MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) är en strukturerad kunskapsbas med taktiker, tekniker och fallstudier riktade mot AI och maskininlärningssystem. Tänk på det som den AI-specifika utvidgningen av MITRE ATT&CK, tillämpad inte på nätverk och slutpunkter, utan på datapipelines, API:er för modellinferens, utbildningsprocesser och de AI-verktyg som dina anställda använder varje dag. Från och med 2026 dokumenterar ATLAS 16 taktiker, 170 tekniker, 35 begränsningsåtgärder och 57 fallstudier från verkligheten.
Vad är MITRE ATLAS och vilket problem löser det?
I två decennier gav MITRE ATT&CK försvarare ett gemensamt språk för angriparbeteende. Det katalogiserade hur angripare rör sig genom nätverk, eskalerar privilegier och stjäl data. Det fungerade eftersom attackytan var relativt stabil: slutpunkter, servrar, nätverksprotokoll, inloggningsuppgifter.
AI ändrade på det. När Microsoft lanserade Tay 2016 utnyttjade attacken, som tog ner systemet på 24 timmar, ingen CVE. Inga inloggningsuppgifter stals. Inget nätverk intrång skedde. Motståndare lämnade helt enkelt indata via det gränssnitt som systemet var utformat för att acceptera, och modellens egen inlärningsmekanism vände dessa indata mot sig själv. ATT&CK hade ingen kategori för det.
Det är precis det gapet som MITRE ATLAS fyller. Ramverket dokumenterar hur motståndare specifikt riktar in sig på AI-system: manipulerar träningsdata, missbrukar inferens-API:er, injicerar skadliga uppmaningar, förgiftar modellutdata och utnyttjar de förtroendeförhållanden som autonoma AI-agenter har inom företagets infrastruktur. Det ger säkerhetsteam en strukturerad taxonomi för att identifiera hot, modellera attackvägar och mappa kontroller till AI-lagret i deras stack.
ATLAS underhålls av MITRE:s Center for Threat-Informed Defense och uppdateras kontinuerligt baserat på rapportering av verkliga incidenter. Uppdateringen v5.1.0 i november 2025 utökade täckningen avsevärt. Den första uppdateringen från 2026 lade till nya agentbaserade AI-tekniker, vilket återspeglar den snabba övergången från AI-verktyg som hjälper användare till AI-agenter som agerar å deras vägnar.
Hur skiljer sig MITRE ATLAS från MITRE ATT&CK?
ATLAS och ATT&CK kompletterar varandra, inte konkurrerar. ATT&CK täcker den traditionella attackytan: initial åtkomst via nätfiske, lateral förflyttning genom missbruk av autentiseringsuppgifter, exfiltrering via kommando- och kontrollkanaler. ATLAS ärver 13 taktiker direkt från ATT&CK och tillämpar dem på AI-specifika sammanhang, och lägger sedan till tre taktiker utan någon ATT&CK-motsvarighet.
Den viktigaste strukturella skillnaden är attackmålet. ATT&CK modellerar attacker mot infrastruktur. ATLAS modellerar attacker mot AI-system – själva modellen, de data den tränades på, API:et den exponerar och de beslut den fattar. En snabb injektionsattack på ChatGPT berör inte ett nätverk. Den berör modellens resonemangsprocess. ATT&CK har ingen teknik för det. Det har ATLAS.
I praktiken behöver de flesta företagsmiljöer båda. ATT&CK är fortfarande rätt ramverk för lateral förflyttning, ransomware och kompromettering av endpoints. ATLAS blir avgörande i samma ögonblick. AI-användningskontroller är en del av arbetsflödet – vilket det redan är för majoriteten av kunskapsarbetare. 45 % av företagsanställda använder aktivt AI-verktyg, enligt LayerX-forskning. Säkerhetsramverk som ignorerar AI-lagret lämnar en stor och aktiv attackyta outforskad.
Den andra betydande skillnaden är hastigheten. ATLAS uppdateras snabbare än ATT&CK eftersom AI-hotlandskapet rör sig snabbare. Tekniker som omfattar agentbaserade AI-webbläsare, insamling av AI-agentuppgifter och LLM-baserade kommando- och kontrollkanaler dök upp i ATLAS innan de flesta säkerhetsteam hade slutfört utvärderingen av sin första ChatGPT-distribution.
Vilka taktiker och tekniker täcks av MITRE ATLAS?
ATLAS organiserar motståndarens beteende i 16 taktiker, där var och en representerar en fas eller ett mål i en attack mot ett AI-system. Ramverket ärver välkända ATT&CK-taktik och tillämpar dem i AI-sammanhang. Tre taktiker har ingen ATT&CK-motsvarighet:
ML-attackstaging täcker förberedelsearbete specifikt för AI-attacker: bygga proxymodeller, träna adversariella data, förbereda attackinfrastruktur som speglar det aktuella AI-systemet.
Åtkomst till ML-modell täcker metoder som motståndare använder för att interagera med en AI-modell – via ett offentligt API, en komprometterad intern slutpunkt eller fysisk åtkomst till modellartefakter.
ML-modellattacker täcker direkta attacker mot modellbeteende: undvikande, inferens, inversion och förgiftning.
Inom dessa taktiker förekommer flera tekniker oftast i företagsincidentrapporter. Prompt injection (AML.T0051) toppar listan. Dataexfiltrering via AI-modell (AML.T0025) dokumenterar hur känslig information som skickas till ett AI-verktyg kan extraheras eller exponeras. Supply chain compromising for ML (AML.T0010) täcker attacker mot bibliotek, datamängder och tredjepartsmodeller som organisationer integrerar i sina AI-arbetsflöden. För en djupare titt på hur dessa risker mappas till GenAI-säkerhet kontroller, LayerXs forskning ger en uppdelning på praktikernivå.
Vilka MITRE ATLAS-tekniker är mest relevanta för användning av AI i företag?
De flesta ATLAS-diskussioner fokuserar på attacker på modellnivå: fientliga exempel, modellutvinning, förgiftning av träningsdata. Dessa är verkliga hot för organisationer som bygger och driver AI-modeller. För majoriteten av företag är den mer omedelbara exponeringen en annan. Deras AI-risk ligger inte i modellarkitekturen. Den ligger i hur anställda interagerar med AI-verktyg varje dag.
77 % av företagsanställda klistrar in data i GenAI-prompter. Hälften av den inklistringsaktiviteten inkluderar företagsdata. 89 % av AI-inloggningar i företagsmiljöer kringgår företagsövervakning, där användare får åtkomst till ChatGPT, Copilot, Claude och Gemini via personliga konton som IT aldrig har etablerat och inte kan övervaka.
De ATLAS-tekniker som är mest relevanta för denna verklighet:
AML.T0051 — Snabb injicering: Motståndare bäddar in skadliga instruktioner i innehåll som AI-modellen bearbetar. I företagsmiljöer som använder Copilot eller AI-assisterade e-postverktyg kräver detta ingen särskild åtkomst – bara att en skadlig aktör kan få innehåll framför en AI som målanvändaren litar på. Förebyggande av AI-missbruk kontroller åtgärdar detta på sessionslagret.
AML.T0025 — Exfiltration via AI-modell: Känslig data som skickas till ett AI-verktyg är i stort sett osynlig för DLP på nätverksnivå eftersom den flyttas som vanlig HTTPS-trafik till en godkänd destination. Detta är kärnproblemet. AI DLP är utformad för att lösa.
AML.T0098 — Insamling av autentiseringsuppgifter för AI-agentverktyg: Ett tillägg till ATLAS från 2026. När en agent har permanent åtkomst till SharePoint, OneDrive eller CRM, är kompromettering av agenten liktydigt med att kompromettera dessa verktyg direkt.
AML.T0100 — AI-agent Clickbait: Motståndare skapar webbsidor, dokument eller UI-element som är utformade för att manipulera AI-agenters beslutsfattande. Agenten följer instruktioner som verkar uppgiftsanpassade, även när de är motståndare.
Var exekveras MITRE ATLAS-hoten egentligen i företagsmiljön?
Det här är den fråga som de flesta ATLAS-förklarare undviker, och det är den operativt viktigaste.
Säkerhetsteam som läser ATLAS tänker naturligtvis i termer av befintliga kontrollpunkter: nätverk, slutpunkt, identitet. För de flesta AI-attacker på företag når hoten inte perimetern. De exekveras inuti den, genom ytor som perimetern aldrig var utformad för att övervaka.
Prompt injection (snabb injicering) sker inte som ett nätverksintrång. Det sker som ett dokument som en användare öppnar i sin webbläsare. Dataexfiltrering via AI-modellen ser inte ut som ett dataintrång. Det ser ut som en användare som skriver i ChatGPT via HTTPS.
Den gemensamma tråden för de mest frekventa ATLAS-teknikerna för företag är att de körs på webbläsarlagret, inuti AI-verktygssessioner. Nätverksverktyg ser anslutningen till ChatGPT:s domän. De ser inte vad som skrevs. Slutpunktsverktyg ser webbläsarprocessen. De ser inte vad som hände inuti sessionen. Identitetsverktyg vet att användaren autentiserats. De vet inte vilka data som flyttades genom AI-interaktionen efteråt.
Det där täckningsgapet är inte ett konfigurationsproblem. Det är ett arkitektoniskt problem. Säkerhet för webbläsartillägg adresserar det på det lager där dessa tekniker körs.
Hur operationaliserar säkerhetsteam MITRE ATLAS-kontroller?
ATLAS tillhandahåller hotmodellen. Att operationalisera den kräver att ramverkstekniker mappas till faktiska kontroller och sedan täpps till luckor där dessa kontroller inte når.
En praktisk utgångspunkt är ATLAS Navigator. Säkerhetsteam kan jämföra befintlig kontrolltäckning med ATLAS-matrisen för att visualisera vilka tekniker de kan upptäcka, förhindra eller sakna täckning för. Ungefär 70 % av ATLAS-mildringarna kopplas till befintliga säkerhetskontroller. De återstående 30 % kräver täckning som de flesta stackar för närvarande inte tillhandahåller – oproportionerligt koncentrerade i AI-interaktionslagret.
Team som har kommit längst med ATLAS-operationalisering behandlar AI-interaktioner som en distinkt synlighetsdomän som kräver dedikerade kontroller: övervakning av AI-verktygsinteraktioner på sessionsnivå, klassificering av data som flödar in i AI-uppmaningar och verkställighetspolicyer som svarar på ATLAS-mappade beteenden i realtid.
Reddits säkerhetscommunity har direkt uppmärksammat denna friktion. Utövare finner ATLAS värdefull som en taxonomi men frustrerande att operationalisera eftersom teknikerna förutsätter en synlighet som de flesta säkerhetsteam inte har. Ramverket talar om för dig vad du ska leta efter. Att få utgångspunkten för att se det är ett separat problem.
Hur hanterar tillämpning på webbläsarnivå MITRE ATLAS-tekniker?
De flesta ATLAS-mappade AI-hot för företag exekveras i webbläsarsessionen. Att åtgärda dem kräver tillämpning på det lagret.
LayerX fungerar som en Enterprise Browser Extension, vilket ger realtidsinsikt och kontroll över AI-verktygsinteraktioner på sessionsnivå. Flera specifika teknikmappningar är direkta:
För snabb injektion (AML.T0051)LayerX övervakar innehållet i AI-interaktioner – vad som klistras in i ChatGPT, Copilot, Claude och Gemini. När innehåll matchar injektionsmönster eller klassificerare för känsliga data kan det varna användaren, redigera bort det känsliga elementet eller förhindra inlämningen.
För dataexfiltrering via AI-modell (AML.T0025)LayerX klassificerar vad anställda klistrar in och laddar upp till AI-verktyg. 50 % av inklistringsaktiviteten till GenAI-verktyg innehåller företagsdata. Säkerhetsteam kan tillämpa graderade kontroller – övervaka, varna, förhindra eller redigera – utan att helt blockera AI-åtkomst.
För skugg-AI och obehörig verktygsåtkomstLayerX tillhandahåller kontinuerlig identifiering av alla AI-verktyg som används i hela organisationen. 89 % av företagens AI-användning kringgår för närvarande företagsövervakning. LayerX synliggör den användningen och sätter den under policykontroll.
För agentiska AI-hot — insamling av autentiseringsuppgifter (AML.T0098), klickbait för AI-agenter (AML.T0100) — LayerX är den enda säkerhetsplattformen med synlighet och tillämpning över agentbaserade AI-webbläsare inklusive ChatGPT Atlas, Perplexity Comet och Dia.
Vad betyder MITRE ATLAS för AI-styrning och efterlevnad?
ATLAS refereras alltmer till i regelverk och efterlevnadsramverk för AI-säkerhet. EU:s AI-lag, NIST AI RMF och ISO 42001 behandlar alla AI-riskhantering på policynivå. ATLAS tillhandahåller den tekniska vokabulär som översätter policykrav till specifika, testbara kontroller.
För informationsgrupper om AI-risker inom IT-området erbjuder ATLAS en trovärdig extern referenspunkt. Organisationer som integrerar ATLAS i sin hotmodelleringsprocess är bättre positionerade att svara på revisorer, tillsynsmyndigheter och försäkringsgivare som ställer specifika frågor om AI-säkerhetssituationen.
Efterlevnadsvinkeln påverkar leverantörsutvärderingen. Verktyg som kan mappa detekterings- och verkställighetsfunktioner till specifika ATLAS-teknikidentifierare — AML.T0051, AML.T0025, AML.T0098 — gör det möjligt för team att producera strukturerade täckningskartor snarare än narrativa beskrivningar.
Riktningen är tydlig. ATLAS övergår från ett forskningsramverk till ett riktmärke för efterlevnad.
Vanliga frågor om partihandel med mat och dryck
Är MITRE ATLAS samma som MITRE ATT&CK?
Nej. ATT&CK täcker traditionella attackvägar för nätverk och slutpunkter. ATLAS utökar den taxonomin specifikt till AI-system. ATLAS ärver 13 taktiker från ATT&CK och lägger till tre utan någon ATT&CK-motsvarighet. Säkerhetsteam bör använda båda ramverken tillsammans.
Täcker MITRE ATLAS snabb injektion?
Ja. Prompt injection (snabb injektion) dokumenteras under ATLAS-tekniken AML.T0051. Den täcker attacker där motståndare skapar indata som manipulerar en AI-modells beteende, inklusive direkt jailbreaking, indirekt injektion via dokument eller webbinnehåll och missbruk av plugin-program.
Hur ofta uppdateras MITRE ATLAS?
Aktivt. Version 5.1.0 lanserades i november 2025 med 16 taktiker, 170 tekniker, 35 riskreducerande åtgärder och 57 fallstudier. Den första uppdateringen från 2026 lade till agentiska AI-tekniker. ATLAS är ett levande dokument som uppdateras från verkliga incidentrapporter.
Behöver jag ersätta mina befintliga säkerhetsverktyg för att implementera MITRE ATLAS?
Nej. MITRE ATLAS är ett ramverk, inte en produkt. Cirka 70 % av dess begränsningar kopplas till befintliga säkerhetskontroller. Gapet är täckningen av AI-interaktionslagret – specifikt vad som händer i webbläsarsessioner under GenAI-användning.
Vilka MITRE ATLAS-tekniker är svårast att upptäcka med traditionella säkerhetsverktyg?
Exfiltrering via AI-modell (AML.T0025), snabb injicering (AML.T0051) och insamling av AI-agentuppgifter (AML.T0098) är sällan synliga för nätverks- eller slutpunktsverktyg. De sker som normal HTTPS-trafik inom sanktionerade applikationer, under autentiserade sessioner.
Gäller MITRE ATLAS webbläsarbaserade AI-verktyg som ChatGPT eller Microsoft Copilot?
Ja. Flera ATLAS-tekniker körs direkt via webbläsarbaserade AI-interaktioner, inklusive dataexfiltrering via prompt (AML.T0025) och prompt injection via dokument (AML.T0051). Dessa är de mest frekventa AI-hoten mot företag.
