MITRE ATLAS(人工智能系统对抗性威胁格局)是一个结构化的知识库,收录了针对人工智能和机器学习系统的敌对战术、技术和案例研究。您可以将其视为MITRE ATT&CK的AI专用扩展,它并非应用于网络和终端,而是应用于数据管道、模型推理API、训练流程以及员工日常使用的AI工具。截至2026年,ATLAS已收录16种战术、170种技术、35种缓解措施和57个真实案例研究。
什么是MITRE ATLAS?它解决了什么问题?
二十年来,MITRE ATT&CK 为防御者提供了一种描述攻击者行为的通用语言。它详细记录了攻击者如何在网络中移动、提升权限以及窃取数据。它之所以有效,是因为攻击面相对稳定:端点、服务器、网络协议和凭证。
人工智能改变了这一切。2016 年微软推出 Tay 时,在 24 小时内将其瘫痪的攻击并未利用任何 CVE 漏洞。没有凭证被窃取,也没有网络被攻破。攻击者只是通过系统设计接受的接口输入数据,而模型自身的学习机制就利用这些输入数据攻击自身。ATT&CK 框架中并没有涵盖这种情况。
MITRE ATLAS 正好填补了这一空白。该框架详细记录了攻击者如何专门针对人工智能系统发起攻击:操纵训练数据、滥用推理 API、注入恶意提示、污染模型输出,以及利用自主人工智能代理在企业基础设施中建立的信任关系。它为安全团队提供了一个结构化的分类体系,用于识别威胁、模拟攻击路径,并将控制措施映射到其技术栈的人工智能层。
ATLAS 由 MITRE 的威胁情报防御中心维护,并根据真实世界的事件报告持续更新。2025 年 11 月发布的 v5.1.0 版本更新显著扩展了其覆盖范围。2026 年的首次更新新增了智能体 AI 技术,反映了 AI 工具从辅助用户向代表用户行动的 AI 代理的快速转变。
MITRE ATLAS 与 MITRE ATT&CK 有何不同?
ATLAS 和 ATT&CK 是互补的,而非竞争关系。ATT&CK 涵盖了传统的攻击面:通过网络钓鱼进行初始访问、通过凭证滥用进行横向移动、通过命令与控制通道进行数据窃取。ATLAS 直接继承了 ATT&CK 的 13 种攻击策略,并将其应用于人工智能的特定场景,此外还增加了 3 种 ATT&CK 中没有对应策略的攻击策略。
关键的结构性区别在于攻击目标。ATT&CK 模型针对基础设施的攻击,而 ATLAS 模型针对人工智能系统——包括模型本身、训练数据、开放的 API 以及其决策。例如,对 ChatGPT 的快速注入攻击不会影响网络,而是直接影响模型的推理过程。ATT&CK 没有针对此类攻击的技术,而 ATLAS 则有。
实际上,大多数企业环境都需要两者。ATT&CK 仍然是应对横向移动、勒索软件和终端入侵的合适框架。而 ATLAS 在以下情况下变得至关重要: 人工智能使用控制 人工智能已成为工作流程的一部分——对于大多数知识工作者而言,这早已是工作流程的一部分。LayerX 的一项研究显示,45% 的企业员工都在积极使用人工智能工具。忽略人工智能层的安全框架将留下一个庞大且活跃的攻击面未被覆盖。
另一个显著的区别在于更新速度。ATLAS 的更新速度比 ATT&CK 更快,因为人工智能威胁形势变化更快。在大多数安全团队完成对其首个 ChatGPT 部署的评估之前,涵盖代理型人工智能浏览器、人工智能代理凭证窃取以及基于 LLM 的命令与控制通道等技术就已经出现在 ATLAS 中了。
MITRE ATLAS涵盖哪些战术和技术?
ATLAS 将攻击者行为归纳为 16 种策略,每种策略代表攻击 AI 系统的一个阶段或目标。该框架继承了熟悉的 ATT&CK 策略,并将其应用于 AI 领域。其中三种策略在 ATT&CK 中没有对应项:
机器学习攻击部署 涵盖针对人工智能攻击的特定准备工作:构建代理模型、训练对抗数据、准备与目标人工智能系统类似的攻击基础设施。
机器学习模型访问 涵盖了敌对势力与人工智能模型交互的方法——通过公共 API、被攻破的内部端点或对模型工件的物理访问。
机器学习模型攻击 涵盖对模型行为的直接攻击:规避、推理、反转和投毒。
在这些策略中,有几种技术在企业事件报告中出现频率最高。“提示注入”(AML.T0051)位居榜首。“通过人工智能模型窃取数据”(AML.T0025)记录了如何提取或泄露提交给人工智能工具的敏感信息。“机器学习供应链入侵”(AML.T0010)涵盖了针对组织集成到其人工智能工作流程中的库、数据集和第三方模型的攻击。要深入了解这些风险如何映射到…… GenAI 安全 LayerX 的研究通过控制手段,提供了从业者级别的分析。
哪些MITRE ATLAS技术与企业AI应用最为相关?
大多数 ATLAS 讨论都集中在模型层面的攻击:对抗样本、模型提取、训练数据投毒。这些对于构建和运营 AI 模型的组织而言,确实是切实存在的威胁。但对于大多数企业来说,更直接的风险敞口却有所不同。他们的 AI 风险并非源于模型架构,而是源于员工日常与 AI 工具的交互方式。
77% 的企业员工会将数据粘贴到 GenAI 提示框中。其中一半的粘贴内容包含企业数据。在企业环境中,89% 的 AI 登录绕过了企业监管,用户通过 IT 部门从未配置且无法监控的个人账户访问 ChatGPT、Copilot、Claude 和 Gemini 等服务。
与此情况最相关的ATLAS技术:
AML.T0051 — 快速注射: 攻击者会在人工智能模型处理的内容中嵌入恶意指令。在使用 Copilot 或人工智能辅助电子邮件工具的企业环境中,这无需特殊访问权限——恶意攻击者只需能够将内容传递给目标用户信任的人工智能即可。 人工智能滥用预防 控制措施在会话层解决了这个问题。
AML.T0025 — 通过 AI 模型进行渗透: 提交给人工智能工具的敏感数据对网络级数据防泄漏 (DLP) 机制来说基本不可见,因为它会像普通的 HTTPS 流量一样传输到授权目的地。这才是问题的核心所在。 人工智能DLP 旨在解决。
AML.T0098 — AI代理工具凭证收集: 这是 ATLAS 在 2026 年新增的功能。当代理人拥有对 SharePoint、OneDrive 或 CRM 的持续访问权限时,攻破该代理人的账户就等同于直接攻破这些工具。
AML.T0100 — AI代理点击诱饵: 攻击者精心制作网页、文档或用户界面元素,旨在操纵人工智能代理的决策。即使指令带有对抗性质,代理也会执行看似与任务相关的指令。
MITRE ATLAS威胁在企业环境中实际执行的位置在哪里?
这是大多数 ATLAS 解释者都会回避的问题,但却是操作上最重要的问题。
安全团队在阅读 ATLAS 时,自然会从现有的控制点入手:网络、终端、身份。但对于大多数企业级 AI 攻击而言,威胁并非突破了边界,而是在边界内部,通过边界原本无法监控的途径发起攻击。
提示注入并非以网络入侵的形式出现,而是以用户在浏览器中打开的文档的形式出现。通过人工智能模型进行的数据泄露也并非数据泄露事件,而是用户通过HTTPS协议在ChatGPT上输入内容。
最常用的企业级 ATLAS 技术的共同之处在于,它们都在浏览器层、AI 工具会话中执行。网络工具可以看到与 ChatGPT 域的连接,但看不到用户输入的内容。端点工具可以看到浏览器进程,但看不到会话内部发生的情况。身份工具知道用户已通过身份验证,但不知道之后哪些数据通过 AI 交互传输。
这种覆盖范围上的差距并非配置问题,而是架构问题。 浏览器扩展程序安全性 在这些技术执行的层面上解决了这个问题。
安全团队如何实施MITRE ATLAS控制措施?
ATLAS 提供威胁模型。要将其付诸实践,需要将框架技术映射到实际控制措施,然后弥补这些控制措施的不足之处。
一个实用的起点是 ATLAS Navigator。安全团队可以将现有的控制覆盖范围与 ATLAS 矩阵进行比对,从而直观地了解哪些技术可以检测、预防,以及哪些技术目前尚无覆盖。大约 70% 的 ATLAS 缓解措施与现有的安全控制措施相对应。剩余的 30% 需要大多数安全协议栈目前无法提供的覆盖——这些覆盖范围主要集中在 AI 交互层。
在 ATLAS 运营方面走得最远的团队将 AI 交互视为一个独立的可见性领域,需要专门的控制措施:对 AI 工具交互进行会话级监控,对流入 AI 提示的数据进行分类,以及对 ATLAS 映射的行为进行实时响应的执行策略。
Reddit 的安全社区已经直接指出了这种矛盾。从业者认为 ATLAS 作为一种分类体系很有价值,但在实际操作中却令人沮丧,因为其中的技术假设了大多数安全团队所不具备的可见性。该框架告诉你应该关注什么,但如何获得能够看到这些内容的视角则是另一个问题。
浏览器级别的强制执行如何应对 MITRE ATLAS 技术?
大多数经 ATLAS 映射的企业级 AI 威胁都在浏览器会话内部执行。应对这些威胁需要在该层级加强防护。
LayerX 作为企业级浏览器扩展程序运行,可在会话级别提供对 AI 工具交互的实时可见性和控制。它与以下几种特定技术实现了直接映射:
对于 即时注射(AML.T0051)LayerX 会监控 AI 交互的内容——包括粘贴到 ChatGPT、Copilot、Claude 和 Gemini 等工具中的内容。当内容与注入模式或敏感数据分类器匹配时,它可以向用户发出警告、编辑敏感元素或阻止提交。
对于 通过 AI 模型进行数据泄露 (AML.T0025)LayerX会对员工粘贴和上传到AI工具的内容进行分类。GenAI工具中50%的粘贴活动包含企业数据。安全团队可以应用分级控制措施——监控、警告、阻止或编辑——而无需完全阻止AI访问。
对于 影子人工智能和未经授权的工具访问LayerX 可持续发现组织内所有正在使用的 AI 工具。目前,89% 的企业 AI 使用情况都处于公司监管之外。LayerX 可使这些使用情况可见,并将其纳入策略控制。
对于 智能体人工智能威胁 — 凭证收集 (AML.T0098)、AI 代理点击诱饵 (AML.T0100) — LayerX 是唯一能够对包括 ChatGPT Atlas、Perplexity Comet 和 Dia 在内的代理 AI 浏览器进行可见性和强制执行的安全平台。
MITRE ATLAS 对人工智能治理和合规性意味着什么?
ATLAS 在人工智能安全监管和合规框架中被日益广泛地引用。欧盟人工智能法案、NIST 人工智能风险管理框架以及 ISO 42001 均在政策层面阐述了人工智能风险管理。ATLAS 提供了一套技术词汇,可以将政策要求转化为具体、可测试的控制措施。
对于向委员会汇报人工智能风险的首席信息安全官 (CISO) 而言,ATLAS 提供了一个可靠的外部参考点。将 ATLAS 集成到其威胁建模流程中的组织,能够更好地回答审计人员、监管机构和保险公司提出的有关人工智能安全状况的具体问题。
合规性因素会影响供应商评估。能够将检测和执行能力映射到特定 ATLAS 技术标识符(AML.T0051、AML.T0025、AML.T0098)的工具,使团队能够生成结构化的覆盖范围图,而不是叙述性描述。
方向很明确。ATLAS正在从研究框架转型为合规性基准。
常見問題解答
MITRE ATLAS 和 MITRE ATT&CK 一样吗?
不。ATT&CK 涵盖传统的网络和终端攻击路径。ATLAS 则专门针对人工智能系统扩展了这一分类体系。ATLAS 继承了 ATT&CK 的 13 种攻击策略,并新增了 3 种 ATT&CK 中没有对应策略的攻击策略。安全团队应该将这两个框架结合使用。
MITRE ATLAS 是否涵盖即时注射?
是的。即时注入技术已记录在 ATLAS 技术 AML.T0051 中。它涵盖了攻击者通过构造输入来操纵 AI 模型行为的攻击,包括直接越狱、通过文档或 Web 内容进行间接注入以及滥用插件。
MITRE ATLAS多久更新一次?
积极更新。5.1.0 版本于 2025 年 11 月发布,包含 16 项战术、170 项技术、35 项缓解措施和 57 个案例研究。2026 年的首次更新增加了智能体人工智能技术。ATLAS 是一份动态文档,根据真实事件报告不断更新。
我是否需要替换现有的安全工具才能实施 MITRE ATLAS?
不,MITRE ATLAS 是一个框架,而非产品。其约 70% 的缓解措施与现有的安全控制措施相对应。不足之处在于对 AI 交互层的覆盖——特别是 GenAI 使用期间浏览器会话内部发生的情况。
使用传统安全工具最难检测到哪些 MITRE ATLAS 技术?
通过人工智能模型(AML.T0025)、提示注入(AML.T0051)和人工智能代理凭证窃取(AML.T0098)进行的数据泄露很少能被网络或终端工具检测到。它们通常以正常HTTPS流量的形式在已授权的应用程序和已认证的会话期间发生。
MITRE ATLAS 是否适用于 ChatGPT 或 Microsoft Copilot 等基于浏览器的 AI 工具?
是的。ATLAS 的多种攻击手段直接通过基于浏览器的 AI 交互执行,包括通过提示信息窃取数据 (AML.T0025) 和通过文档注入提示信息 (AML.T0051)。这些是企业 AI 面临的最常见威胁。
