Agent Threat Rules (ATR) 是專為 AI agent 時代設計的開放標準,用來描述和偵測針對 AI agent 的安全威脅。Documentation Index
Fetch the complete documentation index at: https://docs.panguard.ai/llms.txt
Use this file to discover all available pages before exploring further.
ATR 是什麼?
ATR 規則偵測傳統安全工具抓不到的威脅:- Prompt injection — MCP tool 回應中的注入攻擊
- Tool poisoning — 透過隱藏指令污染工具
- 資料外洩 — 透過 agent 動作竊取資料
- 權限提升 — 透過 skill 操控提升權限
- 供應鏈攻擊 — 針對 skill registry 的攻擊
- 憑證竊取 — 透過 agent tool call 竊取憑證
- 跨 agent 操控 — 多 agent 系統中的操控攻擊
關鍵數字
| 419 條規則 | 涵蓋 10 大威脅類別 |
| OWASP 10/10 | 完整覆蓋 OWASP Agentic Top 10 |
| 97.1% recall | Garak jailbreak corpus(666 個樣本) |
| 100% recall | SKILL.md benchmark(97% precision、0.2% FP) |
| 90,000+ skills | 已掃描的 skills(67,799 已掃、1,096 確認惡意) |
| 770+ patterns | 獨立偵測簽章 |
| < 3ms 掃描時間 | 每個 skill(regex 層) |
OWASP Agentic Top 10 覆蓋
ATR 為每個 OWASP 類別提供可執行的偵測規則:| OWASP Category | ATR Rules | Coverage |
|---|---|---|
| ASI01: Agent Goal Hijack | 13 | STRONG |
| ASI02: Tool Misuse & Exploitation | 11 | STRONG |
| ASI03: Identity & Privilege Abuse | 9 | STRONG |
| ASI04: Agentic Supply Chain | 8 | STRONG |
| ASI05: Unexpected Code Execution | 8 | STRONG |
| ASI06: Memory & Context Poisoning | 8 | STRONG |
| ASI07: Inter-Agent Communication | 5 | MODERATE |
| ASI08: Cascading Failures | 4 | MODERATE |
| ASI09: Human-Agent Trust | 5 | MODERATE |
| ASI10: Rogue Agents | 7 | MODERATE |
OWASP 提供 checklist。ATR 提供可執行的規則。用 ATR 把 OWASP 合規從紙上作業變成自動化偵測。
三層偵測
| 層級 | 方法 | 速度 | 覆蓋範圍 |
|---|---|---|---|
| Layer 1 | Regex pattern matching | 3ms | 已知 pattern |
| Layer 2 | 內容指紋比對 | ~200ms | 變體 |
| Layer 3 | LLM-as-judge | ~3s | 新型威脅 |
Threat Crystallization
當 LLM 層(Layer 3)發現新的攻擊 pattern 時,ATR 會將它結晶成確定性的 regex 規則:- LLM 偵測到新型威脅 pattern
- RuleScaffolder 產生新的 regex 規則
- Shadow mode 用 1,000 個樣本驗證(FP < 0.1%)
- 規則晉升並透過 Threat Cloud 分發(< 1 小時)
- 下次出現同樣攻擊,Layer 1 在 3ms 內就攔截 — 不需要 LLM
研究論文
Agent Threat Rules: A Community-Driven Detection Standard for AI Agent Security Zenodo DOI: 10.5281/zenodo.19178002論文記錄了:威脅分類體系、偵測架構、PINT benchmark 評測,以及 64 種已知繞過技術(公開發布)。
標準化進度(2026-05-25)
ATR 已發布提案階段的標準化 scaffolding,準備送 OASIS Open Project。Scaffolding 包含 9 席 Technical Steering Committee 章程(CNCF 模型、每 company group 2 席上限、2 席主權國家聯絡席)、標準威脅模型、OpenTelemetry 相容事件格式規格、附 threshold Ed25519 簽章的 conformance 語料庫架構、DCO 貢獻模型,以及 TypeScript、Python、Go 三語言 reference implementation 介面契約。 所有 scaffolding 標記為 PROPOSED(提案中),未 ratified。9 席 TSC 尚未組成,trademarks 未註冊,現有 v1.1 治理繼續運作。Rule 格式、npm 套件、TypeScript engine API、所有規則皆未變動 — Panguard 整合 ATR 不需修改。 第一個主權子範圍 (ATR-TW-YYYY-NNNNN) 已在 bootstrap maintainer attestation 下發布,等待正式台灣主權機關採用。
完整狀態矩陣請見 ATR repo 的 STANDARDIZATION-STATUS.md。
開始使用
ATR on GitHub
瀏覽規則、貢獻程式碼、給顆星。
OWASP Mapping
完整的規則對 OWASP Agentic Top 10 逐條對應表。