Organizations deploying artificial intelligence face a new frontier of security threats that traditional frameworks were never designed to address. AI-enabled adversary attacks surged 89% compared to prior years according to industry threat intelligence research, up from a 72% increase reported in 2025. This escalation demands a structured approach to understanding and defending against adversarial threats to AI systems. Enter MITRE ATLAS — the Adversarial Threat Landscape for Artificial-Intelligence Systems — a comprehensive adversarial ML knowledge base designed specifically to catalog how attackers target machine learning and AI systems.
Per i team di sicurezza che hanno già familiarità con MITRE ATT&CK, ATLAS (talvolta indicato come Atlas MITRE nelle ricerche) rappresenta una naturale estensione nel campo della sicurezza AI. Questa guida fornisce tutto ciò di cui gli analisti della sicurezza, i responsabili SOC e gli ingegneri AI hanno bisogno per rendere operativo ATLAS contro gli attacchi AI avversari, dai fondamenti del framework alle strategie di rilevamento pratiche.
MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) is a globally accessible adversarial ML knowledge base that documents adversary tactics, techniques, and procedures (TTPs) specifically targeting artificial intelligence and machine learning systems. Modeled after the widely adopted MITRE ATT&CK framework, this adversarial AI knowledge base provides security teams with a structured approach to understanding, detecting, and defending against AI-specific threats. The MITRE ATLAS framework serves as the definitive machine learning security framework for AI threat modeling.
As of version 5.1.0 (November 2025), the framework contains 16 tactics, 84 techniques, 56 sub-techniques, 32 mitigations, and 42 real-world case studies according to the official MITRE ATLAS CHANGELOG, up from 15 tactics and 66 techniques in October 2025. The February 2026 update (v5.4.0) added further agent-focused techniques. This rapid growth reflects the accelerating evolution of AI threats.
Il machine learning avversario, ovvero lo studio degli attacchi ai sistemi di machine learning e delle relative difese, comprende quattro categorie principali di attacchi, come documentato dal NIST: attacchi di evasione, avvelenamento, privacy e abuso. ATLAS organizza questi modelli di attacco in una struttura a matrice che gli esperti di sicurezza possono utilizzare immediatamente.
MITRE ha creato ATLAS per colmare una lacuna critica nel panorama della sicurezza. Sebbene ATT&CK cataloghi efficacemente le minacce alle infrastrutture IT e OT tradizionali, non copre gli attacchi che sfruttano le caratteristiche uniche dei sistemi di apprendimento automatico. ATLAS colma questa lacuna fornendo lo stesso approccio rigoroso e convalidato dalla comunità all'intelligence sulle minacce AI.
Il framework si collega anche a MITRE D3FEND, che fornisce contromisure difensive che le organizzazioni possono mappare rispetto alle tecniche ATLAS.
Comprendere la differenza tra ATLAS e ATT&CK aiuta i team di sicurezza a determinare quando applicare ciascun framework.
Tabella: Confronto tra i framework MITRE ATT&CK MITRE ATLAS
ATLAS eredita 13 tattiche da ATT&CK, tra cui Ricognizione, Accesso iniziale, Esecuzione ed Esfiltrazione, ma le applica specificamente ai contesti di IA. Le due tattiche specifiche per l'IA esclusive di ATLAS sono:
AML.0004): Descrive come gli avversari ottengono l'accesso ai modelli ML di destinazione tramite API di inferenza o accesso diretto agli artefatti.AML.0012): Descrive come gli avversari preparano gli attacchi mirati ai modelli ML, compreso il danneggiamento dei dati di addestramento e porta sul retro inserimentoI team di sicurezza dovrebbero utilizzare entrambi i framework insieme per ottenere una copertura completa: ATT&CK per le minacce tradizionali all'infrastruttura e ATLAS per i vettori di attacco specifici dell'IA.
La knowledge base ufficiale MITRE ATLAS organizza le informazioni sulle minacce utilizzando la stessa struttura a matrice che ha determinato il successo di ATT&CK. Comprendere questa struttura consente un rilevamento efficace delle minacce e la modellazione delle minacce tramite IA.
The MITRE ATLAS matrix (sometimes called the MITRE framework matrix for AI or the AI threat matrix) displays tactics as columns and techniques as rows. Each cell represents a specific method adversaries use to achieve tactical goals against AI systems. This visual organization allows security teams to quickly identify coverage gaps and prioritize defenses.
I componenti del framework funzionano insieme:
I dati ATLAS sono disponibili in formato STIX 2.1, che consente l'integrazione leggibile da dispositivi automatici con strumenti e piattaforme di sicurezza. Questo formato standardizzato supporta l'acquisizione automatizzata in piattaforme di intelligence sulle minacce e sistemi SIEM.
The framework receives regular updates through community contributions and MITRE's ongoing research. The October 2025 update through Zenity Labs collaboration added 14 new agent-focused techniques, followed by the November 2025 v5.1.0 release that expanded the framework to 16 tactics with 84 techniques. The February 2026 v5.4.0 update added further techniques including "Publish Poisoned AI Agent Tool" and "Escape to Host," demonstrating the framework's active evolution.
Tattiche, tecniche e procedure (TTP) costituiscono il vocabolario fondamentale della difesa informata sulle minacce. In ATLAS:
AML.TXXXX.AML.0051) include sottotecniche per metodi di iniezione diretta e indiretta.Questa gerarchia consente una modellizzazione delle minacce progressivamente dettagliata. I team possono iniziare con un'analisi della copertura a livello tattico e approfondire tecniche specifiche in base all'esposizione del proprio sistema di IA.
ATLAS organizes 84 techniques across 16 tactics that span the complete adversarial lifecycle, up from 15 tactics and 66 techniques in October 2025. This comprehensive breakdown addresses a significant content gap identified in competitor analysis — no existing guide covers all tactics with detection-focused guidance.
Table: MITRE ATLAS tactics with key techniques
The November 2025 v5.1.0 release added a 16th tactic — Command and Control (AML.0015) — along with 18 new techniques and 6 new mitigations focused on AI agent security controls. This brought the total from 66 to 84 techniques and from 33 to 42 case studies.
Il ciclo di vita dell'attacco inizia con la ricognizione, durante la quale gli avversari raccolgono informazioni sui sistemi ML bersaglio. Le tecniche principali includono:
AML.0051): Gli avversari creano input dannosi per manipolare il comportamento dell'LLM — questo corrisponde a OWASP LLM01Queste tattiche specifiche dell'IA descrivono il modo in cui gli avversari interagiscono con i modelli ML e li sfruttano:
Gli autori delle minacce mantengono l'accesso ed evitano il rilevamento attraverso:
Le tattiche nelle fasi successive si concentrano sul raggiungimento degli obiettivi dell'avversario:
AML.0020): Il data poisoning corrompe i dati di addestramento per manipolare il comportamento del modello — un fattore critico esfiltrazione dei dati vettoreComprendere i modelli di movimento laterale aiuta i team di sicurezza a monitorare come gli aggressori avanzano attraverso queste tattiche.
ATLAS fornisce strumenti pratici gratuiti che trasformano il framework da documentazione in funzionalità di sicurezza utilizzabili. Questo ecosistema di strumenti colma una grave lacuna in termini di contenuti: pochi concorrenti offrono una copertura completa di queste risorse.
Tabella: Ecosistema degli strumenti ufficiali MITRE ATLAS
ATLAS Navigator offre un'interfaccia web interattiva per visualizzare la matrice del framework. I team di sicurezza utilizzano Navigator per:
Navigator si integra con ATT&CK Navigator, consentendo una visione unificata di entrambi i framework. I team che già utilizzano ATT&CK Navigator troveranno l'interfaccia ATLAS immediatamente familiare.
Nel marzo 2023, Microsoft e MITRE hanno annunciato una collaborazione su Arsenal, un plugin CALDERA che consente l'emulazione automatizzata di avversari contro i sistemi di intelligenza artificiale. Arsenal implementa le tecniche ATLAS senza richiedere una profonda competenza nel campo dell'apprendimento automatico.
Le funzionalità principali includono:
Arsenal supporta la ricerca delle minacce convalidando la copertura di rilevamento rispetto a simulazioni di attacchi realistiche. Per i team di risposta agli incidenti, Arsenal aiuta a comprendere le capacità degli aggressori e a testare le procedure di risposta.
L'iniziativa AI Incident Sharing Initiative consente alle organizzazioni di condividere e imparare dagli incidenti di sicurezza legati all'intelligenza artificiale. Questa piattaforma gestita dalla comunità offre:
Queste informazioni confluiscono direttamente negli aggiornamenti di ATLAS, garantendo che il framework rifletta gli attuali modelli di minaccia.
I team di sicurezza spesso chiedono quale framework di sicurezza AI adottare. La risposta: utilizzate tutti e tre per una copertura complementare. Questo confronto aiuta i team a capire quando applicare ciascun framework, rispondendo a una domanda comune relativa al PAA.
Tabella: Confronto tra i framework di sicurezza dell'IA: ATLAS vs OWASP vs NIST AI RMF
Secondo l'analisi dei framework condotta da Cloudsine, questi framework servono diverse fasi del ciclo di vita della sicurezza dell'IA:
Tabella: Quadro di riferimento incrociato per le vulnerabilità comuni dell'IA
Comprendere le vulnerabilità in tutti e tre i framework consente una copertura completa. I team dovrebbero mappare le proprie risorse di IA alle tecniche pertinenti in ciascun framework.
L'integrazione di ATLAS nelle operazioni di sicurezza richiede tecniche di mappatura delle capacità di rilevamento e dei flussi di lavoro. Secondo la guida all'integrazione SOC di ThreatConnect, circa il 70% delle mitigazioni ATLAS è mappato sui controlli di sicurezza esistenti. Il restante 30% richiede nuovi controlli specifici per l'IA.
Passaggi per l'integrazione SOC:
Per garantire un rilevamento efficace è necessario mappare le tecniche ATLAS a specifiche fonti di log e logiche di rilevamento.
Tabella: Esempio di mappatura di rilevamento per tecniche ATLAS prioritarie
Le funzionalità di rilevamento e risposta della rete integrano il rilevamento a livello di applicazione. L'analisi del comportamento degli utenti e delle entità (UEBA) aiuta a identificare modelli di accesso anomali ai sistemi di IA.
Monitorare questi parametri per misurare l'operatività di ATLAS:
Le revisioni trimestrali dei modelli di minaccia garantiscono che la copertura sia al passo con gli aggiornamenti del framework e le minacce emergenti.
ATLAS includes 42 case studies documenting real-world attacks against AI systems, up from 33 in October 2025. Analyzing these incidents provides actionable defensive insights that go beyond theoretical threat modeling.
Nel novembre 2025, MITRE ATLAS ha pubblicato un caso di studio che documenta attacchi deepfake contro i sistemi mobili di rilevamento della vitalità KYC (Know Your Customer). Secondo quanto riportato da Mobile ID World, questo attacco ha preso di mira piattaforme bancarie, servizi finanziari e piattaforme di criptovaluta.
Progressione della catena di attacchi:
Ricognizione -> Sviluppo delle risorse -> Accesso iniziale -> Elusione della difesa -> Impatto
Raccomandazioni difensive:
Questo caso di studio dimostra come gli aggressori combinino l'ingegneria sociale con strumenti di intelligenza artificiale per eludere i controlli di sicurezza, causando potenzialmente violazioni dei dati.
The SesameOp case study, added to ATLAS in late 2025, documents a novel backdoor technique that leverages AI assistant APIs for command and control. Instead of building traditional C2 infrastructure, adversaries repurposed legitimate agent service APIs as covert control channels — blending malicious activity into normal AI workflows. This attack pattern maps to the new AI Service API technique (AML.0096) and demonstrates how agentic AI infrastructure creates command and control channels that evade conventional network detection.
ATLAS expanded from 33 to 42 case studies between October 2025 and February 2026. Notable additions include:
L'analisi HiddenLayer del caso di studio ATLAS AML.CS0003 documenta come i ricercatori abbiano aggirato un prodotto endpoint basato su ML:
AI security threats require specialized detection approaches that go beyond traditional security controls. With AI-enabled adversary attacks surging 89% compared to prior years — up from a 72% increase in 2025 — organizations need proactive defense strategies.
Lista di controllo per la sicurezza dell'IA:
Le organizzazioni dovrebbero allineare gli investimenti nella sicurezza dell'IA sia con phishing ( phishing generato dall'intelligenza artificiale phishing in rapida crescita) e la difesa dal ransomware (l'intelligenza artificiale consente attacchi più sofisticati).
AML.0051)Prompt injection is the most prominent ATLAS technique, cataloged as AML.0051 under the Initial Access tactic. Large language models face unique attack vectors that traditional security cannot address, and ATLAS catalogs these threats systematically.
Tabella: Tipi di minacce LLM con mappatura ATLAS e metodi di rilevamento
I recenti CVE dimostrano queste minacce nella pratica:
Le funzionalità di rilevamento e risposta alle minacce all'identità aiutano a individuare i tentativi di furto delle credenziali attraverso lo sfruttamento dell'LLM.
L'aggiornamento ATLAS di ottobre 2025 riguarda specificatamente gli agenti AI autonomi, ovvero sistemi in grado di intraprendere azioni, accedere a strumenti e mantenere il contesto tra una sessione e l'altra. Le nuove tecniche includono:
AML.0058 Avvelenamento del contesto dell'agente AI: Inserimento di contenuti dannosi nella memoria dell'agente o nel contesto del threadAML.0059 Fattori scatenanti l'attivazione: Incorporare trigger che si attivano in condizioni specificheAML.0060 Dati provenienti dai servizi di intelligenza artificiale: Estrazione di informazioni tramite recupero dal database RAGAML.0061 Strumenti per agenti AI: Sfruttamento dell'accesso allo strumento agente per scopi dannosiAML.0062 Esfiltrazione tramite invocazione dello strumento AI Agent: Utilizzo di chiamate di strumenti legittimi per estrarre datiPrincipi di sicurezza per gli agenti di IA:
Secondo le linee guida CISA del dicembre 2025 relative all'AI/OT, le organizzazioni dovrebbero integrare sistemi di supervisione e di sicurezza per tutti i sistemi di intelligenza artificiale che operano in ambienti critici.
The Model Context Protocol (MCP) — an open standard for connecting AI agents to external tools and data sources — introduces attack surfaces that ATLAS now explicitly addresses. MCP exploits allow adversaries to manipulate the tool-calling layer between AI agents and enterprise systems, bypassing traditional security controls.
ATLAS techniques relevant to MCP security include:
AML.0061): Adversaries exploit MCP server configurations to invoke unauthorized tool actions or access restricted dataAML.0062): Attackers leverage legitimate MCP tool calls to extract sensitive data through sanctioned channelsAML.0096, added 2026): Exploiting AI orchestration APIs for stealthy command and controlThe January 2026 ATLAS update (v5.3.0) added three new case studies specifically covering MCP server compromises, indirect prompt injection via MCP channels, and malicious AI agent deployment. Security teams should validate all MCP server configurations, restrict tool permissions to least privilege, and monitor tool invocation patterns for anomalies.
Il panorama della sicurezza dell'IA evolve rapidamente, con la pressione normativa e la collaborazione industriale che guidano l'adozione di un quadro normativo. Le organizzazioni devono prepararsi sia alle minacce emergenti che ai requisiti di conformità.
The MITRE Secure AI Program, supported by 16 member organizations including Microsoft and JPMorgan Chase, focuses on expanding ATLAS with real-world observations and expediting AI incident sharing.
Sviluppi normativi:
AI security threats continue to accelerate, with 87% of organizations reporting AI-powered cyberattack exposure and 92% expressing concern over agentic AI security implications according to industry research.
Vectra AI's Attack Signal Intelligence methodology applies behavior-based detection principles that align with ATLAS framework objectives. By focusing on attacker behaviors rather than static signatures, organizations can detect the techniques cataloged in ATLAS — from prompt injection attempts to data exfiltration via inference APIs — across hybrid cloud environments.
Questo approccio consente ai team di sicurezza di identificare e dare priorità alle minacce reali legate all'IA, riducendo al contempo il rumore degli avvisi. Il rilevamento e la risposta della rete, combinati con il rilevamento delle minacce all'identità, forniscono visibilità su tutta la superficie di attacco che le minacce IA ora prendono di mira.
MITRE ATLAS provides the structured approach organizations need to defend AI systems against sophisticated adversaries. With 16 tactics, 84 techniques, and continuous updates reflecting emerging threats like agentic AI attacks and MCP exploits, the framework delivers actionable intelligence for security teams.
The rapid expansion from 15 tactics in October 2025 to 16 tactics and 84 techniques by February 2026 demonstrates ATLAS's commitment to keeping pace with AI evolution. As AI-assisted attacks continue to surge and regulatory requirements like the EU AI Act take effect, organizations cannot afford to treat AI security as an afterthought.
Start with these immediate actions:
For organizations seeking comprehensive AI security beyond framework adoption, Vectra AI's Attack Signal Intelligence provides behavior-based detection that identifies the adversary techniques ATLAS catalogs — enabling security teams to find and stop AI threats across hybrid environments.
MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) is a globally accessible knowledge base that catalogs adversary tactics, techniques, and case studies specifically targeting AI and machine learning systems. Modeled after MITRE ATT&CK, ATLAS provides a structured framework for understanding AI-specific threats. As of February 2026, it contains 16 tactics, 84 techniques, 56 sub-techniques, 32 mitigations, and 42 real-world case studies. Security teams use ATLAS for threat modeling, detection development, and red teaming AI systems. The framework is freely available at atlas.mitre.org.
Mentre ATT&CK si concentra sulle minacce IT/OT tradizionali, ATLAS affronta specificamente gli attacchi mirati ai sistemi di intelligenza artificiale e apprendimento automatico. ATLAS include due tattiche uniche che non si trovano in ATT&CK: ML Model Access (AML.0004) e ML Attack Staging (AML.0012). Entrambi i framework utilizzano la stessa struttura a matrice e la stessa metodologia TTP, rendendo ATLAS accessibile ai team di sicurezza che hanno già familiarità con ATT&CK. Le organizzazioni dovrebbero utilizzare entrambi i framework insieme: ATT&CK per le minacce all'infrastruttura e ATLAS per i vettori di attacco specifici dell'IA. I framework condividono tattiche comuni, ma le applicano a contesti tecnologici diversi.
As of February 2026 (v5.4.0), MITRE ATLAS contains 16 tactics, 84 techniques, and 56 sub-techniques, up from 15 tactics and 66 techniques in October 2025. The November 2025 v5.1.0 update added a 16th tactic and expanded to 84 techniques, 32 mitigations, and 42 case studies. The February 2026 v5.4.0 update added further agent-focused techniques including "Publish Poisoned AI Agent Tool" and "Escape to Host." This represents significant growth from earlier versions — some older sources cite 56 or 66 techniques, which reflects pre-November 2025 counts. Always reference the official ATLAS CHANGELOG for current statistics.
Prompt injection (AML.0051) is an Initial Access technique where adversaries craft malicious inputs to manipulate LLM behavior. ATLAS distinguishes between direct prompt injection (malicious content in user input) and indirect prompt injection (malicious content embedded in external data sources the LLM processes). This technique maps to OWASP LLM01 and represents one of the most common attack vectors against LLM applications. Detection focuses on input pattern analysis and output behavior monitoring. Recent CVEs including CVE-2025-32711 (EchoLeak) demonstrate real-world exploitation.
Utilizzate ATLAS Navigator per visualizzare il framework e creare livelli personalizzati che mappano le vostre risorse AI alle tecniche pertinenti. Iniziate inventariando tutti i modelli ML, le pipeline di formazione e le applicazioni abilitate all'AI. Identificate quali tattiche si applicano alle fasi della vostra pipeline ML in base all'architettura del sistema. Date priorità alle tecniche in base all'esposizione e alla probabilità. Mappate le capacità di rilevamento per creare visualizzazioni della copertura. Integrate ATLAS nelle metodologie di modellazione delle minacce esistenti come STRIDE insieme ad ATT&CK per una copertura completa. Rivedi e aggiorna i modelli di minaccia trimestralmente man mano che il framework si evolve.
ATLAS offers several free tools. Navigator provides web-based matrix visualization for threat modeling and coverage mapping, with export capabilities in JSON, Excel, and SVG formats. Arsenal is a CALDERA plugin for automated AI red teaming, developed in collaboration with Microsoft. The AI Incident Sharing Initiative enables community threat intelligence sharing through anonymized incident reports. The AI Risk Database provides searchable incident and vulnerability information. All tools are accessible at atlas.mitre.org and through MITRE's GitHub repositories. These tools transform ATLAS from documentation into actionable security capabilities.
ATLAS and OWASP LLM Top 10 serve complementary purposes. ATLAS provides an adversary-centric TTP framework for threat modeling and detection, while OWASP offers a developer-centric vulnerability list for secure development. Use OWASP during development and code review phases; use ATLAS for operational security, threat modeling, and detection development. Many vulnerabilities appear in both frameworks with different perspectives — for example, prompt injection is ATLAS technique AML.0051 e OWASP LLM01. L'approccio migliore combina entrambi i framework con NIST AI RMF per la governance.
The MITRE ATLAS adversarial ML knowledge base is a structured repository of adversary tactics, techniques, sub-techniques, mitigations, and real-world case studies focused on attacks against AI and machine learning systems. As of February 2026 (v5.4.0), the knowledge base contains 16 tactics, 84 techniques, 56 sub-techniques, 32 mitigations, and 42 case studies. It is freely accessible at atlas.mitre.org and its data is available in STIX 2.1 format for machine-readable integration with security tools and threat intelligence platforms.
MITRE ATLAS case studies are documented real-world incidents where adversaries targeted AI and machine learning systems, mapped to specific ATLAS tactics and techniques. As of February 2026, ATLAS contains 42 case studies covering attacks ranging from deepfake-based KYC bypass and ML model evasion to AI agent backdoors and financial transaction hijacking through AI assistants. Notable examples include the iProov deepfake case study targeting mobile banking, the SesameOp AI agent backdoor (AML.CS0042), and MCP server compromise scenarios. Security teams use these case studies to understand real attack chains and validate detection coverage.
ATLAS Navigator provides an interactive web interface at atlas.mitre.org for visualizing the ATLAS matrix. To export coverage layers, create a custom layer by selecting relevant techniques and assigning scores based on your detection coverage. Navigate to Layer Controls and export in JSON format for programmatic use, Excel for analyst review, or SVG for visual reporting. Teams can combine multiple layers using score expressions (such as summing two layers) to visualize overlapping coverage or gaps. Navigator integrates with the ATT&CK Navigator, enabling unified views across both traditional and AI-specific threat frameworks.