В начале 2026 года ИИ-системы атакуют не люди — их атакуют другие ИИ. Агентные сети, которые мы сами же выпустили в продакшн, теперь становятся целями и оружием. Фреймворк MITRE ATLAS (Adversarial Threat Landscape for AI Systems) превратился из нишевого документа в настольную книгу CISO. Почему? Потому что старые методы защиты — патчи, сигнатуры, песочницы — против AI-угроз работают как решето.
ATLAS — это не ATT&CK для роботов. Это про то, что мы сами создали монстра
MITRE ATLAS родился из классического ATT&CK, но быстро перестал быть просто калькой. Если ATT&CK описывает действия человека — разведка, эксплуатация, закрепление — то ATLAS фиксирует сценарии, где атакующий (человек или агент) манипулирует моделью, данными или инфраструктурой ML. В 2026 году фреймворк насчитывает уже 14 тактик и более 80 техник, включая специфичные для агентных ИИ.
Ключевое отличие ATLAS: он описывает не только атаки на модель (adversarial examples), но и атаки через модель (например, кража весов через открытый API). Это меняет правила игры для DevSecOps.
Самые болезненные техники MITRE ATLAS на начало июня 2026 года — те, что эксплуатируют фундаментальные уязвимости ML-пайплайнов. Data poisoning стоит на первом месте по количеству инцидентов: инсайдеры или скомпрометированные партнёры подмешивают в обучающую выборку «мины», которые срабатывают через месяцы.
Три главных фронта: adversarial, poisoning, prompt injection
Давайте честно: пока мы пили кофе и обсуждали рейтинги LLM, ИИ-вымогатель на базе Claude 3.7 Sonnet уже автономно обходил защиты. Год назад это казалось хайпом — теперь это ежедневная рутина SOC.
ATLAS группирует угрозы по жизненному циклу ML:
- Adversarial ML — искажение входных данных так, что модель ошибается. Классика: наклейки на стоп-знак для автопилота. В 2026 году это уже не лаборатория — это индустриальный шпионаж.
- Data poisoning — «отравление» на этапе сбора или аугментации данных. Разбор реальных кейсов показывает: достаточно 0,1% отравленных семплов, чтобы модель начала выдавать «чёрный ход».
- Prompt injection — атаки на LLM через текстовые запросы. OpenAI официально признала, что полностью защитить от инъекций нельзя — можно только мониторить и ограничивать контекст.
Агентный ИИ — новая тактика в ATLAS
В 2025 году MITRE добавил в ATLAS тактику «Agent Exploitation». Это ответ на лавину инцидентов, когда автономные агенты с доступом к API, базам и shell-командам становились «жирными целями». Помните историю с 40 000 голых агентов? Это не баг, это фича архитектуры — и ATLAS теперь учит нас проверять агентов на «самоубийственные промпты».
Более того, первый громкий инцидент с агентами, взломавшими корпоративную сеть, заставил переписать целый раздел ATLAS по управлению доверенными контекстами. Теперь рекомендация: любой агент должен иметь read-only доступ по умолчанию, а его действия — логироваться и проверяться дополнительным LLM-монитором.
Как использовать ATLAS на практике (без чтения 500 страниц)
Фреймворк даёт не только таксономию, но и матрицу покрытия: какие контриеры работают против конкретных техник. В 2026 году ATLAS интегрирован с основными платформами безопасности — Splunk, Wazuh, SentinelOne. Но главное — это язык описания угроз для команды.
- Определите профиль угрозы — не все техники ATLAS релевантны. Если ваша модель не генерирует изображения, атаки на diffusion-модели можно исключить.
- Тестируйте устойчивость — используйте инструменты вроде CleverHans, ART (Adversarial Robustness Toolbox) и собственные red team-скрипты. Пример с Qwen3.5-27B показывает, как LLM может сама находить неочевидные векторы атак.
- Мониторьте ML-пайплайн — ATLAS предлагает логировать не только инференс, но и историю версий датасетов, изменения в уязвимых компонентах.
- Внедряйте guardrails — это отдельная дисциплина. Новые угрозы GenAI требуют, чтобы фильтры стояли на каждом этапе: до модели, на выходе модели, в канале связи.
Важно: ATLAS — не панацея. Он не защитит от zero-day в самой архитектуре. Но он даёт язык для коммуникации между ML-инженерами и безопасниками. Без него вы будете говорить про «непонятные аномалии» вместо того, чтобы сказать «это техника T1557.002 — Data Poisoning via Backdoor Trigger».
Комплаенс: ATLAS помогает не сесть на штраф
В РФ требования к ИИ-системам жёстко регулируются — ФСТЭК 117 и Указ 490. ATLAS можно использовать как «карту угроз» для обоснования защитных мер перед регулятором. Если вы покажете, что каждая техника ATLAS покрыта контриерой из вашего security baseline, это весомый аргумент.
В глобальном масштабе ATLAS всё чаще цитируется в стандартах ISO/IEC 42001 (AI Management System). Компании, внедрившие ATLAS, получают скидки на страховку кибер-рисков — страховщики понимают, что системный подход снижает вероятность инцидента.
И последнее: не думайте, что ATLAS — это документ для чтения. Это живой инструмент. Как ИИ меняет кибербезопасность — так же быстро, как поезд, на который мы опоздали сесть. ATLAS — это хотя бы карта путей, чтобы не вылететь с рельс.
