MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) er en struktureret vidensbase af adversarielle taktikker, teknikker og casestudier rettet mod AI og maskinlæringssystemer. Tænk på det som den AI-specifikke udvidelse af MITRE ATT&CK, der ikke anvendes på netværk og endpoints, men på datapipelines, modelinferens-API'er, træningsprocesser og de AI-værktøjer, dine medarbejdere bruger hver dag. Fra 2026 dokumenterer ATLAS 16 taktikker, 170 teknikker, 35 afhjælpninger og 57 casestudier fra den virkelige verden.
Hvad er MITRE ATLAS, og hvilket problem løser det?
I to årtier gav MITRE ATT&CK forsvarere et fælles sprog for modstanderens adfærd. Det katalogiserede, hvordan angribere bevæger sig gennem netværk, eskalerer privilegier og stjæler data. Det fungerede, fordi angrebsfladen var relativt stabil: endepunkter, servere, netværksprotokoller, legitimationsoplysninger.
AI ændrede det. Da Microsoft lancerede Tay i 2016, udnyttede angrebet, der lukkede det ned på 24 timer, ingen CVE. Ingen legitimationsoplysninger blev stjålet. Intet netværk blev brudt. Modstandere leverede blot input via den grænseflade, systemet var designet til at acceptere, og modellens egen læringsmekanisme vendte disse input mod sig selv. ATT&CK havde ingen kategori for det.
Det er præcis det hul, MITRE ATLAS udfylder. Frameworket dokumenterer, hvordan modstandere specifikt målretter AI-systemer: manipulerer træningsdata, misbruger inferens-API'er, injicerer ondsindede prompts, forgifter modeloutput og udnytter de tillidsforhold, som autonome AI-agenter har i virksomhedens infrastruktur. Det giver sikkerhedsteams en struktureret taksonomi til at identificere trusler, modellere angrebsstier og knytte kontroller til AI-laget i deres stak.
ATLAS vedligeholdes af MITRE's Center for Threat-Informed Defense og opdateres løbende baseret på rapportering af hændelser i den virkelige verden. Opdateringen v5.1.0 i november 2025 udvidede dækningen betydeligt. Den første opdatering fra 2026 tilføjede nye agentiske AI-teknikker, hvilket afspejler det hurtige skift fra AI-værktøjer, der hjælper brugere, til AI-agenter, der handler på deres vegne.
Hvordan adskiller MITRE ATLAS sig fra MITRE ATT&CK?
ATLAS og ATT&CK er komplementære, ikke konkurrerende. ATT&CK dækker den traditionelle angrebsflade: initial adgang via phishing, lateral bevægelse via misbrug af legitimationsoplysninger, eksfiltrering via kommando- og kontrolkanaler. ATLAS arver 13 taktikker direkte fra ATT&CK og anvender dem på AI-specifikke kontekster, hvorefter det tilføjer tre taktikker uden nogen ATT&CK-ækvivalent.
Den vigtigste strukturelle forskel er angrebsmålet. ATT&CK modellerer angreb mod infrastruktur. ATLAS modellerer angreb mod AI-systemer – selve modellen, de data, den blev trænet på, den API, den eksponerer, og de beslutninger, den træffer. Et prompt injection-angreb på ChatGPT berører ikke et netværk. Det berører modellens ræsonnementsproces. ATT&CK har ingen teknik til det. Det har ATLAS.
I praksis har de fleste virksomhedsmiljøer brug for begge dele. ATT&CK er fortsat det rette framework for lateral bevægelse, ransomware og kompromittering af endpoints. ATLAS bliver essentielt i det øjeblik AI-brugskontroller er en del af arbejdsgangen – hvilket det allerede er for størstedelen af vidensarbejdere. 45 % af virksomhedsmedarbejdere bruger aktivt AI-værktøjer ifølge LayerX-forskning. Sikkerhedsrammer, der ignorerer AI-laget, efterlader en stor og aktiv angrebsflade ukortlagt.
Den anden betydningsfulde forskel er hastigheden. ATLAS opdateres hurtigere end ATT&CK, fordi trusselsbilledet for AI bevæger sig hurtigere. Teknikker, der dækker agentiske AI-browsere, indsamling af AI-agentlegitimationsoplysninger og LLM-baserede kommando- og kontrolkanaler, dukkede op i ATLAS, før de fleste sikkerhedsteams var færdige med at vurdere deres første ChatGPT-implementering.
Hvilke taktikker og teknikker dækker MITRE ATLAS?
ATLAS organiserer modstanderens adfærd i 16 taktikker, der hver repræsenterer en fase eller et mål i et angreb mod et AI-system. Rammerne arver velkendte ATT&CK-taktikker og anvender dem i AI-kontekster. Tre taktikker har ingen ATT&CK-ækvivalent:
ML-angrebsiscenesættelse dækker forberedelsesarbejde specifikt for AI-angreb: opbygning af proxy-modeller, træning af adversarielle data, forberedelse af angrebsinfrastruktur, der afspejler det pågældende AI-system.
Adgang til ML-modellen dækker metoder, som modstandere bruger til at interagere med en AI-model – via en offentlig API, et kompromitteret internt slutpunkt eller fysisk adgang til modelartefakter.
ML-modelangreb dækker direkte angreb på modeladfærd: undvigelse, inferens, inversion og forgiftning.
Inden for disse taktikker optræder flere teknikker hyppigst i virksomhedshændelsesrapporter. Prompt injection (AML.T0051) topper listen. Dataexfiltration via AI-model (AML.T0025) dokumenterer, hvordan følsomme oplysninger, der sendes til et AI-værktøj, kan udtrækkes eller eksponeres. Supply chain compromittation for ML (AML.T0010) dækker angreb mod de biblioteker, datasæt og tredjepartsmodeller, som organisationer integrerer i deres AI-arbejdsgange. For et dybere kig på, hvordan disse risici knyttes til GenAI-sikkerhed kontroller, giver LayerX' forskning en oversigt på praktikerniveau.
Hvilke MITRE ATLAS-teknikker er mest relevante for brugen af AI i virksomheder?
De fleste ATLAS-diskussioner fokuserer på angreb på modelniveau: fjendtlige eksempler, modeludtrækning og forgiftning af træningsdata. Disse er reelle trusler for organisationer, der bygger og driver AI-modeller. For de fleste virksomheder er den mere umiddelbare eksponering anderledes. Deres AI-risiko ligger ikke i modelarkitekturen. Den ligger i, hvordan medarbejdere interagerer med AI-værktøjer hver dag.
77 % af virksomhedsmedarbejdere indsætter data i GenAI-prompts. Halvdelen af denne indsættelsesaktivitet omfatter virksomhedsdata. 89 % af AI-logins i virksomhedsmiljøer omgår virksomhedens tilsyn, hvor brugerne tilgår ChatGPT, Copilot, Claude og Gemini via personlige konti, som IT aldrig har provisioneret og ikke kan overvåge.
De ATLAS-teknikker, der er mest relevante for denne virkelighed:
AML.T0051 — Hurtig indsprøjtning: Modstandere integrerer ondsindede instruktioner i indhold, som AI-modellen behandler. I virksomhedsmiljøer, der bruger Copilot eller AI-assisterede e-mailværktøjer, kræver dette ingen særlig adgang – kun at en ondsindet aktør kan få indhold foran en AI, som målbrugeren har tillid til. Forebyggelse af misbrug af AI Kontroller adresserer dette på sessionslaget.
AML.T0025 — Eksfiltrering via AI-model: Følsomme data, der sendes til et AI-værktøj, er stort set usynlige for DLP på netværksniveau, fordi de bevæger sig som normal HTTPS-trafik til en godkendt destination. Dette er kerneproblemet. AI DLP er designet til at løse.
AML.T0098 — Indsamling af legitimationsoplysninger til AI-agentværktøj: En tilføjelse til ATLAS fra 2026. Når en agent har permanent adgang til SharePoint, OneDrive eller CRM, svarer kompromittering af agenten til at kompromittere disse værktøjer direkte.
AML.T0100 — AI-agent Clickbait: Modstandere skaber websider, dokumenter eller brugergrænsefladeelementer, der er designet til at manipulere AI-agenters beslutningstagning. Agenten overholder instruktioner, der virker opgaveafstemte, selv når de er modstridende.
Hvor udføres MITRE ATLAS-trusler rent faktisk i virksomhedsmiljøet?
Dette er det spørgsmål, som de fleste ATLAS-forklarere undgår, og det er det operationelt vigtigste.
Sikkerhedsteams, der læser ATLAS, tænker naturligt i eksisterende kontrolpunkter: netværk, endpoint, identitet. For de fleste AI-angreb i virksomheder træder truslerne ikke ind i perimeteren. De udføres inden for den, gennem overflader, som perimeteren aldrig var designet til at overvåge.
Prompt injection (hurtig indsprøjtning) ankommer ikke som en netværksindtrængen. Det ankommer som et dokument, som en bruger åbner i sin browser. Dataudfiltrering via AI-modellen ligner ikke et databrud. Det ligner en bruger, der skriver i ChatGPT via HTTPS.
Den fælles tråd på tværs af de mest hyppige ATLAS-teknikker til virksomheder er, at de udføres på browserlaget, i AI-værktøjssessioner. Netværksværktøjer ser forbindelsen til ChatGPT's domæne. De ser ikke, hvad der blev indtastet. Endpoint-værktøjer ser browserprocessen. De ser ikke, hvad der skete i sessionen. Identitetsværktøjer ved, at brugeren er blevet godkendt. De ved ikke, hvilke data der blev flyttet gennem AI-interaktionen bagefter.
Det dækningsgab er ikke et konfigurationsproblem. Det er et arkitektonisk problem. Sikkerhed i browserudvidelser adresserer det på det lag, hvor disse teknikker udføres.
Hvordan operationaliserer sikkerhedsteams MITRE ATLAS-kontroller?
ATLAS leverer trusselsmodellen. At operationalisere den kræver, at rammeteknikker kortlægges til faktiske kontroller og derefter lukker huller, hvor disse kontroller ikke når.
Et praktisk udgangspunkt er ATLAS Navigator. Sikkerhedsteams kan sammenligne eksisterende kontroldækning med ATLAS-matricen for at visualisere, hvilke teknikker de kan opdage, forhindre eller ikke har dækning for. Cirka 70 % af ATLAS-afbødningerne er knyttet til eksisterende sikkerhedskontroller. De resterende 30 % kræver dækning, som de fleste stakke i øjeblikket ikke tilbyder – uforholdsmæssigt koncentreret i AI-interaktionslaget.
Teams, der er kommet længst med ATLAS-operationalisering, behandler AI-interaktioner som et særskilt synlighedsdomæne, der kræver dedikerede kontroller: overvågning af AI-værktøjsinteraktioner på sessionsniveau, klassificering af data, der flyder ind i AI-prompter, og håndhævelsespolitikker, der reagerer på ATLAS-kortlagt adfærd i realtid.
Reddits sikkerhedsfællesskab har direkte afsløret denne friktion. Praktikere finder ATLAS værdifuld som en taksonomi, men frustrerende at operationalisere, fordi teknikkerne forudsætter en synlighed, som de fleste sikkerhedsteams ikke har. Frameworket fortæller dig, hvad du skal kigge efter. At få et perspektiv til at se det er et separat problem.
Hvordan håndterer håndhævelse på browserniveau MITRE ATLAS-teknikker?
De fleste ATLAS-kortlagte AI-trusler i virksomheder udføres i browsersessionen. Håndtering af dem kræver håndhævelse på det pågældende lag.
LayerX fungerer som en Enterprise Browser Extension, der giver realtidsoverblik og kontrol over AI-værktøjers interaktioner på sessionsniveau. Flere specifikke teknikmappings er direkte:
Til hurtig injektion (AML.T0051)LayerX overvåger indholdet af AI-interaktioner – hvad der indsættes i ChatGPT, Copilot, Claude og Gemini. Når indhold matcher indsprøjtningsmønstre eller klassifikatorer for følsomme data, kan det advare brugeren, redigere det følsomme element eller forhindre indsendelsen.
Til dataeksfiltrering via AI-model (AML.T0025)LayerX klassificerer, hvad medarbejdere indsætter og uploader til AI-værktøjer. 50 % af indsættelsesaktiviteten til GenAI-værktøjer indeholder virksomhedsdata. Sikkerhedsteams kan anvende graduerede kontroller – overvåge, advare, forhindre eller redigere – uden helt at blokere AI-adgang.
Til skygge-AI og uautoriseret værktøjsadgangLayerX leverer kontinuerlig registrering af alle AI-værktøjer, der bruges på tværs af organisationen. 89 % af brugen af AI i virksomheder omgår i øjeblikket virksomhedens tilsyn. LayerX synliggør denne brug og bringer den under politisk kontrol.
Til agentiske AI-trusler — indsamling af legitimationsoplysninger (AML.T0098), clickbait med AI-agenter (AML.T0100) — LayerX er den eneste sikkerhedsplatform med synlighed og håndhævelse over agentiske AI-browsere, herunder ChatGPT Atlas, Perplexity Comet og Dia.
Hvad betyder MITRE ATLAS for AI-styring og -compliance?
ATLAS refereres i stigende grad til i lovgivningsmæssige og overholdelsesrammer for AI-sikkerhed. EU's AI-lov, NIST AI RMF og ISO 42001 omhandler alle AI-risikostyring på politisk niveau. ATLAS leverer det tekniske ordforråd, der omsætter politiske krav til specifikke, testbare kontroller.
For CISO'er, der briefer bestyrelser om AI-risici, tilbyder ATLAS et troværdigt eksternt referencepunkt. Organisationer, der integrerer ATLAS i deres trusselsmodelleringsproces, er bedre positioneret til at svare på revisorer, tilsynsmyndigheder og forsikringsselskaber, der stiller specifikke spørgsmål om AI-sikkerhedstilstanden.
Compliance-vinklen påvirker leverandørevalueringen. Værktøjer, der kan knytte detektions- og håndhævelsesfunktioner til specifikke ATLAS-teknikidentifikatorer — AML.T0051, AML.T0025, AML.T0098 — giver teams mulighed for at producere strukturerede dækningskort i stedet for narrative beskrivelser.
Retningen er klar. ATLAS er i færd med at gå fra at være et forskningsrammeværk til at være et compliance-benchmark.
Ofte stillede spørgsmål
Er MITRE ATLAS det samme som MITRE ATT&CK?
Nej. ATT&CK dækker traditionelle netværks- og endpoint-angrebsstier. ATLAS udvider denne taksonomi specifikt til AI-systemer. ATLAS arver 13 taktikker fra ATT&CK og tilføjer tre uden nogen ATT&CK-ækvivalent. Sikkerhedsteams bør bruge begge frameworks sammen.
Dækker MITRE ATLAS prompt injektion?
Ja. Prompt injektion er dokumenteret under ATLAS-teknikken AML.T0051. Den dækker angreb, hvor modstandere skaber input, der manipulerer en AI-models adfærd, herunder direkte jailbreaking, indirekte injektion via dokumenter eller webindhold og plugin-misbrug.
Hvor ofte opdateres MITRE ATLAS?
Aktivt. Version 5.1.0 blev lanceret i november 2025 med 16 taktikker, 170 teknikker, 35 afhjælpende tiltag og 57 casestudier. Den første opdatering fra 2026 tilføjede agentiske AI-teknikker. ATLAS er et levende dokument opdateret fra hændelsesrapporter fra den virkelige verden.
Skal jeg udskifte mine eksisterende sikkerhedsværktøjer for at implementere MITRE ATLAS?
Nej. MITRE ATLAS er et framework, ikke et produkt. Omkring 70 % af dets afhjælpningsforanstaltninger knytter sig til eksisterende sikkerhedskontroller. Manglen er dækningen af AI-interaktionslaget – specifikt hvad der sker i browsersessioner under GenAI-brug.
Hvilke MITRE ATLAS-teknikker er sværest at opdage med traditionelle sikkerhedsværktøjer?
Eksfiltrering via AI-model (AML.T0025), prompt injection (AML.T0051) og AI-agent credential harvesting (AML.T0098) er sjældent synlige for netværks- eller endpoint-værktøjer. De forekommer som normal HTTPS-trafik inden for godkendte applikationer under godkendte sessioner.
Gælder MITRE ATLAS for browserbaserede AI-værktøjer som ChatGPT eller Microsoft Copilot?
Ja. Adskillige ATLAS-teknikker udføres direkte via browserbaserede AI-interaktioner, herunder dataudfiltrering via prompt (AML.T0025) og prompt injection via dokumenter (AML.T0051). Disse er de hyppigste AI-trusler i virksomheder.
