MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) è una base di conoscenza strutturata di tattiche, tecniche e casi di studio di avversari che prendono di mira i sistemi di intelligenza artificiale e apprendimento automatico. Si può pensare a questo come all'estensione specifica per l'IA di MITRE ATT&CK, applicata non a reti ed endpoint, ma a pipeline di dati, API di inferenza dei modelli, processi di training e agli strumenti di IA che i dipendenti utilizzano quotidianamente. A partire dal 2026, ATLAS documenta 16 tattiche, 170 tecniche, 35 misure di mitigazione e 57 casi di studio reali.
Cos'è MITRE ATLAS e quale problema risolve?
Per due decenni, MITRE ATT&CK ha fornito ai difensori un linguaggio comune per descrivere il comportamento degli avversari. Ha catalogato le modalità con cui gli aggressori si muovono all'interno delle reti, elevano i privilegi ed esfiltrano i dati. Ha funzionato perché la superficie di attacco era relativamente stabile: endpoint, server, protocolli di rete, credenziali.
L'intelligenza artificiale ha cambiato tutto. Quando Microsoft lanciò Tay nel 2016, l'attacco che lo mandò fuori uso in 24 ore non sfruttò alcuna vulnerabilità CVE. Non furono rubate credenziali. Non fu violata alcuna rete. Gli avversari fornirono semplicemente input attraverso l'interfaccia che il sistema era stato progettato per accettare, e il meccanismo di apprendimento del modello stesso rivoltò quegli input contro se stesso. ATT&CK non aveva una categoria per questo tipo di attacco.
È proprio questa lacuna che MITRE ATLAS colma. Il framework documenta come gli avversari prendono di mira specificamente i sistemi di intelligenza artificiale: manipolando i dati di addestramento, abusando delle API di inferenza, iniettando prompt dannosi, alterando gli output dei modelli e sfruttando le relazioni di fiducia che gli agenti di intelligenza artificiale autonomi intrattengono all'interno dell'infrastruttura aziendale. Fornisce ai team di sicurezza una tassonomia strutturata per identificare le minacce, modellare i percorsi di attacco e mappare i controlli al livello di intelligenza artificiale del loro stack.
ATLAS è gestito dal Center for Threat-Informed Defense del MITRE e viene aggiornato continuamente sulla base di segnalazioni di incidenti reali. L'aggiornamento v5.1.0 di novembre 2025 ha ampliato significativamente la copertura. Il primo aggiornamento del 2026 ha aggiunto nuove tecniche di intelligenza artificiale agentica, a testimonianza del rapido passaggio da strumenti di IA che assistono gli utenti ad agenti di IA che agiscono per loro conto.
In che cosa si differenzia MITRE ATLAS da MITRE ATT&CK?
ATLAS e ATT&CK sono complementari, non in competizione. ATT&CK copre la superficie di attacco tradizionale: accesso iniziale tramite phishing, movimento laterale tramite abuso di credenziali, esfiltrazione attraverso canali di comando e controllo. ATLAS eredita 13 tattiche direttamente da ATT&CK e le applica a contesti specifici dell'IA, aggiungendo poi tre tattiche che non hanno un equivalente in ATT&CK.
La principale differenza strutturale risiede nell'obiettivo dell'attacco. ATT&CK modella attacchi contro le infrastrutture. ATLAS modella attacchi contro i sistemi di intelligenza artificiale: il modello stesso, i dati su cui è stato addestrato, le API che espone e le decisioni che prende. Un attacco di prompt injection su ChatGPT non colpisce la rete, bensì il processo di ragionamento del modello. ATT&CK non dispone di una tecnica per questo scopo, ATLAS sì.
In pratica, la maggior parte degli ambienti aziendali necessita di entrambi. ATT&CK rimane il framework giusto per il movimento laterale, il ransomware e la compromissione degli endpoint. ATLAS diventa essenziale nel momento in cui controlli sull'utilizzo dell'IA fanno parte del flusso di lavoro, cosa che, per la maggior parte dei lavoratori della conoscenza, è già. Secondo una ricerca di LayerX, il 45% dei dipendenti aziendali utilizza attivamente strumenti di intelligenza artificiale. I framework di sicurezza che ignorano il livello di intelligenza artificiale lasciano una superficie di attacco ampia e attiva non mappata.
L'altra differenza significativa riguarda la velocità di aggiornamento. ATLAS viene aggiornato più rapidamente di ATT&CK perché il panorama delle minacce legate all'IA si evolve più velocemente. Tecniche che riguardano browser basati su agenti IA, la raccolta di credenziali da agenti IA e canali di comando e controllo basati su LLM sono apparse in ATLAS prima che la maggior parte dei team di sicurezza avesse terminato la valutazione della propria prima implementazione di ChatGPT.
Quali tattiche e tecniche sono trattate in MITRE ATLAS?
ATLAS organizza il comportamento dell'avversario in 16 tattiche, ognuna delle quali rappresenta una fase o un obiettivo in un attacco contro un sistema di intelligenza artificiale. Il framework eredita le tattiche ATT&CK già note e le applica al contesto dell'IA. Tre tattiche non hanno un equivalente in ATT&CK:
Messa in scena degli attacchi ML Copre le attività preparatorie specifiche per gli attacchi all'IA: creazione di modelli proxy, addestramento di dati avversari, preparazione di un'infrastruttura di attacco che rispecchi il sistema di IA bersaglio.
Accesso al modello ML Il documento illustra i metodi che gli avversari utilizzano per interagire con un modello di intelligenza artificiale, ad esempio tramite un'API pubblica, un endpoint interno compromesso o l'accesso fisico agli artefatti del modello.
Attacchi ai modelli di apprendimento automatico Copre gli attacchi diretti al comportamento del modello: elusione, inferenza, inversione e avvelenamento.
All'interno di queste tattiche, diverse tecniche appaiono più frequentemente nei report sugli incidenti aziendali. L'iniezione di prompt (AML.T0051) è in cima alla lista. L'esfiltrazione di dati tramite modello AI (AML.T0025) documenta come le informazioni sensibili inviate a uno strumento AI possono essere estratte o esposte. La compromissione della catena di fornitura per ML (AML.T0010) riguarda gli attacchi contro le librerie, i set di dati e i modelli di terze parti che le organizzazioni integrano nei loro flussi di lavoro AI. Per un'analisi più approfondita di come questi rischi si mappano a Sicurezza GenAI controlli, la ricerca di LayerX fornisce un'analisi dettagliata a livello pratico.
Quali tecniche di MITRE ATLAS sono più rilevanti per l'utilizzo dell'IA in ambito aziendale?
La maggior parte delle discussioni su ATLAS si concentra sugli attacchi a livello di modello: esempi avversari, estrazione di modelli, avvelenamento dei dati di addestramento. Queste sono minacce reali per le organizzazioni che creano e gestiscono modelli di intelligenza artificiale. Per la maggior parte delle aziende, tuttavia, l'esposizione più immediata è diversa. Il loro rischio legato all'IA non risiede nell'architettura del modello, bensì nel modo in cui i dipendenti interagiscono quotidianamente con gli strumenti di IA.
Il 77% dei dipendenti aziendali incolla dati nei prompt di GenAI. La metà di queste operazioni di incolla include dati aziendali. L'89% degli accessi a servizi di intelligenza artificiale in ambienti aziendali elude la supervisione aziendale, con utenti che accedono a ChatGPT, Copilot, Claude e Gemini tramite account personali che il reparto IT non ha mai creato e che non può monitorare.
Le tecniche ATLAS più rilevanti per questa realtà:
AML.T0051 — Iniezione rapida: Gli avversari inseriscono istruzioni dannose nei contenuti elaborati dal modello di intelligenza artificiale. Negli ambienti aziendali che utilizzano Copilot o strumenti di posta elettronica basati sull'IA, ciò non richiede autorizzazioni speciali: è sufficiente che un malintenzionato riesca a far apparire i contenuti davanti a un'IA di cui l'utente target si fida. Prevenzione dell'uso improprio dell'IA I controlli affrontano questo problema a livello di sessione.
AML.T0025 — Esfiltrazione tramite modello AI: I dati sensibili inviati a uno strumento di intelligenza artificiale sono in gran parte invisibili ai sistemi DLP (Data Loss Prevention) a livello di rete perché transitano come normale traffico HTTPS verso una destinazione autorizzata. Questo è il problema principale. AI DLP è progettato per risolvere.
AML.T0098 — Raccolta delle credenziali dello strumento agente AI: Una novità introdotta nel 2026 in ATLAS. Quando un agente ha accesso persistente a SharePoint, OneDrive o CRM, compromettere l'agente equivale a compromettere direttamente tali strumenti.
AML.T0100 — Agente AI Clickbait: Gli avversari creano pagine web, documenti o elementi dell'interfaccia utente progettati per manipolare il processo decisionale degli agenti di intelligenza artificiale. L'agente si conforma alle istruzioni che sembrano in linea con il compito, anche se provengono da un avversario.
In quali punti dell'ambiente aziendale vengono effettivamente eseguite le minacce di MITRE ATLAS?
Questa è la domanda che la maggior parte degli esperti di ATLAS evita, eppure è la più importante dal punto di vista operativo.
I team di sicurezza che leggono ATLAS pensano naturalmente in termini di punti di controllo esistenti: rete, endpoint, identità. Per la maggior parte degli attacchi di intelligenza artificiale alle aziende, le minacce non entrano nel perimetro. Vengono eseguite al suo interno, attraverso superfici che il perimetro non è mai stato progettato per monitorare.
L'iniezione di prompt non si configura come un'intrusione di rete. Si presenta come un documento che un utente apre nel proprio browser. L'esfiltrazione di dati tramite un modello di intelligenza artificiale non appare come una violazione dei dati. Sembra piuttosto che un utente stia digitando qualcosa in ChatGPT tramite HTTPS.
Il filo conduttore delle tecniche ATLAS aziendali più diffuse è che vengono eseguite a livello del browser, all'interno delle sessioni degli strumenti di intelligenza artificiale. Gli strumenti di rete vedono la connessione al dominio di ChatGPT, ma non ciò che è stato digitato. Gli strumenti endpoint vedono il processo del browser, ma non ciò che è accaduto all'interno della sessione. Gli strumenti di gestione delle identità sanno che l'utente si è autenticato, ma non sanno quali dati sono stati successivamente scambiati tramite l'interazione con l'IA.
Questa lacuna nella copertura non è un problema di configurazione, bensì un problema architetturale. sicurezza dell'estensione del browser affronta il problema al livello in cui queste tecniche vengono eseguite.
In che modo i team di sicurezza implementano i controlli MITRE ATLAS?
ATLAS fornisce il modello di minaccia. La sua implementazione operativa richiede la mappatura delle tecniche del framework sui controlli effettivi, per poi colmare le lacune laddove tali controlli non arrivano.
Un punto di partenza pratico è ATLAS Navigator. I team di sicurezza possono sovrapporre la copertura dei controlli esistenti alla matrice ATLAS per visualizzare quali tecniche possono rilevare, prevenire o per le quali non dispongono di copertura. Circa il 70% delle mitigazioni ATLAS corrisponde ai controlli di sicurezza esistenti. Il restante 30% richiede una copertura che la maggior parte delle soluzioni attualmente non offre, concentrata in modo sproporzionato nel livello di interazione con l'IA.
I team che hanno fatto i maggiori progressi nell'implementazione operativa di ATLAS considerano le interazioni con l'IA come un dominio di visibilità distinto che richiede controlli dedicati: monitoraggio a livello di sessione delle interazioni con gli strumenti di IA, classificazione dei dati che confluiscono nei prompt dell'IA e politiche di applicazione che rispondono ai comportamenti mappati da ATLAS in tempo reale.
La community di esperti di sicurezza di Reddit ha portato alla luce direttamente questa difficoltà. Gli addetti ai lavori considerano ATLAS una tassonomia utile, ma frustrante da mettere in pratica perché le tecniche presuppongono una visibilità che la maggior parte dei team di sicurezza non possiede. Il framework indica cosa cercare, ma ottenere il punto di osservazione necessario per individuarlo è un problema a parte.
In che modo l'applicazione delle norme a livello di browser affronta le tecniche di MITRE ATLAS?
La maggior parte delle minacce di intelligenza artificiale aziendale mappate da ATLAS vengono eseguite all'interno della sessione del browser. Per contrastarle è necessario intervenire a questo livello.
LayerX funziona come estensione del browser aziendale, fornendo visibilità e controllo in tempo reale sulle interazioni con gli strumenti di intelligenza artificiale a livello di sessione. Diverse mappature di tecniche specifiche sono dirette:
Per iniezione rapida (AML.T0051)LayerX monitora il contenuto delle interazioni con l'IA, ovvero ciò che viene incollato in ChatGPT, Copilot, Claude e Gemini. Quando il contenuto corrisponde a modelli di inserimento o a classificatori di dati sensibili, può avvisare l'utente, oscurare l'elemento sensibile o impedire l'invio.
Per esfiltrazione dati tramite modello AI (AML.T0025)LayerX classifica ciò che i dipendenti incollano e caricano sugli strumenti di intelligenza artificiale. Il 50% delle attività di incolla sugli strumenti GenAI contiene dati aziendali. I team di sicurezza possono applicare controlli graduali (monitorare, avvisare, prevenire o oscurare) senza bloccare completamente l'accesso all'IA.
Per Intelligenza artificiale ombra e accesso non autorizzato agli strumentiLayerX offre un rilevamento continuo di ogni strumento di intelligenza artificiale utilizzato all'interno dell'organizzazione. Attualmente, l'89% dell'utilizzo dell'IA in ambito aziendale sfugge alla supervisione aziendale. LayerX rende visibile tale utilizzo e lo sottopone al controllo delle policy.
Per minacce dell'IA agentiva — Raccolta di credenziali (AML.T0098), clickbait tramite agenti AI (AML.T0100) — LayerX è l'unica piattaforma di sicurezza con visibilità e applicazione delle policy sui browser AI agenti, inclusi ChatGPT Atlas, Perplexity Comet e Dia.
Che significato ha MITRE ATLAS per la governance e la conformità in materia di intelligenza artificiale?
ATLAS viene sempre più spesso citato nei quadri normativi e di conformità per la sicurezza dell'IA. L'EU AI Act, il NIST AI RMF e la norma ISO 42001 affrontano tutti la gestione del rischio dell'IA a livello di policy. ATLAS fornisce il vocabolario tecnico che traduce i requisiti di policy in controlli specifici e verificabili.
Per i CISO che presentano i propri progetti sui rischi legati all'IA, ATLAS offre un punto di riferimento esterno credibile. Le organizzazioni che integrano ATLAS nel proprio processo di modellazione delle minacce sono in una posizione migliore per rispondere a domande specifiche poste da revisori, autorità di regolamentazione e compagnie assicurative in merito alla sicurezza dell'IA.
L'aspetto della conformità influisce sulla valutazione dei fornitori. Gli strumenti in grado di mappare le capacità di rilevamento e di applicazione delle norme a specifici identificatori delle tecniche ATLAS (AML.T0051, AML.T0025, AML.T0098) consentono ai team di produrre mappe di copertura strutturate anziché descrizioni narrative.
La direzione è chiara. ATLAS sta passando da un quadro di riferimento per la ricerca a un parametro di riferimento per la conformità.
Domande frequenti
MITRE ATLAS è uguale a MITRE ATT&CK?
No. ATT&CK copre i percorsi di attacco tradizionali a reti ed endpoint. ATLAS estende tale tassonomia specificamente ai sistemi di intelligenza artificiale. ATLAS eredita 13 tattiche da ATT&CK e ne aggiunge tre che non hanno un equivalente in ATT&CK. I team di sicurezza dovrebbero utilizzare entrambi i framework insieme.
MITRE ATLAS copre le iniezioni rapide?
Sì. L'iniezione di prompt è documentata nella tecnica ATLAS AML.T0051. Essa copre gli attacchi in cui gli avversari creano input che manipolano il comportamento di un modello di IA, tra cui il jailbreaking diretto, l'iniezione indiretta tramite documenti o contenuti web e l'abuso di plugin.
Con quale frequenza viene aggiornato MITRE ATLAS?
Attivamente. La versione 5.1.0 è stata lanciata nel novembre 2025 con 16 tattiche, 170 tecniche, 35 misure di mitigazione e 57 casi di studio. Il primo aggiornamento del 2026 ha aggiunto tecniche di intelligenza artificiale agentiva. ATLAS è un documento dinamico, aggiornato in base a report di incidenti reali.
Devo sostituire i miei strumenti di sicurezza attuali per implementare MITRE ATLAS?
No. MITRE ATLAS è un framework, non un prodotto. Circa il 70% delle sue misure di mitigazione corrispondono ai controlli di sicurezza esistenti. La lacuna riguarda la copertura del livello di interazione con l'IA, in particolare ciò che accade all'interno delle sessioni del browser durante l'utilizzo di GenAI.
Quali tecniche di MITRE ATLAS sono più difficili da rilevare con i tradizionali strumenti di sicurezza?
L'esfiltrazione tramite modello di IA (AML.T0025), l'iniezione di prompt (AML.T0051) e la raccolta di credenziali tramite agente di IA (AML.T0098) sono raramente visibili agli strumenti di rete o agli endpoint. Si verificano come normale traffico HTTPS all'interno di applicazioni autorizzate, durante sessioni autenticate.
MITRE ATLAS è applicabile agli strumenti di intelligenza artificiale basati su browser come ChatGPT o Microsoft Copilot?
Sì. Diverse tecniche ATLAS vengono eseguite direttamente tramite interazioni di intelligenza artificiale basate su browser, tra cui l'esfiltrazione di dati tramite prompt (AML.T0025) e l'iniezione di prompt tramite documenti (AML.T0051). Queste sono le minacce di intelligenza artificiale aziendale più frequenti.
