AI-Security-03-MITRE-ATLAS威胁建模

MITRE ATLAS 框架与 AI 安全威胁建模实战整理时间：2026-04-02权威来源：MITRE ATLAS 官方 (atlas.mitre.org)、NIST CSRC、OWASP GenAI Security Project、Repello AI 研究一、为什么需要专门的 AI 威胁框架1.1 传统 ATTCK 的局限MITRE ATTCK（Adversarial Tactics, Techniques Common Knowledge）是网络安全领域的标准威胁框架，涵盖了 IT 系统入侵的完整攻击链。但当它应用于 AI 系统时，存在根本性盲区：传统 ATTCK 覆盖的攻击阶段： 初始访问 → 持久化 → 权限提升 → 防御规避 → 凭证访问 → 发现 → 横向移动 → 收集 → 数据泄露 → 影响 这些战术在 AI 系统中依然适用， 但 AI 系统引入了全新的攻击面，ATTCK 没有覆盖： AI 系统特有的攻击面： ├── 训练数据投毒 ├── 对抗样本（输入扰动） ├── 模型窃取（通过 API 查询重建模型） ├── 提示词注入（操控 LLM 行为） ├── 成员推断攻击（判断训练数据成员） ├── 梯度泄露（联邦学习中通过梯度反推数据） ├── 提示词泄露（提取系统 Prompt） ├── Embedding 攻击 └章 Agent 特有的攻击面（工具调用、权限滥用） 这些攻击无法用传统 ATTCK 准确描述， 因为它们攻击的是"模型智能"本身，而非传统 IT 系统。1.2 MITRE ATLAS 是什么ATLAS（Adversarial Threat Landscape for Artificial-Intelligence Systems） 定位：MITRE ATTCK 的 AI 专用扩展 发布时间：2024 年（持续更新） 覆盖范围：针对 AI 系统的攻击战术和技术 规模：16 个战术（Tactics）× 84 个技术（Techniques） 与 ATTCK 的关系： ├── ATTCK：企业 IT 基础设施攻击 ├── ATLAS：AI 系统和 AI 使能系统攻击 └章 两者互补——真实的 AI 系统入侵需要 ATTCK + ATLAS 联合使用二、ATLAS 16 个战术详解2.1 战术总览┌─────────────────────────────────────────────────────────────┐ │ ATLAS 战术层（16个） │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 侦察阶段（Reconnaissance） │ │ ├── Recon-01：收集开源情报（OSINT） │ │ ├── Recon-02：搜索目标领域的公开信息 │ │ └── Recon-03：探测 AI 基础设施 │ │ │ │ 资源获取阶段（Resource Development） │ │ ├── ResDev-01：获取 AI 能力 │ │ ├── ResDev-02：获取目标基础设施 │ │ └── ResDev-03：开发攻击工具 │ │ │ │ 初始访问（Initial Access） │ │ └── InitAcc-01：通过对抗性输入获得初始访问 │ │ │ │ 持久化（Persistence） │ │ └── Persist-01：通过后门或 LoRA adapter 建立持久化 │ │ │ │ 权限提升（Privilege Escalation） │ │ └── Privesc-01：利用 AI 系统漏洞提升权限 │ │