ДокументацияБиблиотека
БИБЛИОТЕКА ЗАЩИТЫ ИИ

🗺️ MITRE ATLAS для LLM-приложений: тактики, техники и защита AI-агентов

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) — это публичная, постоянно обновляемая база знаний о тактиках, техниках и реальных кейсах атак на системы искусственного интеллекта и машинного обучения. Если OWASP Top 10 для LLM отвечает на вопрос «что сломается», то ATLAS отвечает на вопрос «как именно атакуют» — в терминах, унаследованных от MITRE ATT&CK: цепочка «тактика → техника → суб-техника → кейс». В этом руководстве мы разбираем структуру матрицы ATLAS, ключевые техники для LLM- и агентских приложений с точными идентификаторами AML.Txxxx, и показываем, какие движки SYNTREX — защитного слоя платформы Spectorn — закрывают каждый вектор на уровне рантайма.

Spectorn — платформа безопасности и compliance-периметр; SYNTREX — её слой AI-защиты (набор движков детекции и блокировки), который также разворачивается standalone на внутренних контурах заказчика. ATLAS даёт язык угроз; SYNTREX даёт детекцию и неизменяемый аудит этих угроз в продакшене.


Что такое MITRE ATLAS и чем он отличается от ATT&CK

ATLAS создан и поддерживается корпорацией MITRE — той же, что ведёт ATT&CK, отраслевой стандарт описания атак на традиционную IT-инфраструктуру. ATLAS построен по той же модели и с той же системой именования, но фокус у него другой: поверхности атаки, специфичные для ИИ — обучающие данные, inference-API, промпты LLM, кража модели, цепочки инструментов агентов.

Матрица ATLAS — это набор тактик (зачем атакующий делает шаг: колонки матрицы) и вложенных в них техник (как именно он это делает: ячейки). Большинство тактик унаследованы от ATT&CK и адаптированы под ИИ-контекст (Reconnaissance, Initial Access, Execution, Exfiltration, Impact и др.), но есть и эксклюзивные для ИИ — например, AI Model Access (AML.TA0000) и AI Attack Staging (AML.TA0001, ранее назывался «ML Attack Staging»). В редакциях конца 2025 года в матрицу добавлены тактики Lateral Movement (AML.TA0015) и Command and Control (AML.TA0014), а в 2025–2026 в неё влилась большая группа техник, специфичных для автономных AI-агентов.

Важная деталь для тех, кто сверяется с матрицей: идентификаторы тактик не последовательны. AML.TA0002 — это Reconnaissance, а AML.TA0001 — AI Attack Staging, а не наоборот. Всегда сверяйте ID с актуальной версией на atlas.mitre.org, потому что нумерация и состав техник менялись от версии к версии.

Три уровня: ATLAS, OWASP и NIST AI RMF

ATLAS не конкурирует с другими каркасами, а дополняет их в трёхуровневой модели:

  • Стратегический слойNIST AI RMF: как организация управляет риском (функции GOVERN / MAP / MEASURE / MANAGE).
  • Тактический слой — MITRE ATLAS: как противник реально проводит атаку (матрица TTP, кейсы, митигации).
  • Операционный слойOWASP Top 10 для LLM: какие конкретные уязвимости устранять в коде приложения.

Связка проста: OWASP называет уязвимость, ATLAS описывает технику её эксплуатации, NIST задаёт управленческий контур. Карта детекции SYNTREX ниже опирается на все три.


Тактики ATLAS для LLM-приложений

Не все 16 тактик равно релевантны типичному LLM-приложению. Для систем на больших языковых моделях и AI-агентов ключевыми становятся:

Тактика (ID)Что означает в контексте LLM
Initial Access (AML.TA0004)Получение первого доступа: эксплуатация публичного endpoint, компрометация цепочки поставок ИИ
AI Model Access (AML.TA0000)Доступ к самой модели — от чёрного ящика через API до полного white-box
Execution (AML.TA0005)Запуск вредоносного поведения: prompt injection, вызов инструмента агента, jailbreak
Persistence (AML.TA0006)Закрепление: модификация конфигурации агента, бэкдор в дообученной модели
Defense Evasion (AML.TA0007)Обход защиты: обфускация промпта, подделка доверенных компонентов вывода
Discovery (AML.TA0008)Разведка: извлечение системной информации LLM, поиск галлюцинаций, конфигурации агента
Collection / Exfiltration (AML.TA0009 / AML.TA0010)Сбор и вывод данных: утечка через inference-API, через инструменты агента
Impact (AML.TA0011)Воздействие: отказ в обслуживании ИИ, эрозия целостности модели, внешний вред

Ключевые техники ATLAS и защита SYNTREX

Ниже — наиболее значимые для LLM-приложений техники с точными идентификаторами и движками SYNTREX, которые их закрывают на уровне рантайма.

AML.T0051 — LLM Prompt Injection (Execution)

Базовая и самая частая техника: атакующий формирует промпт, заставляющий модель игнорировать исходные инструкции и следовать его собственным. Две суб-техники:

  • AML.T0051.000 — Direct Prompt Injection: вредоносный ввод подаётся напрямую через UI или API.
  • AML.T0051.001 — Indirect Prompt Injection: инструкция спрятана во внешних данных, которые модель обрабатывает — документ, веб-страница, письмо, вывод инструмента, в том числе мультимедиа.

Соответствие: OWASP LLM01:2025 Prompt Injection.

Защита SYNTREX: движки injection, output_scanner, lethal_trifecta, goal_predictability. injection инспектирует и пользовательский ввод (direct), и недоверенный внешний контент — вывод инструментов, содержимое документов и страниц (indirect) — на встроенные инструкции и попытки переопределить системные указания. Подробный разбор — в руководстве по Prompt Injection, а мультимодальный вариант (.001 через картинки/документы/аудио) — в руководстве по мультимодальной инъекции.

AML.T0054 — LLM Jailbreak (Execution)

Перевод модели в состояние, в котором её защитное обучение обойдено, — обычно через тщательно сконструированный промпт. ATLAS отделяет jailbreak (обход политик самой модели) от prompt injection (переопределение инструкций приложения), хотя на практике они часто комбинируются.

Соответствие: OWASP LLM01:2025 (джейлбрейк как частный случай инъекции).

Защита SYNTREX: движок jailbreak распознаёт известные семейства обходов (DAN, Skeleton Key, Policy Puppetry, many-shot, Crescendo). Детальный разбор — в руководстве по джейлбрейкам.

AML.T0056 — Extract LLM System Prompt и AML.T0057 — LLM Data Leakage (Exfiltration)

AML.T0056 — извлечение скрытого системного промпта (внутренних правил, бизнес-логики, иногда по ошибке помещённых туда секретов). AML.T0057 — крафт запросов, провоцирующих непреднамеренную утечку данных из контекста или обучающей выборки.

Соответствие: OWASP LLM07:2025 System Prompt Leakage, LLM02:2025 Sensitive Information Disclosure.

Защита SYNTREX: движки output_scanner, injection, pii, secret_scanner. output_scanner перехватывает ответы, содержащие фрагменты системных инструкций; secret_scanner (недизаблируемый инвариант на уровне платформы) маскирует ключи и токены до того, как они покинут периметр; pii маскирует персональные данные в выводе.

AML.T0024 — Exfiltration via AI Inference API (Exfiltration)

Вывод данных через сам inference-API: определение принадлежности данных к обучающей выборке (.000), инверсия модели (.001), извлечение/кража модели (.002).

Соответствие: OWASP LLM02:2025 Sensitive Information Disclosure.

Защита SYNTREX: exfiltration распознаёт аномальную выгрузку данных, provenance_reduction отслеживает попытки снизить прослеживаемость источника данных, intent_revelation помогает выявить разведывательное намерение в последовательности запросов.

AML.T0086 — Exfiltration via AI Agent Tool Invocation (Exfiltration)

Использование инструментов с правом записи/отправки, доступных агенту, чтобы вывести данные наружу. Именно эта техника описывает большинство реальных zero-click-инцидентов 2025 года (например, EchoLeak в Microsoft 365 Copilot, CVE-2025-32711): косвенная инъекция через письмо заставляет агента вывести контекст через доверенный канал.

Соответствие: OWASP LLM06:2025 Excessive Agency.

Защита SYNTREX: tool_abuse, cross_tool_guard, lethal_trifecta, exfiltration. lethal_trifecta распознаёт «летальную тройку» (доступ к данным + недоверенный ввод + канал вывода) в одном действии агента; cross_tool_guard контролирует опасные межинструментальные цепочки; tool_abuse ловит злоупотребление полномочиями инструмента.

AML.T0020 — Poison Training Data и AML.T0018 — Backdoor ML Model (AI Attack Staging)

Отравление обучающих данных (AML.T0020) и внедрение бэкдора в модель (AML.T0018, с суб-техниками .000 Poison ML Model и .001 Inject Payload) — атаки на этап обучения, активирующиеся по триггеру в рантайме.

Соответствие: OWASP LLM04:2025 Data and Model Poisoning.

Защита SYNTREX: прямого «сканера обучающих данных» в SYNTREX нет — это зона MLOps и supply-chain. На стороне рантайма частично помогает dormant_payload, выявляющий спящие нагрузки, активирующиеся по триггеру. Полный разбор и честная граница ответственности — в руководстве по отравлению данных и моделей.

AML.T0010 — AI Supply Chain Compromise (Initial Access)

Компрометация через сторонние компоненты: оборудование (.000), ПО для ML (.001), данные (.002), модель (.003). Классический пример — вредоносные модели на Hugging Face (кейс ATLAS AML.CS0031), где в pickle-файлы встраивался reverse shell.

Соответствие: OWASP LLM03:2025 Supply Chain.

Защита SYNTREX: проверка подписей, хешей и происхождения артефактов до установки — задача процессов DevSecOps (SBOM / ML-BOM). На рантайме dormant_payload и инлайн-инспекция содержимого движком output_scanner ограничивают «радиус поражения» скомпрометированного компонента. Честная граница: управление цепочкой поставок — преимущественно организационный контроль.

AML.T0070 — RAG Poisoning и AML.T0066 — Retrieval Content Crafting (AI Attack Staging)

Техники, добавленные в эпоху RAG: внедрение вредоносного контента в источники RAG (AML.T0070) и подготовка контента так, чтобы он был проиндексирован и позднее извлечён системой (AML.T0066). Сюда же — AML.T0061 LLM Prompt Self-Replication (паттерн червя Morris II в мульти-агентных RAG-конвейерах).

Соответствие: OWASP LLM04:2025 и LLM08:2025 Vector and Embedding Weaknesses.

Защита SYNTREX: injection инспектирует извлекаемый из RAG контент на скрытые инструкции; dormant_payload выявляет спящие нагрузки в корпусе. Подробнее — в руководстве по безопасности RAG.


Как SYNTREX помогает: карта ATLAS → движок

SYNTREX — это конвейер специализированных движков детекции, инлайн-инспекции содержимого вывода (Shield / output_scanner), корреляции событий (SOC) и неизменяемого аудита (Decision Logger). Сводная карта «техника ATLAS → движок»:

Техника ATLASОсновные движки SYNTREX
AML.T0051 LLM Prompt Injection (.000/.001)injection, output_scanner, goal_predictability
AML.T0054 LLM Jailbreakjailbreak
AML.T0056 Extract LLM System Promptoutput_scanner, injection
AML.T0057 LLM Data Leakagepii, secret_scanner, exfiltration
AML.T0024 Exfiltration via Inference APIexfiltration, provenance_reduction, intent_revelation
AML.T0086 Exfiltration via Agent Tooltool_abuse, cross_tool_guard, lethal_trifecta
AML.T0020 / AML.T0018 Poison / Backdoordormant_payload (+ процессы MLOps/SBOM)
AML.T0010 AI Supply Chain Compromisedormant_payload, output_scanner (+ SBOM/ML-BOM)
AML.T0070 / AML.T0066 RAG Poisoninginjection, dormant_payload

Конфигурация syntrex.yaml

Профиль, ориентированный на покрытие ключевых техник ATLAS для LLM- и агентского периметра:

YAML
# syntrex.yaml — профиль покрытия MITRE ATLAS version: "1.0" mode: ai_gateway engines: injection: # AML.T0051 (.000 direct + .001 indirect) action: block inspect_tool_output: true confidence_threshold: 0.7 jailbreak: # AML.T0054 action: block confidence_threshold: 0.85 output_scanner: # AML.T0056, AML.T0057 action: sanitize pii: # AML.T0057 action: redact mask_character: "*" secret_scanner: always_on # AML.T0057 — недизаблируемый инвариант exfiltration: # AML.T0024, AML.T0086 action: block confidence_threshold: 0.90 lethal_trifecta: # AML.T0086 — data + untrusted + egress action: block tool_abuse: # AML.T0086 action: block cross_tool_guard: # AML.T0086 — межинструментальные цепочки action: block goal_predictability: # отклонение от локально предсказуемой цели action: block dormant_payload: # AML.T0018, AML.T0020, AML.T0070 action: alert provenance_reduction: # AML.T0024 action: alert shield: dmz: true # инлайн-инспекция содержимого ответа (AML.T0010, AML.T0086) audit: decision_logger: true # неизменяемая цепочка SHA-256/HMAC

Правило корреляции SOC

Многоступенчатая атака почти всегда видна как цепочка событий ATLAS. Пример: инъекция (Execution) → попытка вывода через инструмент агента (Exfiltration):

YAML
rules: - id: ATLAS_INJECTION_TO_EXFIL name: "AML.T0051 → AML.T0086" description: "Indirect prompt injection, за которой следует попытка вывода через инструмент агента" enabled: true conditions: - sequence: - category: injection min_confidence: 0.7 - category: lethal_trifecta min_confidence: 0.7 within: "3m" same_field: "session_id" action: create_incident: true severity: CRITICAL kill_chain_stage: "exfiltration" playbook: "auto_block_session" metadata: mitre_atlas: ["AML.T0051.001", "AML.T0086"] owasp_llm: ["LLM01", "LLM06"]

Все решения движков пишутся в Decision Logger — неизменяемую цепочку с хешами SHA-256 и HMAC, пригодную для разбора инцидента и предъявления регулятору: видно, какая техника ATLAS сработала и в какой последовательности.

Честная граница: SYNTREX закрывает техники ATLAS, проявляющиеся на уровне ввода-вывода и поведения агента в рантайме (Execution, Exfiltration, часть Defense Evasion и Discovery). Техники этапа обучения (AML.T0020, AML.T0018) и compromise цепочки поставок (AML.T0010) требуют преимущественно организационных и MLOps-мер — SYNTREX дополняет их рантайм-детекцией и аудитом, но не подменяет.


Частые вопросы (FAQ)

Что такое MITRE ATLAS простыми словами? Это база знаний MITRE о том, как атакуют ИИ-системы: матрица тактик (зачем) и техник (как) с реальными кейсами и митигациями. ATLAS построен по образцу MITRE ATT&CK, но посвящён именно угрозам для машинного обучения и LLM — отравлению данных, prompt injection, краже модели, злоупотреблению инструментами агентов.

Чем MITRE ATLAS отличается от OWASP Top 10 для LLM? OWASP — это перечень уязвимостей с точки зрения разработчика («что сломается»), а ATLAS — матрица тактик и техник с точки зрения атакующего («как именно проводят атаку»). Их используют вместе: OWASP помогает построить требования к защите, ATLAS — модель угроз для red team и детекции/реагирования. SYNTREX маппит свои движки на обе системы.

Какой идентификатор у prompt injection в ATLAS? AML.T0051 (LLM Prompt Injection) с двумя суб-техниками: AML.T0051.000 — прямая инъекция (через UI/API), AML.T0051.001 — косвенная (через внешние данные, документы, веб-страницы, мультимедиа). Будьте внимательны: некоторые устаревшие источники путают нумерацию суб-техник — сверяйтесь с atlas.mitre.org.

Закрывает ли SYNTREX все техники ATLAS? Нет, и мы это честно отмечаем. SYNTREX закрывает движками техники, проявляющиеся в рантайме на уровне ввода-вывода и поведения агента: инъекции (AML.T0051), джейлбрейк (AML.T0054), утечки (AML.T0056, AML.T0057), эксфильтрацию (AML.T0024, AML.T0086). Техники этапа обучения и компрометации цепочки поставок требуют MLOps- и организационных мер; SYNTREX дополняет их детекцией спящих нагрузок (dormant_payload) и неизменяемым аудитом.

Как ATLAS связан с NIST AI RMF? ATLAS — это тактический слой угроз, который наполняет содержанием функции NIST AI RMF: данные ATLAS питают MAP (идентификация рисков), MEASURE (тестирование и детекция) и MANAGE (митигации). NIST задаёт управленческий каркас, ATLAS — словарь конкретных атак. Подробнее о NIST — в нашем руководстве по AI RMF.

Что такое тактика AI Attack Staging в ATLAS? Это эксклюзивная для ИИ тактика (AML.TA0001, ранее «ML Attack Staging») — этап подготовки атаки на модель: крафт adversarial-данных (AML.T0043), отравление обучающих данных (AML.T0020), создание прокси-модели, подготовка RAG-контента (AML.T0066). Это «стейджинг» перед собственно эксплуатацией.

Где взять официальную матрицу ATLAS и навигатор? Матрица доступна на atlas.mitre.org, данные в машиночитаемом виде — в репозитории mitre-atlas/atlas-data (файл ATLAS.yaml), кейсы — на atlas.mitre.org/studies. Состав техник регулярно расширяется, поэтому версию стоит фиксировать при цитировании.


Источники


Связанные руководства: OWASP Top 10 для LLM · NIST AI RMF · EU AI Act · Prompt Injection · Мультимодальная инъекция · Отравление данных и моделей · Отраслевые сценарии

MITRE ATLAS для LLM-приложений: тактики, техники и защита AI-агентов | Spectorn | Spectorn