Ang MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) ay isang nakabalangkas na base ng kaalaman ng mga taktika, pamamaraan, at mga case study ng kalaban na tumatarget sa AI at mga sistema ng machine learning. Isipin ito bilang ang AI-specific na extension ng MITRE ATT&CK na hindi inilalapat sa mga network at endpoint, kundi sa mga data pipeline, mga model inference API, mga proseso ng pagsasanay, at mga AI tool na ginagamit ng iyong mga empleyado araw-araw. Simula noong 2026, ang ATLAS ay nagdodokumento ng 16 na taktika, 170 na pamamaraan, 35 na mitigasyon, at 57 na case study sa totoong buhay.
Ano ang MITRE ATLAS at anong problema ang nalulutas nito?
Sa loob ng dalawang dekada, binigyan ng MITRE ATT&CK ang mga tagapagtanggol ng isang ibinahaging wika para sa pag-uugali ng kalaban. Ikinukuwenta nito kung paano gumagalaw ang mga umaatake sa mga network, nag-e-escalate ng mga pribilehiyo, at nag-e-exfiltrate ng data. Gumana ito dahil medyo matatag ang attack surface: mga endpoint, server, network protocol, at credential.
Binago iyon ng AI. Nang ilunsad ng Microsoft ang Tay noong 2016, ang pag-atake na nagpabagsak dito sa loob ng 24 oras ay hindi gumamit ng CVE. Walang ninakaw na kredensyal. Walang network na na-breach. Nagbigay lamang ng mga input ang mga kalaban sa pamamagitan ng interface na idinisenyo upang tanggapin ng system, at ang sariling mekanismo ng pagkatuto ng modelo ang nagpabaliktad sa mga input na iyon. Walang kategorya ang ATT&CK para dito.
Ang kakulangang iyan ang siyang pinupunan ng MITRE ATLAS. Idinodokumento ng balangkas kung paano partikular na tinatarget ng mga kalaban ang mga sistema ng AI: pagmamanipula ng datos ng pagsasanay, pag-abuso sa mga inference API, paglalagay ng mga malisyosong prompt, paglalason sa mga output ng modelo, at pagsasamantala sa mga ugnayan ng tiwala na hawak ng mga autonomous AI agent sa loob ng imprastraktura ng negosyo. Nagbibigay ito sa mga security team ng isang nakabalangkas na taxonomy upang matukoy ang mga banta, magmodelo ng mga landas ng pag-atake, at mag-map ng mga kontrol sa AI layer ng kanilang stack.
Ang ATLAS ay pinapanatili ng Center for Threat-Informed Defense ng MITRE at patuloy na ina-update batay sa pag-uulat ng mga insidente sa totoong mundo. Ang v5.1.0 update noong Nobyembre 2025 ay lubos na nagpalawak ng saklaw. Ang unang update noong 2026 ay nagdagdag ng mga bagong pamamaraan ng agentic AI, na sumasalamin sa mabilis na paglipat mula sa mga tool ng AI na tumutulong sa mga gumagamit patungo sa mga ahente ng AI na kumikilos para sa kanila.
Paano naiiba ang MITRE ATLAS sa MITRE ATT&CK?
Ang ATLAS at ATT&CK ay komplementaryo, hindi nagkukumpitensya. Sinasaklaw ng ATT&CK ang tradisyonal na pag-atake sa ibabaw: paunang pag-access sa pamamagitan ng phishing, lateral movement sa pamamagitan ng pag-abuso sa kredensyal, exfiltration sa pamamagitan ng mga command-and-control channel. Minamana ng ATLAS ang 13 taktika nang direkta mula sa ATT&CK at inilalapat ang mga ito sa mga kontekstong partikular sa AI, pagkatapos ay nagdaragdag ng tatlong taktika na walang katumbas na ATT&CK.
Ang pangunahing pagkakaiba sa istruktura ay ang target na pag-atake. Ang ATT&CK ay nagmomodelo ng mga pag-atake laban sa imprastraktura. Ang ATLAS ay nagmomodelo ng mga pag-atake laban sa mga sistema ng AI — ang modelo mismo, ang datos na ginamit sa pagsasanay dito, ang API na inilalantad nito, at ang mga desisyong ginagawa nito. Ang isang mabilis na pag-atake sa ChatGPT ay hindi nakakaapekto sa isang network. Nakakaapekto ito sa proseso ng pangangatwiran ng modelo. Walang pamamaraan ang ATT&CK para diyan. Ang ATLAS ay mayroon.
Sa pagsasagawa, karamihan sa mga kapaligiran ng negosyo ay nangangailangan ng pareho. Ang ATT&CK ay nananatiling tamang balangkas para sa lateral movement, ransomware, at endpoint compromise. Ang ATLAS ay nagiging mahalaga sa sandaling ito. Mga kontrol sa paggamit ng AI ay bahagi ng daloy ng trabaho — na, para sa karamihan ng mga knowledge worker, bahagi na nito. 45% ng mga empleyado ng enterprise ay aktibong gumagamit ng mga AI tool, ayon sa pananaliksik ng LayerX. Ang mga security framework na hindi pinapansin ang AI layer ay nag-iiwan ng isang malaki at aktibong attack surface na hindi namamalayan.
Ang isa pang makabuluhang pagkakaiba ay ang bilis. Mas mabilis na na-update ang ATLAS kaysa sa ATT&CK dahil mas mabilis na gumagalaw ang tanawin ng banta ng AI. Ang mga pamamaraan na sumasaklaw sa mga agentic AI browser, AI agent credential harvesting, at mga LLM-based command-and-control channel ay lumitaw sa ATLAS bago pa matapos ng karamihan sa mga security team ang pagtatasa ng kanilang unang ChatGPT deployment.
Anong mga taktika at pamamaraan ang sakop ng MITRE ATLAS?
Inoorganisa ng ATLAS ang kilos ng kalaban sa 16 na taktika, bawat isa ay kumakatawan sa isang yugto o layunin sa isang pag-atake laban sa isang sistema ng AI. Ang balangkas ay nagmamana ng mga pamilyar na taktika ng ATT&CK at inilalapat ang mga ito sa mga konteksto ng AI. Tatlong taktika ang walang katumbas na ATT&CK:
Pag-uutos ng Pag-atake sa ML Sinasaklaw nito ang gawaing paghahanda na partikular sa mga pag-atake ng AI: pagbuo ng mga proxy model, pagsasanay sa adversarial data, paghahanda ng imprastraktura ng pag-atake na sumasalamin sa target na sistema ng AI.
Pag-access sa Modelo ng ML sumasaklaw sa mga pamamaraang ginagamit ng mga kalaban upang makipag-ugnayan sa isang modelo ng AI — sa pamamagitan ng isang pampublikong API, isang nakompromisong panloob na endpoint, o pisikal na pag-access sa mga artifact ng modelo.
Mga Pag-atake sa Modelo ng ML sumasaklaw sa mga direktang pag-atake sa pag-uugali ng modelo: pag-iwas, paghihinuha, pagbabaligtad, at pagkalason.
Sa loob ng mga taktikang ito, maraming pamamaraan ang pinakamadalas na lumilitaw sa mga ulat ng insidente ng negosyo. Nangunguna sa listahan ang Prompt injection (AML.T0051). Idinodokumento ng data exfiltration via AI model (AML.T0025) kung paano maaaring makuha o mailantad ang sensitibong impormasyong isinumite sa isang AI tool. Sinasaklaw ng supply chain compromise para sa ML (AML.T0010) ang mga pag-atake laban sa mga library, dataset, at mga third-party model na isinasama ng mga organisasyon sa kanilang mga AI workflow. Para sa mas malalim na pagtingin kung paano nagkakatugma ang mga panganib na ito sa Seguridad ng GenAI mga kontrol, ang pananaliksik ng LayerX ay nagbibigay ng isang pagkasira sa antas ng practitioner.
Aling mga pamamaraan ng MITRE ATLAS ang pinaka-nauugnay sa paggamit ng enterprise AI?
Karamihan sa mga talakayan sa ATLAS ay nakatuon sa mga pag-atake sa antas ng modelo: mga halimbawang magkasalungat, pagkuha ng modelo, at pagkalason sa datos ng pagsasanay. Ito ay mga tunay na banta para sa mga organisasyong bumubuo at nagpapatakbo ng mga modelo ng AI. Para sa karamihan ng mga negosyo, ang mas agarang pagkakalantad ay naiiba. Ang kanilang panganib sa AI ay wala sa arkitektura ng modelo. Ito ay nasa kung paano nakikipag-ugnayan ang mga empleyado sa mga tool ng AI araw-araw.
77% ng mga empleyado ng enterprise ang nagpe-paste ng data sa mga prompt ng GenAI. Kalahati ng aktibidad na iyon sa pag-paste ay kinabibilangan ng data ng korporasyon. 89% ng mga pag-login sa AI sa mga kapaligiran ng enterprise ay lumalampas sa pangangasiwa ng korporasyon, kung saan ina-access ng mga user ang ChatGPT, Copilot, Claude, at Gemini sa pamamagitan ng mga personal na account na hindi kailanman na-provision at hindi kayang subaybayan ng IT.
Ang mga pamamaraan ng ATLAS na pinaka-nauugnay sa realidad na ito:
AML.T0051 — Agarang Iniksyon: Naglalagay ang mga kalaban ng mga malisyosong tagubilin sa nilalamang pinoproseso ng modelo ng AI. Sa mga kapaligirang pang-enterprise na gumagamit ng Copilot o mga tool sa email na tinutulungan ng AI, hindi ito nangangailangan ng espesyal na pag-access — tanging ang isang malisyosong aktor lamang ang maaaring makakuha ng nilalaman sa harap ng isang AI na pinagkakatiwalaan ng target na gumagamit. Pag-iwas sa maling paggamit ng AI Tinutugunan ito ng mga kontrol sa session layer.
AML.T0025 — Exfiltration sa pamamagitan ng AI Model: Ang sensitibong datos na isinumite sa isang AI tool ay halos hindi nakikita ng network-level DLP dahil lumilipat ito bilang normal na trapiko ng HTTPS patungo sa isang sanctioned destination. Ito ang pangunahing problema. AI DLP ay dinisenyo upang malutas.
AML.T0098 — Pagkuha ng Kredensyal ng Kasangkapan ng Ahente ng AI: Isang karagdagan sa ATLAS noong 2026. Kapag ang isang ahente ay may patuloy na access sa SharePoint, OneDrive, o CRM, ang pagkompromiso sa ahente ay katumbas ng direktang pagkompromiso sa mga tool na iyon.
AML.T0100 — Clickbait ng Ahente ng AI: Gumagawa ang mga kalaban ng mga web page, dokumento, o elemento ng UI na idinisenyo upang manipulahin ang paggawa ng desisyon ng mga ahente ng AI. Sumusunod ang ahente sa mga tagubilin na tila nakahanay sa gawain, kahit na magkasalungat.
Saan ba talaga nangyayari ang mga banta ng MITRE ATLAS sa kapaligiran ng negosyo?
Ito ang tanong na iniiwasan ng karamihan sa mga nagpapaliwanag ng ATLAS, at ito ang pinakamahalaga sa operasyon.
Ang mga pangkat ng seguridad na nagbabasa ng ATLAS ay natural na nag-iisip batay sa mga umiiral na control point: network, endpoint, pagkakakilanlan. Para sa karamihan ng mga pag-atake ng AI sa negosyo, ang mga banta ay hindi pumapasok sa perimeter. Isinasagawa ang mga ito sa loob nito, sa pamamagitan ng mga ibabaw na hindi kailanman idinisenyo para subaybayan ng perimeter.
Ang prompt injection ay hindi dumarating bilang isang panghihimasok sa network. Dumarating ito bilang isang dokumentong binubuksan ng user sa kanilang browser. Ang data exfiltration sa pamamagitan ng AI model ay hindi mukhang isang data breach. Mukhang isang user na nagta-type sa ChatGPT gamit ang HTTPS.
Ang karaniwang takbo ng mga pamamaraan ng ATLAS sa mga enterprise na may pinakamataas na dalas ay ang pagsasagawa ng mga ito sa browser layer, sa loob ng mga sesyon ng AI tool. Nakikita ng mga network tool ang koneksyon sa domain ng ChatGPT. Hindi nila nakikita kung ano ang na-type. Nakikita ng mga endpoint tool ang proseso ng browser. Hindi nila nakikita kung ano ang nangyari sa loob ng sesyon. Alam ng mga identity tool kung sino ang na-authenticate ng user. Hindi nila alam kung anong data ang inilipat sa pamamagitan ng AI interaction pagkatapos.
Ang agwat sa saklaw na iyan ay hindi isang problema sa konpigurasyon. Ito ay isang problema sa arkitektura. Seguridad ng extension ng browser tinutugunan ito sa layer kung saan isinasagawa ang mga pamamaraang ito.
Paano pinapatakbo ng mga security team ang mga kontrol ng MITRE ATLAS?
Ang ATLAS ang nagbibigay ng modelo ng banta. Ang pagpapatakbo nito ay nangangailangan ng pagmamapa ng mga pamamaraan ng balangkas sa mga aktwal na kontrol, pagkatapos ay pagsasara ng mga puwang kung saan hindi naaabot ng mga kontrol na iyon.
Isang praktikal na panimulang punto ang ATLAS Navigator. Maaaring i-layer ng mga security team ang umiiral na control coverage laban sa ATLAS matrix upang mailarawan kung aling mga pamamaraan ang maaari nilang matukoy, mapigilan, o walang saklaw. Humigit-kumulang 70% ng mga mitigasyon ng ATLAS ay tumutugma sa mga umiiral na kontrol sa seguridad. Ang natitirang 30% ay nangangailangan ng saklaw na hindi ibinibigay ng karamihan sa mga stack sa kasalukuyan — hindi proporsyonal na nakapokus sa AI interaction layer.
Ang mga pangkat na pinakamalayo nang nakagawa ng operasyonalisasyon ng ATLAS ay itinuturing ang mga interaksyon ng AI bilang isang natatanging domain ng visibility na nangangailangan ng mga nakalaang kontrol: pagsubaybay sa antas ng sesyon ng mga interaksyon ng tool ng AI, klasipikasyon ng data na dumadaloy sa mga prompt ng AI, at mga patakaran sa pagpapatupad na tumutugon sa mga pag-uugaling naka-map sa ATLAS sa real time.
Direktang inilabas ng komunidad ng seguridad ng Reddit ang alitan na ito. Nakikita ng mga practitioner na mahalaga ang ATLAS bilang isang taxonomy ngunit nakakadismaya itong gamitin dahil ang mga pamamaraan ay may kakayahang makita na wala sa karamihan ng mga security team. Sinasabi sa iyo ng balangkas kung ano ang dapat hanapin. Ang pagkuha ng vantage point upang makita ito ay isang hiwalay na problema.
Paano tinutugunan ng pagpapatupad sa antas ng browser ang mga pamamaraan ng MITRE ATLAS?
Karamihan sa mga banta ng enterprise AI na naka-map sa ATLAS ay isinasagawa sa loob ng sesyon ng browser. Ang pagtugon sa mga ito ay nangangailangan ng pagpapatupad sa layer na iyon.
Ang LayerX ay gumagana bilang isang Enterprise Browser Extension, na nagbibigay ng real-time na visibility at kontrol sa mga interaksyon ng AI tool sa antas ng sesyon. Direktang ginagamit ang ilang partikular na technique mapping:
para agarang iniksyon (AML.T0051), sinusubaybayan ng LayerX ang nilalaman ng mga interaksyon ng AI — kung ano ang idinidikit sa ChatGPT, Copilot, Claude, at Gemini. Kapag tumutugma ang nilalaman sa mga pattern ng pag-iniksyon o mga sensitibong klasipikasyon ng data, maaari nitong bigyan ng babala ang user, i-redact ang sensitibong elemento, o pigilan ang pagsusumite.
para data exfiltration sa pamamagitan ng AI model (AML.T0025), inuuri ng LayerX kung ano ang pino-paste at ina-upload ng mga empleyado sa mga AI tool. 50% ng aktibidad ng pag-paste sa mga GenAI tool ay naglalaman ng data ng korporasyon. Maaaring maglapat ang mga security team ng mga gradwadong kontrol — subaybayan, bigyan ng babala, pigilan, o i-redact — nang hindi ganap na hinaharangan ang access sa AI.
para shadow AI at hindi awtorisadong pag-access sa tool, ang LayerX ay nagbibigay ng patuloy na pagtuklas sa bawat tool ng AI na ginagamit sa buong organisasyon. 89% ng paggamit ng enterprise AI ay kasalukuyang lumalampas sa pangangasiwa ng korporasyon. Ginagawang nakikita ng LayerX ang paggamit na iyon at isinailalim ito sa kontrol ng patakaran.
para mga banta ng ahente ng AI — pagkuha ng kredensyal (AML.T0098), clickbait ng AI agent (AML.T0100) — Ang LayerX ang tanging plataporma ng seguridad na may kakayahang makita at maipatupad ang mga ahente ng AI browser kabilang ang ChatGPT Atlas, Perplexity Comet, at Dia.
Ano ang kahulugan ng MITRE ATLAS para sa pamamahala at pagsunod sa AI?
Ang ATLAS ay lalong ginagamit sa mga balangkas ng regulasyon at pagsunod para sa seguridad ng AI. Ang EU AI Act, NIST AI RMF, at ISO 42001 ay pawang tumutugon sa pamamahala ng panganib ng AI sa antas ng patakaran. Ang ATLAS ay nagbibigay ng teknikal na bokabularyo na nagsasalin ng mga kinakailangan sa patakaran sa mga tiyak at masusubok na kontrol.
Para sa mga briefing board ng CISO tungkol sa panganib ng AI, ang ATLAS ay nag-aalok ng isang kapani-paniwalang panlabas na sanggunian. Ang mga organisasyong isinasama ang ATLAS sa kanilang proseso ng pagmomodelo ng banta ay mas nasa posisyon upang sagutin ang mga auditor, regulator, at insurer na nagtatanong ng mga partikular na tanong tungkol sa postura ng seguridad ng AI.
Ang anggulo ng pagsunod ay nakakaapekto sa pagsusuri ng vendor. Ang mga kagamitang maaaring magmapa ng mga kakayahan sa pagtuklas at pagpapatupad sa mga partikular na tagatukoy ng pamamaraan ng ATLAS — AML.T0051, AML.T0025, AML.T0098 — ay nagbibigay-daan sa mga pangkat na gumawa ng mga nakabalangkas na mapa ng saklaw sa halip na mga naratibong paglalarawan.
Malinaw ang direksyon. Ang ATLAS ay lumilipat mula sa isang balangkas ng pananaliksik patungo sa isang benchmark ng pagsunod.
Mga Madalas Itanong
Pareho ba si MITER ATLAS sa MITER ATT&CK?
Hindi. Sakop ng ATT&CK ang mga tradisyonal na landas ng pag-atake sa network at endpoint. Pinalalawak ng ATLAS ang taxonomy na iyon partikular sa mga sistema ng AI. Nagmana ang ATLAS ng 13 taktika mula sa ATT&CK at nagdaragdag ng tatlo na walang katumbas na ATT&CK. Dapat gamitin ng mga security team ang parehong framework nang magkasama.
Sakop ba ng MITRE ATLAS ang agarang iniksyon?
Oo. Ang prompt injection ay naitala sa ilalim ng ATLAS technique na AML.T0051. Saklaw nito ang mga pag-atake kung saan ang mga kalaban ay lumilikha ng mga input na nagmamanipula sa pag-uugali ng isang AI model, kabilang ang direktang jailbreaking, hindi direktang injection sa pamamagitan ng mga dokumento o nilalaman sa web, at pag-abuso sa plugin.
Gaano kadalas ina-update ang MITRE ATLAS?
Aktibo. Inilunsad ang Bersyon 5.1.0 noong Nobyembre 2025 na may 16 na taktika, 170 pamamaraan, 35 pagpapagaan, at 57 case study. Ang unang update noong 2026 ay nagdagdag ng mga pamamaraan ng agentic AI. Ang ATLAS ay isang buhay na dokumento na na-update mula sa mga ulat ng insidente sa totoong mundo.
Kailangan ko bang palitan ang aking mga kasalukuyang kagamitan sa seguridad para maipatupad ang MITRE ATLAS?
Hindi. Ang MITRE ATLAS ay isang balangkas, hindi isang produkto. Humigit-kumulang 70% ng mga pagpapagaan nito ay nakabatay sa mga umiiral na kontrol sa seguridad. Ang puwang ay ang saklaw ng AI interaction layer — partikular na kung ano ang nangyayari sa loob ng mga sesyon ng browser habang ginagamit ang GenAI.
Aling mga pamamaraan ng MITRE ATLAS ang pinakamahirap matukoy gamit ang mga tradisyunal na kagamitan sa seguridad?
Ang exfiltration via AI model (AML.T0025), prompt injection (AML.T0051), at AI agent credential harvesting (AML.T0098) ay bihirang makita ng mga network o endpoint tool. Nangyayari ang mga ito bilang normal na trapiko ng HTTPS sa loob ng mga sanctioned application, habang nasa mga authenticated session.
Nalalapat ba ang MITRE ATLAS sa mga browser-based AI tool tulad ng ChatGPT o Microsoft Copilot?
Oo. Maraming pamamaraan ng ATLAS ang direktang isinasagawa sa pamamagitan ng mga interaksyon ng AI na nakabatay sa browser, kabilang ang data exfiltration sa pamamagitan ng prompt (AML.T0025) at prompt injection sa pamamagitan ng mga dokumento (AML.T0051). Ito ang mga banta ng enterprise AI na may pinakamataas na dalas.
