a zbavují se dat. Fungoval, protože povrch útoku byl relativně stabilní: koncové body, servery, síťové protokoly, přihlašovací údaje.
Umělá inteligence to změnila. Když Microsoft v roce 2016 spustil Tay, útok, který ho zastavil během 24 hodin, nezneužil žádné CVE. Nebyly odcizeny žádné přihlašovací údaje. Nebyla narušena žádná síť. Útočníci jednoduše poskytli vstupy prostřednictvím rozhraní, které byl systém navržen přijímat, a vlastní mechanismus učení modelu tyto vstupy obrátil proti němu samotnému. ATT&CK pro něj neměl žádnou kategorii.
Právě tuto mezeru MITRE ATLAS vyplňuje. Rámec dokumentuje, jak útočníci konkrétně cílí na systémy umělé inteligence: manipulují s trénovacími daty, zneužívají inferenční API, vkládají škodlivé výzvy, otravují výstupy modelů a zneužívají vztahy důvěry, které autonomní agenti umělé inteligence udržují v rámci podnikové infrastruktury. Poskytuje bezpečnostním týmům strukturovanou taxonomii pro identifikaci hrozeb, modelování cest útoku a mapování ovládacích prvků na vrstvu umělé inteligence jejich stacku.
Systém ATLAS spravuje Centrum pro obranu založenou na hrozbách organizace MITRE a je průběžně aktualizován na základě hlášení o incidentech z reálného světa. Aktualizace v5.1.0 z listopadu 2025 výrazně rozšířila pokrytí. První aktualizace z roku 2026 přidala nové techniky agentní umělé inteligence, což odráží rychlý přechod od nástrojů umělé inteligence, které pomáhají uživatelům, k agentům umělé inteligence, kteří jednají jejich jménem.
Jak se MITRE ATLAS liší od MITRE ATT&CK?
ATLAS a ATT&CK se doplňují, nikoliv si konkurují. ATT&CK pokrývá tradiční povrch útoku: počáteční přístup prostřednictvím phishingu, laterální pohyb prostřednictvím zneužití přihlašovacích údajů, únik prostřednictvím kanálů velení a řízení. ATLAS přebírá 13 taktik přímo od ATT&CK a aplikuje je na kontexty specifické pro umělou inteligenci, poté přidává tři taktiky, které nemají ekvivalent ATT&CK.
Klíčovým strukturálním rozdílem je cíl útoku. ATT&CK modeluje útoky proti infrastruktuře. ATLAS modeluje útoky proti systémům umělé inteligence – samotnému modelu, datům, na kterých byl trénován, API, které zpřístupňuje, a rozhodnutím, která činí. Útok prompt injection na ChatGPT se nedotýká sítě. Dotýká se procesu uvažování modelu. ATT&CK na to nemá žádnou techniku. ATLAS ano.
V praxi většina podnikových prostředí potřebuje obojí. ATT&CK zůstává vhodným frameworkem pro laterální přesun, ransomware a kompromitaci koncových bodů. ATLAS se stává nezbytným v daném okamžiku. Ovládací prvky využití umělé inteligence jsou součástí pracovního postupu – což pro většinu pracovníků se znalostmi již je. Podle výzkumu LayerX aktivně používá nástroje umělé inteligence 45 % zaměstnanců podniků. Bezpečnostní rámce, které ignorují vrstvu umělé inteligence, nechávají velký a aktivní povrch pro útoky nezmapovaný.
Dalším významným rozdílem je tempo. ATLAS se aktualizuje rychleji než ATT&CK, protože se prostředí hrozeb s využitím umělé inteligence vyvíjí rychleji. Techniky zahrnující agentní prohlížeče s využitím umělé inteligence, sběr přihlašovacích údajů agentů s využitím umělé inteligence a kanály velení a řízení založené na LLM se v ATLASu objevily dříve, než většina bezpečnostních týmů dokončila vyhodnocení svého prvního nasazení ChatGPT.
Jaké taktiky a techniky MITRE ATLAS zahrnuje?
ATLAS organizuje chování protivníka do 16 taktik, z nichž každá představuje fázi nebo cíl útoku proti systému umělé inteligence. Systém přebírá známé taktiky ATT&CK a aplikuje je na kontexty umělé inteligence. Tři taktiky nemají ekvivalent ATT&CK:
Příprava útoku ML Zahrnuje přípravné práce specifické pro útoky s využitím umělé inteligence: vytváření proxy modelů, trénování dat pro útočníky, přípravu útočné infrastruktury, která odráží cílový systém umělé inteligence.
Přístup k modelu ML Zahrnuje metody, které útočníci používají k interakci s modelem umělé inteligence – prostřednictvím veřejného API, kompromitovaného interního koncového bodu nebo fyzického přístupu k artefaktům modelu.
Útoky na modely strojového učení Zahrnuje přímé útoky na chování modelu: úniky, inference, inverze a otravování.
V rámci těchto taktik se v hlášeních o podnikových incidentech nejčastěji objevuje několik technik. Na prvním místě je tzv. „prompt injection“ (AML.T0051). Únik dat prostřednictvím modelu umělé inteligence (AML.T0025) dokumentuje, jak lze extrahovat nebo odhalit citlivé informace odeslané do nástroje umělé inteligence. Kompromitace dodavatelského řetězce pro strojové učení (AML.T0010) se zabývá útoky na knihovny, datové sady a modely třetích stran, které organizace integrují do svých pracovních postupů s umělou inteligencí. Pro hlubší pohled na to, jak se tato rizika mapují na… Zabezpečení GenAI kontroly, výzkum společnosti LayerX poskytuje rozbor na úrovni odborníků.
Které techniky MITRE ATLAS jsou nejrelevantnější pro využití umělé inteligence v podniku?
Většina diskusí o projektu ATLAS se zaměřuje na útoky na úrovni modelu: příklady útoků, extrakce modelu, otrava trénovacích dat. To jsou skutečné hrozby pro organizace, které vytvářejí a provozují modely umělé inteligence. Pro většinu podniků je bezprostřednější vystavení jiné. Jejich riziko spojené s umělou inteligencí nespočívá v architektuře modelu. Je to v tom, jak zaměstnanci denně interagují s nástroji umělé inteligence.
77 % zaměstnanců podniků vkládá data do výzev GenAI. Polovina této aktivity vkládání zahrnuje firemní data. 89 % přihlášení pomocí umělé inteligence v podnikových prostředích obchází firemní dohled, přičemž uživatelé přistupují k ChatGPT, Copilot, Claude a Gemini prostřednictvím osobních účtů, které IT nikdy nezřídilo a nemůže je monitorovat.
Techniky ATLASu, které jsou pro tuto skutečnost nejrelevantnější:
AML.T0051 – Výzva k vstřikování: Útočníci vkládají škodlivé instrukce do obsahu, který zpracovává model umělé inteligence. V podnikových prostředích používajících Copilot nebo e-mailové nástroje s podporou umělé inteligence to nevyžaduje žádný speciální přístup – pouze to, aby se škodlivý aktér dostal k obsahu umělé inteligenci, které cílový uživatel důvěřuje. Prevence zneužití umělé inteligence Ovládací prvky to řeší na úrovni relace.
AML.T0025 — Exfiltrace přes model AI: Citlivá data odesílaná do nástroje umělé inteligence jsou pro DLP na úrovni sítě do značné míry neviditelná, protože se přesouvají jako běžný HTTPS provoz do schváleného cíle. To je hlavní problém. DLP s umělou inteligencí je navržen k řešení.
AML.T0098 – Shromažďování přihlašovacích údajů pomocí nástroje pro agenty umělé inteligence: Doplněk systému ATLAS z roku 2026. Pokud má agent trvalý přístup k SharePointu, OneDrivu nebo CRM, je jeho napadení ekvivalentní přímému napadení těchto nástrojů.
AML.T0100 – Clickbait s využitím AI agenta: Útočníci vytvářejí webové stránky, dokumenty nebo prvky uživatelského rozhraní určené k manipulaci s rozhodováním agentů s umělou inteligencí. Agent se řídí pokyny, které se zdají být sladěny s úkolem, a to i v případě, že se jedná o nepřátelské chování.
Kde se hrozby MITRE ATLAS ve skutečnosti projevují v podnikovém prostředí?
Této otázce se většina autorů vysvětlujících systém ATLAS vyhýbá a z provozního hlediska je to ta nejdůležitější.
Bezpečnostní týmy, které čtou ATLAS, přirozeně uvažují v kontextu existujících kontrolních bodů: síť, koncový bod, identita. Většina podnikových útoků s využitím umělé inteligence nevstupuje do perimetru. Probíhá uvnitř něj, skrze povrchy, které perimetr nikdy nebyl navržen k monitorování.
Prompt injection se neobjevuje jako síťový útok. Objevuje se jako dokument, který si uživatel otevře ve svém prohlížeči. Únik dat prostřednictvím modelu umělé inteligence nevypadá jako únik dat. Vypadá to, jako by uživatel zadával do ChatGPT přes HTTPS.
Společným rysem nejčastějších podnikových technik ATLAS je, že se provádějí na úrovni prohlížeče, uvnitř relací nástrojů umělé inteligence. Síťové nástroje vidí připojení k doméně ChatGPT. Nevidí, co bylo zadáno. Koncové nástroje vidí proces prohlížeče. Nevidí, co se stalo uvnitř relace. Nástroje pro identifikaci vědí, že se uživatel ověřil. Nevědí, jaká data se následně přesunula interakcí s umělou inteligencí.
Tato mezera v pokrytí není konfigurační problém. Je to architektonický problém. Zabezpečení rozšíření prohlížeče řeší to na vrstvě, kde se tyto techniky provádějí.
Jak bezpečnostní týmy zavádějí do provozu ovládací prvky MITRE ATLAS?
ATLAS poskytuje model hrozeb. Jeho operacionalizace vyžaduje mapování rámcových technik na skutečné kontrolní mechanismy a následné uzavření mezer tam, kde tyto kontroly nedosahují.
Praktickým výchozím bodem je ATLAS Navigator. Bezpečnostní týmy mohou vrstvit stávající kontrolní pokrytí s maticí ATLAS a vizualizovat tak, které techniky dokáží detekovat, kterým mohou zabránit nebo pro které nemají žádné pokrytí. Přibližně 70 % zmírňujících opatření ATLAS se mapuje na stávající bezpečnostní kontroly. Zbývajících 30 % vyžaduje pokrytí, které většina stacků v současné době neposkytuje – neúměrně koncentrované ve vrstvě interakce s umělou inteligencí.
Týmy, které se s operacionalizací systému ATLAS dostaly nejdále, považují interakce s umělou inteligencí za samostatnou doménu viditelnosti vyžadující specializované kontroly: monitorování interakcí nástrojů umělé inteligence na úrovni relací, klasifikaci dat proudících do výzev umělé inteligence a zásady vynucování, které reagují na chování mapované systémem ATLAS v reálném čase.
Bezpečnostní komunita Redditu na toto napětí přímo upozornila. Odborníci z praxe považují ATLAS za cenný taxonomický systém, ale jeho zavádění je frustrující, protože techniky předpokládají viditelnost, kterou většina bezpečnostních týmů nemá. Rámec vám říká, na co se zaměřit. Získání výhodného úhlu pohledu, abyste ho viděli, je samostatný problém.
Jak vynucování na úrovni prohlížeče řeší techniky MITRE ATLAS?
Většina hrozeb podnikové umělé inteligence mapovaných systémem ATLAS se spouští v rámci relace prohlížeče. Jejich řešení vyžaduje vynucení opatření na této úrovni.
LayerX funguje jako rozšíření podnikového prohlížeče a poskytuje přehled o interakcích nástrojů umělé inteligence v reálném čase a kontrolu nad nimi na úrovni relace. Několik mapování specifických technik je přímých:
Pro okamžitá injekce (AML.T0051)LayerX monitoruje obsah interakcí s umělou inteligencí – co je vkládáno do ChatGPT, Copilot, Claude a Gemini. Pokud obsah odpovídá vzorcům vkládání nebo klasifikátorům citlivých dat, může uživatele varovat, redigovat citlivý prvek nebo zabránit odeslání.
Pro exfiltrace dat prostřednictvím modelu AI (AML.T0025)LayerX klasifikuje, co zaměstnanci vkládají a nahrávají do nástrojů umělé inteligence. 50 % aktivit vkládání do nástrojů GenAI obsahuje firemní data. Bezpečnostní týmy mohou používat postupné kontroly – monitorovat, varovat, předcházet nebo redigovat – aniž by zcela blokovaly přístup umělé inteligence.
Pro stínová umělá inteligence a neoprávněný přístup k nástrojůmLayerX zajišťuje nepřetržité zjišťování všech nástrojů umělé inteligence používaných v celé organizaci. 89 % využití umělé inteligence v podnicích v současné době obchází firemní dohled. LayerX toto využití zviditelňuje a zavádí ho pod kontrolu politik.
Pro hrozby agentní umělé inteligence — sběr přihlašovacích údajů (AML.T0098), clickbait s využitím AI agentů (AML.T0100) — LayerX je jediná bezpečnostní platforma s viditelností a vynucováním v prohlížečích s AI agenty, včetně ChatGPT Atlas, Perplexity Comet a Dia.
Co znamená MITRE ATLAS pro řízení a dodržování předpisů v oblasti umělé inteligence?
Systém ATLAS je stále častěji zmiňován v regulačních a dodržovacích rámcích pro bezpečnost umělé inteligence. Zákon EU o umělé inteligenci (AI Act), NIST AI RMF a ISO 42001 se zabývají řízením rizik umělé inteligence na úrovni politik. Systém ATLAS poskytuje technickou terminologii, která převádí požadavky politik do specifických, testovatelných kontrolních mechanismů.
Pro informační fóra CISO o rizicích v oblasti umělé inteligence nabízí ATLAS důvěryhodný externí referenční bod. Organizace, které integrují ATLAS do svého procesu modelování hrozeb, jsou lépe připraveny odpovídat na konkrétní otázky auditorů, regulačních orgánů a pojišťoven týkající se zabezpečení umělé inteligence.
Úhel pohledu na dodržování předpisů ovlivňuje hodnocení dodavatelů. Nástroje, které dokáží mapovat detekční a vynucovací schopnosti na specifické identifikátory technik ATLAS – AML.T0051, AML.T0025, AML.T0098 – umožňují týmům vytvářet strukturované mapy pokrytí namísto narativních popisů.
Směr je jasný. Systém ATLAS se mění z výzkumného rámce na benchmark pro shodu s předpisy.
Často kladené dotazy
Je MITER ATLAS stejný jako MITER ATT&CK?
Ne. ATT&CK pokrývá tradiční cesty útoku na sítě a koncové body. ATLAS rozšiřuje tuto taxonomii konkrétně na systémy umělé inteligence. ATLAS dědí 13 taktik od ATT&CK a přidává tři, které nemají ekvivalent ATT&CK. Bezpečnostní týmy by měly oba frameworky používat společně.
Hradí MITRE ATLAS okamžitou injekci?
Ano. Prompt injection je zdokumentován v rámci techniky ATLAS AML.T0051. Zahrnuje útoky, při kterých útočníci vytvářejí vstupy manipulující s chováním modelu umělé inteligence, včetně přímého jailbreaku, nepřímé injekce prostřednictvím dokumentů nebo webového obsahu a zneužití pluginů.
Jak často se MITRE ATLAS aktualizuje?
Aktivně. Verze 5.1.0 byla spuštěna v listopadu 2025 s 16 taktikami, 170 technikami, 35 zmírňujícími opatřeními a 57 případovými studiemi. První aktualizace z roku 2026 přidala techniky agentní umělé inteligence. ATLAS je živý dokument aktualizovaný na základě zpráv o incidentech z reálného světa.
Musím pro implementaci MITRE ATLAS nahradit své stávající bezpečnostní nástroje?
Ne. MITRE ATLAS je framework, nikoli produkt. Přibližně 70 % jeho zmírňujících opatření se mapuje na stávající bezpečnostní kontroly. Mezera spočívá v pokrytí interakční vrstvy umělé inteligence – konkrétně v tom, co se děje v relacích prohlížeče během používání GenAI.
Které techniky MITRE ATLAS se pomocí tradičních bezpečnostních nástrojů nejhůře detekují?
Úniky dat prostřednictvím modelu umělé inteligence (AML.T0025), prompt injection (AML.T0051) a AI agent credential harvesting (AML.T0098) jsou pro síťové nebo koncové nástroje zřídka viditelné. Dochází k nim jako k běžnému provozu HTTPS v rámci schválených aplikací během ověřených relací.
Vztahuje se MITRE ATLAS na nástroje umělé inteligence založené na prohlížeči, jako je ChatGPT nebo Microsoft Copilot?
Ano. Několik technik ATLAS se spouští přímo prostřednictvím interakcí umělé inteligence v prohlížeči, včetně exfiltrace dat pomocí promptu (AML.T0025) a vkládání promptu prostřednictvím dokumentů (AML.T0051). Jedná se o nejčastější hrozby umělé inteligence v podniku.
