MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) er en strukturert kunnskapsbase av taktikker, teknikker og casestudier rettet mot AI og maskinlæringssystemer. Tenk på det som den AI-spesifikke utvidelsen av MITRE ATT&CK, ikke anvendt på nettverk og endepunkter, men på datapipelines, API-er for modellinferens, opplæringsprosesser og AI-verktøyene dine ansatte bruker hver dag. Per 2026 dokumenterer ATLAS 16 taktikker, 170 teknikker, 35 begrensninger og 57 casestudier fra den virkelige verden.
Hva er MITRE ATLAS, og hvilket problem løser det?
I to tiår ga MITRE ATT&CK forsvarere et felles språk for angriperens atferd. Det katalogiserte hvordan angripere beveger seg gjennom nettverk, eskalerer privilegier og strammet inn data. Det fungerte fordi angrepsflaten var relativt stabil: endepunkter, servere, nettverksprotokoller, legitimasjonsinformasjon.
AI endret det. Da Microsoft lanserte Tay i 2016, utnyttet angrepet som tok det ned på 24 timer ingen CVE. Ingen påloggingsinformasjon ble stjålet. Ingen nettverk ble brutt. Motstandere ga ganske enkelt inndata gjennom grensesnittet systemet var designet for å akseptere, og modellens egen læringsmekanisme vendte disse inndataene mot seg selv. ATT&CK hadde ingen kategori for det.
Det er nettopp dette gapet MITRE ATLAS fyller. Rammeverket dokumenterer hvordan motstandere spesifikt retter seg mot AI-systemer: manipulerer treningsdata, misbruker inferens-API-er, injiserer ondsinnede ledetekster, forgifter modellutdata og utnytter tillitsforholdene som autonome AI-agenter har i bedriftsinfrastrukturen. Det gir sikkerhetsteam en strukturert taksonomi for å identifisere trusler, modellere angrepsbaner og tilordne kontroller til AI-laget i stakken sin.
ATLAS vedlikeholdes av MITREs Center for Threat-Informed Defense og oppdateres kontinuerlig basert på rapportering av hendelser fra den virkelige verden. V5.1.0-oppdateringen i november 2025 utvidet dekningen betydelig. Den første oppdateringen i 2026 la til nye agentiske AI-teknikker, noe som gjenspeiler det raske skiftet fra AI-verktøy som hjelper brukere til AI-agenter som handler på deres vegne.
Hvordan er MITRE ATLAS forskjellig fra MITRE ATT&CK?
ATLAS og ATT&CK er komplementære, ikke konkurrerende. ATT&CK dekker den tradisjonelle angrepsflaten: initial tilgang gjennom phishing, lateral bevegelse gjennom misbruk av legitimasjon, eksfiltrering gjennom kommando- og kontrollkanaler. ATLAS arver 13 taktikker direkte fra ATT&CK og anvender dem på AI-spesifikke kontekster, og legger deretter til tre taktikker uten ATT&CK-ekvivalent.
Den viktigste strukturelle forskjellen er angrepsmålet. ATT&CK modellerer angrep mot infrastruktur. ATLAS modellerer angrep mot AI-systemer – selve modellen, dataene den ble trent på, API-et den eksponerer og beslutningene den tar. Et raskt injeksjonsangrep på ChatGPT berører ikke et nettverk. Det berører modellens resonneringsprosess. ATT&CK har ingen teknikk for det. ATLAS har det.
I praksis trenger de fleste bedriftsmiljøer begge deler. ATT&CK er fortsatt det riktige rammeverket for lateral bevegelse, ransomware og kompromittering av endepunkter. ATLAS blir viktig i det øyeblikket Brukskontroller for kunstig intelligens er en del av arbeidsflyten – noe det allerede er for de fleste kunnskapsarbeidere. 45 % av bedriftsansatte bruker aktivt AI-verktøy, ifølge LayerX-forskning. Sikkerhetsrammeverk som ignorerer AI-laget, etterlater en stor og aktiv angrepsflate ukartlagt.
Den andre betydningsfulle forskjellen er hastighet. ATLAS oppdateres raskere enn ATT&CK fordi trussellandskapet for AI beveger seg raskere. Teknikker som dekker agentiske AI-nettlesere, innsamling av AI-agentlegitimasjon og LLM-baserte kommando- og kontrollkanaler dukket opp i ATLAS før de fleste sikkerhetsteamene var ferdige med å vurdere sin første ChatGPT-distribusjon.
Hvilke taktikker og teknikker dekker MITRE ATLAS?
ATLAS organiserer motstanderens atferd i 16 taktikker, som hver representerer en fase eller et mål i et angrep mot et AI-system. Rammeverket arver kjente ATT&CK-taktikker og anvender dem i AI-kontekster. Tre taktikker har ingen ATT&CK-ekvivalent:
ML-angrepsstaging dekker forberedelsesarbeid spesifikt for AI-angrep: bygging av proxy-modeller, trening av fiendtlige data, forberedelse av angrepsinfrastruktur som speiler målets AI-system.
ML-modelltilgang dekker metoder motstandere bruker for å samhandle med en AI-modell – gjennom et offentlig API, et kompromittert internt endepunkt eller fysisk tilgang til modellartefakter.
ML-modellangrep dekker direkte angrep på modellatferd: unnvikelse, slutning, inversjon og forgiftning.
Innenfor disse taktikkene er det flere teknikker som oftest forekommer i hendelsesrapporter for bedrifter. Rask injeksjon (AML.T0051) topper listen. Datautfiltrering via AI-modell (AML.T0025) dokumenterer hvordan sensitiv informasjon som sendes til et AI-verktøy kan hentes ut eller eksponeres. Forsyningskjedekompromiss for ML (AML.T0010) dekker angrep mot bibliotekene, datasettene og tredjepartsmodellene som organisasjoner integrerer i sine AI-arbeidsflyter. For en dypere titt på hvordan disse risikoene tilordnes til GenAI-sikkerhet kontroller, LayerXs forskning gir en oversikt på praktikernivå.
Hvilke MITRE ATLAS-teknikker er mest relevante for bruk av AI i bedrifter?
De fleste ATLAS-diskusjonene fokuserer på angrep på modellnivå: fiendtlige eksempler, modellutvinning, forgiftning av treningsdata. Dette er reelle trusler for organisasjoner som bygger og driver AI-modeller. For de fleste bedrifter er den mer umiddelbare eksponeringen annerledes. AI-risikoen deres ligger ikke i modellarkitekturen. Den ligger i hvordan ansatte samhandler med AI-verktøy hver dag.
77 % av bedriftsansatte limer inn data i GenAI-ledetekster. Halvparten av denne limeaktiviteten inkluderer bedriftsdata. 89 % av AI-pålogginger i bedriftsmiljøer omgår bedriftens tilsyn, der brukere får tilgang til ChatGPT, Copilot, Claude og Gemini gjennom personlige kontoer som IT aldri har klargjort og ikke kan overvåke.
ATLAS-teknikkene som er mest relevante for denne virkeligheten:
AML.T0051 — Rask injeksjon: Motstandere legger inn ondsinnede instruksjoner i innhold som AI-modellen behandler. I bedriftsmiljøer som bruker Copilot eller AI-assisterte e-postverktøy, krever dette ingen spesiell tilgang – bare at en ondsinnet aktør kan få innhold foran en AI som målbrukeren stoler på. Forebygging av misbruk av kunstig intelligens kontrollene adresserer dette på sesjonslaget.
AML.T0025 — Eksfiltrering via AI-modell: Sensitive data som sendes til et AI-verktøy er i stor grad usynlige for DLP på nettverksnivå fordi de beveger seg som vanlig HTTPS-trafikk til en godkjent destinasjon. Dette er kjerneproblemet. AI DLP er designet for å løse.
AML.T0098 — Innsamling av legitimasjon for AI-agentverktøy: Et tillegg til ATLAS fra 2026. Når en agent har vedvarende tilgang til SharePoint, OneDrive eller CRM, tilsvarer det å kompromittere agenten å kompromittere disse verktøyene direkte.
AML.T0100 — AI-agent med klikkagn: Motstandere lager nettsider, dokumenter eller brukergrensesnittelementer som er utformet for å manipulere beslutninger fra AI-agenter. Agenten følger instruksjoner som virker oppgavetilpassede, selv når de er fiendtlige.
Hvor utføres MITRE ATLAS-trusler faktisk i bedriftsmiljøet?
Dette er spørsmålet de fleste ATLAS-forklarere unngår, og det er det viktigste operativt.
Sikkerhetsteam som leser ATLAS tenker naturlig nok i form av eksisterende kontrollpunkter: nettverk, endepunkt, identitet. For de fleste AI-angrep i bedrifter kommer ikke trusler inn i perimeteret. De utføres på innsiden av det, gjennom overflater som perimeteret aldri var designet for å overvåke.
Rask injeksjon kommer ikke som et nettverksinnbrudd. Det kommer som et dokument en bruker åpner i nettleseren sin. Datautfiltrering via AI-modell ser ikke ut som et datainnbrudd. Det ser ut som en bruker som skriver inn i ChatGPT over HTTPS.
Den fellesnevneren på tvers av de mest brukte ATLAS-teknikkene for bedrifter er at de kjøres på nettleserlaget, inne i AI-verktøyøkter. Nettverksverktøy ser forbindelsen til ChatGPTs domene. De ser ikke hva som ble skrevet inn. Endepunktverktøy ser nettleserprosessen. De ser ikke hva som skjedde inne i økten. Identitetsverktøy vet at brukeren er autentisert. De vet ikke hvilke data som ble flyttet gjennom AI-interaksjonen etterpå.
Det dekningsgapet er ikke et konfigurasjonsproblem. Det er et arkitektonisk problem. Sikkerhet for nettleserutvidelser adresserer det på laget der disse teknikkene kjøres.
Hvordan operasjonaliserer sikkerhetsteam MITRE ATLAS-kontroller?
ATLAS leverer trusselmodellen. Å operasjonalisere den krever at rammeteknikker kartlegges til faktiske kontroller, og deretter lukkes hull der disse kontrollene ikke når frem.
Et praktisk utgangspunkt er ATLAS Navigator. Sikkerhetsteam kan legge eksisterende kontrolldekning opp mot ATLAS-matrisen for å visualisere hvilke teknikker de kan oppdage, forhindre eller ikke har dekning for. Omtrent 70 % av ATLAS-begrensninger er knyttet til eksisterende sikkerhetskontroller. De resterende 30 % krever dekning som de fleste stakker ikke tilbyr for øyeblikket – uforholdsmessig konsentrert i AI-interaksjonslaget.
Team som har kommet lengst med ATLAS-operasjonalisering, behandler AI-interaksjoner som et distinkt synlighetsdomene som krever dedikerte kontroller: overvåking på øktnivå av AI-verktøyinteraksjoner, klassifisering av data som flyter inn i AI-ledetekster og håndhevingsregler som reagerer på ATLAS-kartlagt atferd i sanntid.
Reddits sikkerhetsfellesskap har avdekket denne friksjonen direkte. Utøvere synes ATLAS er verdifull som en taksonomi, men frustrerende å operasjonalisere fordi teknikkene forutsetter synlighet som de fleste sikkerhetsteam ikke har. Rammeverket forteller deg hva du skal se etter. Å få et utgangspunkt for å se det er et annet problem.
Hvordan håndterer håndheving på nettlesernivå MITRE ATLAS-teknikker?
De fleste ATLAS-kartlagte AI-truslene for bedrifter kjøres i nettleserøkten. Å håndtere dem krever håndheving på det laget.
LayerX fungerer som en Enterprise Browser Extension, som gir sanntidsoversikt og kontroll over AI-verktøyinteraksjoner på øktnivå. Flere spesifikke teknikktilordninger er direkte:
Til rask injeksjon (AML.T0051)LayerX overvåker innholdet i AI-interaksjoner – hva som limes inn i ChatGPT, Copilot, Claude og Gemini. Når innhold samsvarer med injeksjonsmønstre eller klassifiseringsverktøy for sensitive data, kan det advare brukeren, redigere det sensitive elementet eller forhindre innsendingen.
Til dataeksfiltrering via AI-modell (AML.T0025)LayerX klassifiserer hva ansatte limer inn og laster opp til AI-verktøy. 50 % av limeaktiviteten til GenAI-verktøy inneholder bedriftsdata. Sikkerhetsteam kan bruke graderte kontroller – overvåke, advare, forhindre eller redigere – uten å blokkere AI-tilgang fullstendig.
Til skygge-AI og uautorisert verktøytilgangLayerX sørger for kontinuerlig oppdagelse av alle AI-verktøy som er i bruk i hele organisasjonen. 89 % av bruken av AI i bedrifter omgår for tiden bedriftens tilsyn. LayerX synliggjør denne bruken og setter den under policykontroll.
Til agentiske AI-trusler — innhenting av legitimasjonsinformasjon (AML.T0098), klikkagn for AI-agenter (AML.T0100) — LayerX er den eneste sikkerhetsplattformen med synlighet og håndheving over agentiske AI-nettlesere, inkludert ChatGPT Atlas, Perplexity Comet og Dia.
Hva betyr MITRE ATLAS for styring og samsvar med AI?
ATLAS refereres i økende grad til i regelverk og samsvarsrammeverk for AI-sikkerhet. EUs AI-lov, NIST AI RMF og ISO 42001 omhandler alle AI-risikostyring på policynivå. ATLAS tilbyr det tekniske vokabularet som oversetter policykrav til spesifikke, testbare kontroller.
For IT-sjefers informasjonsutvalg om AI-risiko, tilbyr ATLAS et troverdig eksternt referansepunkt. Organisasjoner som integrerer ATLAS i trusselmodelleringsprosessen sin, er bedre posisjonert til å svare på revisorer, regulatorer og forsikringsselskaper som stiller spesifikke spørsmål om AI-sikkerhetstilstanden.
Samsvarsvinkelen påvirker leverandørevalueringen. Verktøy som kan tilordne deteksjons- og håndhevingsfunksjoner til spesifikke ATLAS-teknikkidentifikatorer – AML.T0051, AML.T0025, AML.T0098 – lar team produsere strukturerte dekningskart i stedet for narrative beskrivelser.
Retningen er klar. ATLAS går fra å være et forskningsrammeverk til å være en samsvarsbenchmark.
Ofte Stilte Spørsmål
Er MITRE ATLAS det samme som MITRE ATT&CK?
Nei. ATT&CK dekker tradisjonelle nettverks- og endepunktangrepsbaner. ATLAS utvider denne taksonomien spesifikt til AI-systemer. ATLAS arver 13 taktikker fra ATT&CK og legger til tre uten noen ATT&CK-ekvivalent. Sikkerhetsteam bør bruke begge rammeverkene sammen.
Dekker MITRE ATLAS umiddelbar injeksjon?
Ja. Rask injeksjon er dokumentert under ATLAS-teknikk AML.T0051. Den dekker angrep der motstandere lager input som manipulerer en AI-modells oppførsel, inkludert direkte jailbreaking, indirekte injeksjon via dokumenter eller nettinnhold og misbruk av plugins.
Hvor ofte oppdateres MITRE ATLAS?
Aktivt. Versjon 5.1.0 ble lansert i november 2025 med 16 taktikker, 170 teknikker, 35 tiltak og 57 casestudier. Den første oppdateringen fra 2026 la til agentiske AI-teknikker. ATLAS er et levende dokument oppdatert fra hendelsesrapporter fra den virkelige verden.
Må jeg erstatte de eksisterende sikkerhetsverktøyene mine for å implementere MITRE ATLAS?
Nei. MITRE ATLAS er et rammeverk, ikke et produkt. Rundt 70 % av tiltakene knyttet til eksisterende sikkerhetskontroller er knyttet til dette. Gapet er dekningen av AI-interaksjonslaget – nærmere bestemt hva som skjer i nettleserøkter under bruk av GenAI.
Hvilke MITRE ATLAS-teknikker er vanskeligst å oppdage med tradisjonelle sikkerhetsverktøy?
Eksfiltrering via AI-modell (AML.T0025), rask injeksjon (AML.T0051) og innhenting av AI-agentlegitimasjon (AML.T0098) er sjelden synlige for nettverks- eller endepunktverktøy. De forekommer som vanlig HTTPS-trafikk i godkjente applikasjoner, under autentiserte økter.
Gjelder MITRE ATLAS for nettleserbaserte AI-verktøy som ChatGPT eller Microsoft Copilot?
Ja. Flere ATLAS-teknikker kjøres direkte gjennom nettleserbaserte AI-interaksjoner, inkludert datautfiltrering via prompt (AML.T0025) og prompt injeksjon via dokumenter (AML.T0051). Dette er de mest hyppige AI-truslene mot bedrifter.
