🗺️ MITRE ATLAS для LLM-приложений: тактики, техники и защита AI-агентов
MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) — это публичная, постоянно обновляемая база знаний о тактиках, техниках и реальных кейсах атак на системы искусственного интеллекта и машинного обучения. Если OWASP Top 10 для LLM отвечает на вопрос «что сломается», то ATLAS отвечает на вопрос «как именно атакуют» — в терминах, унаследованных от MITRE ATT&CK: цепочка «тактика → техника → суб-техника → кейс». В этом руководстве мы разбираем структуру матрицы ATLAS, ключевые техники для LLM- и агентских приложений с точными идентификаторами AML.Txxxx, и показываем, какие движки SYNTREX — защитного слоя платформы Spectorn — закрывают каждый вектор на уровне рантайма.
Spectorn — платформа безопасности и compliance-периметр; SYNTREX — её слой AI-защиты (набор движков детекции и блокировки), который также разворачивается standalone на внутренних контурах заказчика. ATLAS даёт язык угроз; SYNTREX даёт детекцию и неизменяемый аудит этих угроз в продакшене.
Что такое MITRE ATLAS и чем он отличается от ATT&CK
ATLAS создан и поддерживается корпорацией MITRE — той же, что ведёт ATT&CK, отраслевой стандарт описания атак на традиционную IT-инфраструктуру. ATLAS построен по той же модели и с той же системой именования, но фокус у него другой: поверхности атаки, специфичные для ИИ — обучающие данные, inference-API, промпты LLM, кража модели, цепочки инструментов агентов.
Матрица ATLAS — это набор тактик (зачем атакующий делает шаг: колонки матрицы) и вложенных в них техник (как именно он это делает: ячейки). Большинство тактик унаследованы от ATT&CK и адаптированы под ИИ-контекст (Reconnaissance, Initial Access, Execution, Exfiltration, Impact и др.), но есть и эксклюзивные для ИИ — например, AI Model Access (AML.TA0000) и AI Attack Staging (AML.TA0001, ранее назывался «ML Attack Staging»). В редакциях конца 2025 года в матрицу добавлены тактики Lateral Movement (AML.TA0015) и Command and Control (AML.TA0014), а в 2025–2026 в неё влилась большая группа техник, специфичных для автономных AI-агентов.
Важная деталь для тех, кто сверяется с матрицей: идентификаторы тактик не последовательны.
AML.TA0002— это Reconnaissance, аAML.TA0001— AI Attack Staging, а не наоборот. Всегда сверяйте ID с актуальной версией на atlas.mitre.org, потому что нумерация и состав техник менялись от версии к версии.
Три уровня: ATLAS, OWASP и NIST AI RMF
ATLAS не конкурирует с другими каркасами, а дополняет их в трёхуровневой модели:
- Стратегический слой — NIST AI RMF: как организация управляет риском (функции GOVERN / MAP / MEASURE / MANAGE).
- Тактический слой — MITRE ATLAS: как противник реально проводит атаку (матрица TTP, кейсы, митигации).
- Операционный слой — OWASP Top 10 для LLM: какие конкретные уязвимости устранять в коде приложения.
Связка проста: OWASP называет уязвимость, ATLAS описывает технику её эксплуатации, NIST задаёт управленческий контур. Карта детекции SYNTREX ниже опирается на все три.
Тактики ATLAS для LLM-приложений
Не все 16 тактик равно релевантны типичному LLM-приложению. Для систем на больших языковых моделях и AI-агентов ключевыми становятся:
| Тактика (ID) | Что означает в контексте LLM |
|---|---|
Initial Access (AML.TA0004) | Получение первого доступа: эксплуатация публичного endpoint, компрометация цепочки поставок ИИ |
AI Model Access (AML.TA0000) | Доступ к самой модели — от чёрного ящика через API до полного white-box |
Execution (AML.TA0005) | Запуск вредоносного поведения: prompt injection, вызов инструмента агента, jailbreak |
Persistence (AML.TA0006) | Закрепление: модификация конфигурации агента, бэкдор в дообученной модели |
Defense Evasion (AML.TA0007) | Обход защиты: обфускация промпта, подделка доверенных компонентов вывода |
Discovery (AML.TA0008) | Разведка: извлечение системной информации LLM, поиск галлюцинаций, конфигурации агента |
Collection / Exfiltration (AML.TA0009 / AML.TA0010) | Сбор и вывод данных: утечка через inference-API, через инструменты агента |
Impact (AML.TA0011) | Воздействие: отказ в обслуживании ИИ, эрозия целостности модели, внешний вред |
Ключевые техники ATLAS и защита SYNTREX
Ниже — наиболее значимые для LLM-приложений техники с точными идентификаторами и движками SYNTREX, которые их закрывают на уровне рантайма.
AML.T0051 — LLM Prompt Injection (Execution)
Базовая и самая частая техника: атакующий формирует промпт, заставляющий модель игнорировать исходные инструкции и следовать его собственным. Две суб-техники:
AML.T0051.000— Direct Prompt Injection: вредоносный ввод подаётся напрямую через UI или API.AML.T0051.001— Indirect Prompt Injection: инструкция спрятана во внешних данных, которые модель обрабатывает — документ, веб-страница, письмо, вывод инструмента, в том числе мультимедиа.
Соответствие: OWASP LLM01:2025 Prompt Injection.
Защита SYNTREX: движки injection, output_scanner, lethal_trifecta, goal_predictability. injection инспектирует и пользовательский ввод (direct), и недоверенный внешний контент — вывод инструментов, содержимое документов и страниц (indirect) — на встроенные инструкции и попытки переопределить системные указания. Подробный разбор — в руководстве по Prompt Injection, а мультимодальный вариант (.001 через картинки/документы/аудио) — в руководстве по мультимодальной инъекции.
AML.T0054 — LLM Jailbreak (Execution)
Перевод модели в состояние, в котором её защитное обучение обойдено, — обычно через тщательно сконструированный промпт. ATLAS отделяет jailbreak (обход политик самой модели) от prompt injection (переопределение инструкций приложения), хотя на практике они часто комбинируются.
Соответствие: OWASP LLM01:2025 (джейлбрейк как частный случай инъекции).
Защита SYNTREX: движок jailbreak распознаёт известные семейства обходов (DAN, Skeleton Key, Policy Puppetry, many-shot, Crescendo). Детальный разбор — в руководстве по джейлбрейкам.
AML.T0056 — Extract LLM System Prompt и AML.T0057 — LLM Data Leakage (Exfiltration)
AML.T0056 — извлечение скрытого системного промпта (внутренних правил, бизнес-логики, иногда по ошибке помещённых туда секретов). AML.T0057 — крафт запросов, провоцирующих непреднамеренную утечку данных из контекста или обучающей выборки.
Соответствие: OWASP LLM07:2025 System Prompt Leakage, LLM02:2025 Sensitive Information Disclosure.
Защита SYNTREX: движки output_scanner, injection, pii, secret_scanner. output_scanner перехватывает ответы, содержащие фрагменты системных инструкций; secret_scanner (недизаблируемый инвариант на уровне платформы) маскирует ключи и токены до того, как они покинут периметр; pii маскирует персональные данные в выводе.
AML.T0024 — Exfiltration via AI Inference API (Exfiltration)
Вывод данных через сам inference-API: определение принадлежности данных к обучающей выборке (.000), инверсия модели (.001), извлечение/кража модели (.002).
Соответствие: OWASP LLM02:2025 Sensitive Information Disclosure.
Защита SYNTREX: exfiltration распознаёт аномальную выгрузку данных, provenance_reduction отслеживает попытки снизить прослеживаемость источника данных, intent_revelation помогает выявить разведывательное намерение в последовательности запросов.
AML.T0086 — Exfiltration via AI Agent Tool Invocation (Exfiltration)
Использование инструментов с правом записи/отправки, доступных агенту, чтобы вывести данные наружу. Именно эта техника описывает большинство реальных zero-click-инцидентов 2025 года (например, EchoLeak в Microsoft 365 Copilot, CVE-2025-32711): косвенная инъекция через письмо заставляет агента вывести контекст через доверенный канал.
Соответствие: OWASP LLM06:2025 Excessive Agency.
Защита SYNTREX: tool_abuse, cross_tool_guard, lethal_trifecta, exfiltration. lethal_trifecta распознаёт «летальную тройку» (доступ к данным + недоверенный ввод + канал вывода) в одном действии агента; cross_tool_guard контролирует опасные межинструментальные цепочки; tool_abuse ловит злоупотребление полномочиями инструмента.
AML.T0020 — Poison Training Data и AML.T0018 — Backdoor ML Model (AI Attack Staging)
Отравление обучающих данных (AML.T0020) и внедрение бэкдора в модель (AML.T0018, с суб-техниками .000 Poison ML Model и .001 Inject Payload) — атаки на этап обучения, активирующиеся по триггеру в рантайме.
Соответствие: OWASP LLM04:2025 Data and Model Poisoning.
Защита SYNTREX: прямого «сканера обучающих данных» в SYNTREX нет — это зона MLOps и supply-chain. На стороне рантайма частично помогает dormant_payload, выявляющий спящие нагрузки, активирующиеся по триггеру. Полный разбор и честная граница ответственности — в руководстве по отравлению данных и моделей.
AML.T0010 — AI Supply Chain Compromise (Initial Access)
Компрометация через сторонние компоненты: оборудование (.000), ПО для ML (.001), данные (.002), модель (.003). Классический пример — вредоносные модели на Hugging Face (кейс ATLAS AML.CS0031), где в pickle-файлы встраивался reverse shell.
Соответствие: OWASP LLM03:2025 Supply Chain.
Защита SYNTREX: проверка подписей, хешей и происхождения артефактов до установки — задача процессов DevSecOps (SBOM / ML-BOM). На рантайме dormant_payload и инлайн-инспекция содержимого движком output_scanner ограничивают «радиус поражения» скомпрометированного компонента. Честная граница: управление цепочкой поставок — преимущественно организационный контроль.
AML.T0070 — RAG Poisoning и AML.T0066 — Retrieval Content Crafting (AI Attack Staging)
Техники, добавленные в эпоху RAG: внедрение вредоносного контента в источники RAG (AML.T0070) и подготовка контента так, чтобы он был проиндексирован и позднее извлечён системой (AML.T0066). Сюда же — AML.T0061 LLM Prompt Self-Replication (паттерн червя Morris II в мульти-агентных RAG-конвейерах).
Соответствие: OWASP LLM04:2025 и LLM08:2025 Vector and Embedding Weaknesses.
Защита SYNTREX: injection инспектирует извлекаемый из RAG контент на скрытые инструкции; dormant_payload выявляет спящие нагрузки в корпусе. Подробнее — в руководстве по безопасности RAG.
Как SYNTREX помогает: карта ATLAS → движок
SYNTREX — это конвейер специализированных движков детекции, инлайн-инспекции содержимого вывода (Shield / output_scanner), корреляции событий (SOC) и неизменяемого аудита (Decision Logger). Сводная карта «техника ATLAS → движок»:
| Техника ATLAS | Основные движки SYNTREX |
|---|---|
AML.T0051 LLM Prompt Injection (.000/.001) | injection, output_scanner, goal_predictability |
AML.T0054 LLM Jailbreak | jailbreak |
AML.T0056 Extract LLM System Prompt | output_scanner, injection |
AML.T0057 LLM Data Leakage | pii, secret_scanner, exfiltration |
AML.T0024 Exfiltration via Inference API | exfiltration, provenance_reduction, intent_revelation |
AML.T0086 Exfiltration via Agent Tool | tool_abuse, cross_tool_guard, lethal_trifecta |
AML.T0020 / AML.T0018 Poison / Backdoor | dormant_payload (+ процессы MLOps/SBOM) |
AML.T0010 AI Supply Chain Compromise | dormant_payload, output_scanner (+ SBOM/ML-BOM) |
AML.T0070 / AML.T0066 RAG Poisoning | injection, dormant_payload |
Конфигурация syntrex.yaml
Профиль, ориентированный на покрытие ключевых техник ATLAS для LLM- и агентского периметра:
# syntrex.yaml — профиль покрытия MITRE ATLAS
version: "1.0"
mode: ai_gateway
engines:
injection: # AML.T0051 (.000 direct + .001 indirect)
action: block
inspect_tool_output: true
confidence_threshold: 0.7
jailbreak: # AML.T0054
action: block
confidence_threshold: 0.85
output_scanner: # AML.T0056, AML.T0057
action: sanitize
pii: # AML.T0057
action: redact
mask_character: "*"
secret_scanner: always_on # AML.T0057 — недизаблируемый инвариант
exfiltration: # AML.T0024, AML.T0086
action: block
confidence_threshold: 0.90
lethal_trifecta: # AML.T0086 — data + untrusted + egress
action: block
tool_abuse: # AML.T0086
action: block
cross_tool_guard: # AML.T0086 — межинструментальные цепочки
action: block
goal_predictability: # отклонение от локально предсказуемой цели
action: block
dormant_payload: # AML.T0018, AML.T0020, AML.T0070
action: alert
provenance_reduction: # AML.T0024
action: alert
shield:
dmz: true # инлайн-инспекция содержимого ответа (AML.T0010, AML.T0086)
audit:
decision_logger: true # неизменяемая цепочка SHA-256/HMAC
Правило корреляции SOC
Многоступенчатая атака почти всегда видна как цепочка событий ATLAS. Пример: инъекция (Execution) → попытка вывода через инструмент агента (Exfiltration):
rules:
- id: ATLAS_INJECTION_TO_EXFIL
name: "AML.T0051 → AML.T0086"
description: "Indirect prompt injection, за которой следует попытка вывода через инструмент агента"
enabled: true
conditions:
- sequence:
- category: injection
min_confidence: 0.7
- category: lethal_trifecta
min_confidence: 0.7
within: "3m"
same_field: "session_id"
action:
create_incident: true
severity: CRITICAL
kill_chain_stage: "exfiltration"
playbook: "auto_block_session"
metadata:
mitre_atlas: ["AML.T0051.001", "AML.T0086"]
owasp_llm: ["LLM01", "LLM06"]
Все решения движков пишутся в Decision Logger — неизменяемую цепочку с хешами SHA-256 и HMAC, пригодную для разбора инцидента и предъявления регулятору: видно, какая техника ATLAS сработала и в какой последовательности.
Честная граница: SYNTREX закрывает техники ATLAS, проявляющиеся на уровне ввода-вывода и поведения агента в рантайме (Execution, Exfiltration, часть Defense Evasion и Discovery). Техники этапа обучения (
AML.T0020,AML.T0018) и compromise цепочки поставок (AML.T0010) требуют преимущественно организационных и MLOps-мер — SYNTREX дополняет их рантайм-детекцией и аудитом, но не подменяет.
Частые вопросы (FAQ)
Что такое MITRE ATLAS простыми словами? Это база знаний MITRE о том, как атакуют ИИ-системы: матрица тактик (зачем) и техник (как) с реальными кейсами и митигациями. ATLAS построен по образцу MITRE ATT&CK, но посвящён именно угрозам для машинного обучения и LLM — отравлению данных, prompt injection, краже модели, злоупотреблению инструментами агентов.
Чем MITRE ATLAS отличается от OWASP Top 10 для LLM? OWASP — это перечень уязвимостей с точки зрения разработчика («что сломается»), а ATLAS — матрица тактик и техник с точки зрения атакующего («как именно проводят атаку»). Их используют вместе: OWASP помогает построить требования к защите, ATLAS — модель угроз для red team и детекции/реагирования. SYNTREX маппит свои движки на обе системы.
Какой идентификатор у prompt injection в ATLAS?
AML.T0051 (LLM Prompt Injection) с двумя суб-техниками: AML.T0051.000 — прямая инъекция (через UI/API), AML.T0051.001 — косвенная (через внешние данные, документы, веб-страницы, мультимедиа). Будьте внимательны: некоторые устаревшие источники путают нумерацию суб-техник — сверяйтесь с atlas.mitre.org.
Закрывает ли SYNTREX все техники ATLAS?
Нет, и мы это честно отмечаем. SYNTREX закрывает движками техники, проявляющиеся в рантайме на уровне ввода-вывода и поведения агента: инъекции (AML.T0051), джейлбрейк (AML.T0054), утечки (AML.T0056, AML.T0057), эксфильтрацию (AML.T0024, AML.T0086). Техники этапа обучения и компрометации цепочки поставок требуют MLOps- и организационных мер; SYNTREX дополняет их детекцией спящих нагрузок (dormant_payload) и неизменяемым аудитом.
Как ATLAS связан с NIST AI RMF? ATLAS — это тактический слой угроз, который наполняет содержанием функции NIST AI RMF: данные ATLAS питают MAP (идентификация рисков), MEASURE (тестирование и детекция) и MANAGE (митигации). NIST задаёт управленческий каркас, ATLAS — словарь конкретных атак. Подробнее о NIST — в нашем руководстве по AI RMF.
Что такое тактика AI Attack Staging в ATLAS?
Это эксклюзивная для ИИ тактика (AML.TA0001, ранее «ML Attack Staging») — этап подготовки атаки на модель: крафт adversarial-данных (AML.T0043), отравление обучающих данных (AML.T0020), создание прокси-модели, подготовка RAG-контента (AML.T0066). Это «стейджинг» перед собственно эксплуатацией.
Где взять официальную матрицу ATLAS и навигатор?
Матрица доступна на atlas.mitre.org, данные в машиночитаемом виде — в репозитории mitre-atlas/atlas-data (файл ATLAS.yaml), кейсы — на atlas.mitre.org/studies. Состав техник регулярно расширяется, поэтому версию стоит фиксировать при цитировании.
Источники
- MITRE ATLAS — официальный сайт и матрица — тактики, техники, суб-техники, кейсы, митигации.
- MITRE ATLAS — Case Studies — библиотека реальных инцидентов (например,
AML.CS0031Malicious Models on Hugging Face). - MITRE ATLAS — репозиторий данных (GitHub) — машиночитаемый
ATLAS.yamlс актуальными ID тактик и техник. - OWASP Top 10 для LLM-приложений (2025) — операционный слой уязвимостей, маппится на техники ATLAS.
- NIST AI Risk Management Framework (AI 100-1) — стратегический управленческий слой.
- MITRE ATT&CK — родительский каркас, по образцу которого построен ATLAS.
Связанные руководства: OWASP Top 10 для LLM · NIST AI RMF · EU AI Act · Prompt Injection · Мультимодальная инъекция · Отравление данных и моделей · Отраслевые сценарии