O projeto Agent Threat Rules (ATR) lançou um formato aberto de regras de detecção para ameaças que afetam agentes de inteligência artificial, com mais de 650 regras já em produção na Microsoft, Cisco e MISP. O repositório no GitHub, liderado pelo investigador Adam Lin, propõe um padrão em YAML que funciona como o Sigma para SIEM — mas desenhado para o ecossistema de agentes autónomos.

Pontos-chave

ATR define regras em documentos YAML que seguem um esquema versionado, identificadas pelo formato ATR-YYYY-NNNNN. Cada regra declara o padrão de ataque que detecta, o campo de entrada que inspeciona — como prompts de LLM, argumentos de chamadas de ferramentas ou conteúdo de ficheiros SKILL.md — e casos de teste que comprovam o seu funcionamento. Um motor de referência em TypeScript e um wrapper em Python, designado pyATR, avaliam as regras. Ambos são distribuídos sob licença MIT.

O catálogo cobre dez categorias de ameaças: prompt injection, manipulação de agentes, comprometimento de skills, exfiltração de contexto, envenenamento de ferramentas, escalada de privilégios, abuso de modelo, autonomia excessiva, segurança de modelo e data poisoning. O projeto mantém 651 regras ativas, mapeadas para o OWASP Agentic Top 10 (10 em 10 categorias), SAFE-MCP da OpenSSF (78 de 85 técnicas, ou 91,8%) e o MITRE ATLAS.

Sigma para a era dos agentes

Agentes de IA — servidores MCP, assistentes de programação autónomos, frameworks multi-agente — tornaram-se uma superfície de ataque ativa. Feeds públicos de CVE confirmam que vulnerabilidades de prompt injection, envenenamento de ferramentas e exfiltração de credenciais chegam à produção mais depressa do que as ferramentas criadas para as detectar.

Os padrões de segurança existentes não cobrem esta superfície de forma nativa. Sigma descreve detecções baseadas em logs para ingestão em SIEM, sem suporte para entradas e saídas de LLMs ou janelas de contexto de agentes. YARA descreve padrões binários para ficheiros, sem modelo para eventos de runtime de agentes. OWASP Agentic Top 10 e MITRE ATLAS são taxonomias que enumeram riscos, mas não produzem detecções executáveis.

ATR preenche o espaço entre taxonomia e regra implantável. O projeto compara-se explicitamente ao Sigma e ao YARA como precedente arquitetural: um formato neutro face a fornecedores, legível por máquina e passível de revisão por pares. A documentação do repositório descreve a analogia com clareza.

Adoção em ambiente de produção

Quatro organizações executam ATR ou integraram o formato nas suas ferramentas, segundo dados de maio de 2026. O Agent Governance Toolkit da Microsoft transporta um pacote de 287 regras com sincronização automática semanal a partir do ATR. A Cisco AI Defense opera o pacote completo em produção. O MISP, gerido pela CIRCL, fundiu um cluster de threat intelligence e um vocabulário de etiquetas com IDs de regras. A Gen Digital, empresa-mãe da Norton, Avast e AVG, também integrou as regras.

Um episódio destacado pelo projeto ilustra a velocidade do ciclo. A 7 de maio de 2026, a MSRC publicou duas CVEs no Semantic Kernel da Microsoft — uma RCE via lambda+eval e uma escrita de ficheiro autostart. A 11 de maio, o Microsoft Copilot SWE Agent abriu um pull request com testes de regressão que presumiam detecção por ATR. Duas horas e dezasseis minutos depois, as regras ATR-2026-00440 e ATR-2026-00441 foram aprovadas, publicadas no npm e lançadas no GitHub.

Cobertura e métricas de avaliação

O projeto publica números de benchmark fixados por versão, com dados reprodutíveis. Contra o corpus de jailbreaks in-the-wild do NVIDIA garak, regista 98% de recall. No conjunto mais amplo que cobre todas as famílias de probes do garak, o recall cai para 38,5%. No hackaprompt atinge 66%.

Vários corpora produzem números baixos, e o projeto regista-os sem ocultação. AdvBench mostra 1,3% de recall, HarmBench 2,5% e JailbreakBench 5%. Dois conjuntos adversariais académicos — PromptBench e PromptInject — registam 0%. Adam Lin explicou que cada regra nestas avaliações passou os seus próprios testes de verdadeiros positivos e negativos. A divisão resulta do que a camada de regex consegue detectar: padrões estruturados ficam ao seu alcance, ataques parafraseados e reformulados semanticamente não.

As regras individuais transportam referências a CVEs específicos, incluindo falhas recentes no Semantic Kernel da Microsoft, Spring AI, LiteLLM e Claude Code. A exfiltração de dados via MCP envenenado, já documentada por investigadores da Microsoft, enquadra-se nas categorias de tool poisoning e context exfiltration que ATR aborda.

Integração no ecossistema

ATR oferece múltiplas formas de integração. Um GitHub Action analisa repositórios em cada pull request e publica resultados em formato SARIF no separador de segurança. Uma imagem Docker permite scans sem instalação. Um servidor MCP liga o motor a clientes como Claude Code, Cursor e Windsurf. O projeto exporta ainda regras para Splunk SPL e Elasticsearch Query DSL, permitindo a SIEMs existentes consumir o catálogo.

O subprojeto ATD — Agentic Threat Detection — funciona como catálogo de técnicas: enumera 80 técnicas de ataque distribuídas por 9 táticas, cada uma mapeada para MITRE ATLAS, OWASP ASI e CWE. A distinção é deliberada: ATD nomeia ameaças conhecidas, as regras ATR detectam-nas. Um estudo sobre skills maliciosos de IA demonstrou que 90% dos scanners falham em detectar payloads ocultos — precisamente o problema que ATR tenta resolver com o seu catálogo de 45 regras de skill compromise.

O formato passa por um processo de normalização. O projeto publicou documentação preliminar para submissão a um projeto Open da OASIS, incluindo uma proposta de comité técnico de nove lugares. Nenhuma estrutura proposta está ratificada — o formato de regras, o pacote npm e o motor TypeScript mantêm-se inalterados.

O que fazer agora

Equipas que operam agentes de IA devem instalar o motor via npm install agent-threat-rules e executar scans em ficheiros de configuração MCP e SKILL.md. Integração em CI com SARIF permite gating automatizado em cada alteração de código. O projeto recomenda combinar ATR com execução em sandbox, mediação de credenciais e revisão humana para ações de alto impacto — a camada de regex detecta padrões estruturados, mas não substitui as outras camadas de defesa.