Organizations deploying artificial intelligence face a new frontier of security threats that traditional frameworks were never designed to address. AI-enabled adversary attacks surged 89% compared to prior years according to industry threat intelligence research, up from a 72% increase reported in 2025. This escalation demands a structured approach to understanding and defending against adversarial threats to AI systems. Enter MITRE ATLAS — the Adversarial Threat Landscape for Artificial-Intelligence Systems — a comprehensive adversarial ML knowledge base designed specifically to catalog how attackers target machine learning and AI systems.
Für Sicherheitsteams, die bereits mit MITRE ATT&CKvertraut sind, bietet ATLAS (in Suchmaschinen manchmal als Atlas MITRE bezeichnet) eine natürliche Erweiterung in den Bereich der KI-Sicherheit. Dieser Leitfaden enthält alles, was Sicherheitsanalysten, SOC-Leiter und KI-Ingenieure benötigen, um ATLAS gegen feindliche KI-Angriffe einzusetzen – von den Grundlagen des Frameworks bis hin zu praktischen Erkennungsstrategien.
MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) is a globally accessible adversarial ML knowledge base that documents adversary tactics, techniques, and procedures (TTPs) specifically targeting artificial intelligence and machine learning systems. Modeled after the widely adopted MITRE ATT&CK framework, this adversarial AI knowledge base provides security teams with a structured approach to understanding, detecting, and defending against AI-specific threats. The MITRE ATLAS framework serves as the definitive machine learning security framework for AI threat modeling.
As of version 5.1.0 (November 2025), the framework contains 16 tactics, 84 techniques, 56 sub-techniques, 32 mitigations, and 42 real-world case studies according to the official MITRE ATLAS CHANGELOG, up from 15 tactics and 66 techniques in October 2025. The February 2026 update (v5.4.0) added further agent-focused techniques. This rapid growth reflects the accelerating evolution of AI threats.
Adversarial Machine Learning – die Untersuchung von Angriffen auf maschinelle Lernsysteme und Abwehrmaßnahmen dagegen – umfasst laut NIST vier Hauptkategorien von Angriffen: Umgehungs-, Vergiftungs-, Datenschutz- und Missbrauchsangriffe. ATLAS organisiert diese Angriffsmuster in einer Matrixstruktur, die Sicherheitsexperten sofort nutzen können.
MITRE hat ATLAS entwickelt, um eine kritische Lücke in der Sicherheitslandschaft zu schließen. ATT&CK katalogisiert zwar effektiv Bedrohungen für traditionelle IT- und OT-Infrastrukturen, deckt jedoch keine Angriffe ab, die die besonderen Eigenschaften von Machine-Learning-Systemen ausnutzen. ATLAS füllt diese Lücke, indem es denselben rigorosen, von der Community validierten Ansatz für KI-Bedrohungsinformationen bietet.
Das Framework ist auch mit MITRE D3FEND, das defensive Gegenmaßnahmen bereitstellt, die Unternehmen gegen ATLAS-Techniken einsetzen können.
Das Verständnis des Unterschieds zwischen ATLAS und ATT&CK hilft Sicherheitsteams dabei, zu entscheiden, wann welches Framework anzuwenden ist.
Tabelle: Vergleich der Frameworks MITRE ATT&CK MITRE ATLAS
ATLAS übernimmt 13 Taktiken aus ATT&CK – darunter Aufklärung, Erstzugriff, Ausführung und Exfiltration –, wendet diese jedoch speziell auf KI-Kontexte an. Die beiden KI-spezifischen Taktiken, die es nur bei ATLAS gibt, sind:
AML.0004): Beschreibt, wie Angreifer über Inferenz-APIs oder direkten Zugriff auf Artefakte Zugriff auf Ziel-ML-Modelle erhalten.AML.0012): Behandelt, wie Angreifer Angriffe auf ML-Modelle vorbereiten, einschließlich der Vergiftung von Trainingsdaten und Hintertür EinfügungSicherheitsteams sollten beide Frameworks zusammen verwenden, um eine umfassende Abdeckung zu gewährleisten – ATT&CK für traditionelle Infrastrukturbedrohungen und ATLAS für KI-spezifische Angriffsvektoren.
Die offizielle Wissensdatenbank MITRE ATLAS organisiert Bedrohungsinformationen anhand derselben Matrixstruktur, die auch ATT&CK so erfolgreich gemacht hat. Das Verständnis dieser Struktur ermöglicht eine effektive Erkennung von Bedrohungen und die Erstellung von KI-basierten Bedrohungsmodellen.
The MITRE ATLAS matrix (sometimes called the MITRE framework matrix for AI or the AI threat matrix) displays tactics as columns and techniques as rows. Each cell represents a specific method adversaries use to achieve tactical goals against AI systems. This visual organization allows security teams to quickly identify coverage gaps and prioritize defenses.
Die Framework-Komponenten arbeiten zusammen:
ATLAS-Daten sind im STIX 2.1-Format verfügbar, was eine maschinenlesbare Integration mit Sicherheitstools und -plattformen ermöglicht. Dieses standardisierte Format unterstützt die automatisierte Einbindung in Threat-Intelligence-Plattformen und SIEM-Systeme.
The framework receives regular updates through community contributions and MITRE's ongoing research. The October 2025 update through Zenity Labs collaboration added 14 new agent-focused techniques, followed by the November 2025 v5.1.0 release that expanded the framework to 16 tactics with 84 techniques. The February 2026 v5.4.0 update added further techniques including "Publish Poisoned AI Agent Tool" and "Escape to Host," demonstrating the framework's active evolution.
Taktiken, Techniken und Verfahren (TTPs) bilden das Kernvokabular der bedrohungsorientierten Verteidigung. In ATLAS:
AML.TXXXX.AML.0051) umfasst Untertechniken für direkte und indirekte Einspritzverfahren.Diese Hierarchie ermöglicht eine zunehmend detaillierte Bedrohungsmodellierung. Teams können mit einer Analyse auf Taktikebene beginnen und dann je nach Gefährdung ihres KI-Systems einen Drilldown zu bestimmten Techniken durchführen.
ATLAS organizes 84 techniques across 16 tactics that span the complete adversarial lifecycle, up from 15 tactics and 66 techniques in October 2025. This comprehensive breakdown addresses a significant content gap identified in competitor analysis — no existing guide covers all tactics with detection-focused guidance.
Table: MITRE ATLAS tactics with key techniques
The November 2025 v5.1.0 release added a 16th tactic — Command and Control (AML.0015) — along with 18 new techniques and 6 new mitigations focused on AI agent security controls. This brought the total from 66 to 84 techniques and from 33 to 42 case studies.
Der Angriffszyklus beginnt mit der Aufklärung, bei der Angreifer Informationen über die ML-Zielsysteme sammeln. Zu den wichtigsten Techniken gehören:
AML.0051): Gegner erstellen bösartige Eingaben, um das Verhalten von LLM zu manipulieren – dies entspricht OWASP LLM01.Diese KI-spezifischen Taktiken beschreiben, wie Angreifer mit ML-Modellen interagieren und diese ausnutzen:
Bedrohungsakteure erhalten sich den Zugriff und vermeiden die Entdeckung durch:
Taktiken in späteren Phasen konzentrieren sich auf das Erreichen der Ziele des Gegners:
AML.0020): Datenvergiftung verfälscht Trainingsdaten, um das Modellverhalten zu manipulieren – ein kritischer Datenexfiltration VektorDas Verständnis lateraler Bewegungsmuster hilft Sicherheitsteams dabei, die Vorgehensweise von Angreifern bei der Umsetzung dieser Taktiken nachzuvollziehen.
ATLAS bietet kostenlose, praktische Tools, die das Framework von einer Dokumentation in umsetzbare Sicherheitsfunktionen verwandeln. Dieses Tool-Ökosystem schließt eine große Lücke – nur wenige Mitbewerber decken diese Ressourcen umfassend ab.
Tabelle: Offizielles Tool-Ökosystem von MITRE ATLAS
Der ATLAS Navigator bietet eine interaktive Webschnittstelle zur Visualisierung der Framework-Matrix. Sicherheitsteams nutzen den Navigator für folgende Zwecke:
Navigator lässt sich in den ATT&CK Navigator integrieren und ermöglicht so eine einheitliche Ansicht beider Frameworks. Teams, die bereits den ATT&CK Navigator verwenden, werden sich sofort mit der ATLAS-Oberfläche vertraut fühlen.
Im März 2023 gaben Microsoft und MITRE ihre Zusammenarbeit an Arsenal bekannt – einem CALDERA-Plugin, das eine automatisierte Emulation von Angreifern gegen KI-Systeme ermöglicht. Arsenal implementiert ATLAS-Techniken, ohne dass dafür fundierte Kenntnisse im Bereich Deep Learning erforderlich sind.
Zu den wichtigsten Funktionen gehören:
Arsenal unterstützt threat hunting , indem es die Erkennungsreichweite anhand realistischer Angriffssimulationen validiert. Für Incident-Response-Teams hilft Arsenal dabei, die Fähigkeiten von Angreifern zu verstehen und Reaktionsverfahren zu testen.
Die AI Incident Sharing Initiative ermöglicht es Organisationen, Informationen über Sicherheitsvorfälle im Zusammenhang mit KI auszutauschen und daraus zu lernen. Diese gemeinschaftsorientierte Plattform bietet:
Diese Informationen fließen direkt in die ATLAS-Updates ein, sodass das Framework aktuelle Bedrohungsmuster widerspiegelt.
Sicherheitsteams fragen oft, welches KI-Sicherheitsframework sie einsetzen sollen. Die Antwort: Verwenden Sie alle drei, um sich gegenseitig zu ergänzen. Dieser Vergleich hilft Teams zu verstehen, wann sie welches Framework anwenden sollten, und beantwortet damit eine häufig gestellte Frage zu PAA.
Tabelle: Vergleich von KI-Sicherheitsrahmenwerken: ATLAS vs. OWASP vs. NIST AI RMF
Laut der Rahmenanalyse von Cloudsine dienen diese Rahmenwerke verschiedenen Phasen des KI-Sicherheitslebenszyklus:
Tabelle: Rahmenwerk-Crosswalk für häufige KI-Schwachstellen
Das Verständnis der Schwachstellen in allen drei Frameworks ermöglicht eine umfassende Abdeckung. Teams sollten ihre KI-Ressourcen den relevanten Techniken in jedem Framework zuordnen.
Die Integration von ATLAS in Sicherheitsabläufe erfordert die Zuordnung von Techniken zu Erkennungsfunktionen und Arbeitsabläufen. Laut dem SOC-Integrationsleitfaden von ThreatConnect lassen sich etwa 70 % der ATLAS-Abhilfemaßnahmen bestehenden Sicherheitskontrollen zuordnen. Die restlichen 30 % erfordern neue KI-spezifische Kontrollen.
Schritte zur SOC-Integration:
Eine effektive Erkennung erfordert die Zuordnung von ATLAS-Techniken zu bestimmten Protokollquellen und Erkennungslogiken.
Tabelle: Beispiel für die Zuordnung von Erkennungsmerkmalen für vorrangige ATLAS-Techniken
Netzwerkerkennungs- und Reaktionsfunktionen ergänzen die Erkennung auf Anwendungsebene. Die Analyse des Benutzer- und Entitätsverhaltens (UEBA) hilft dabei, anomale Zugriffsmuster auf KI-Systeme zu identifizieren.
Verfolgen Sie diese Kennzahlen, um die Operationalisierung von ATLAS zu messen:
Vierteljährliche Überprüfungen des Bedrohungsmodells stellen sicher, dass der Schutz mit den Aktualisierungen des Frameworks und neuen Bedrohungen Schritt hält.
ATLAS includes 42 case studies documenting real-world attacks against AI systems, up from 33 in October 2025. Analyzing these incidents provides actionable defensive insights that go beyond theoretical threat modeling.
Im November 2025 veröffentlichte MITRE ATLAS eine Fallstudie, in der Deepfake-Angriffe auf mobile KYC-Lebenszeichen-Erkennungssysteme (Know Your Customer) dokumentiert wurden. Laut einem Bericht von Mobile ID World richtete sich dieser Angriff gegen Banken, Finanzdienstleister und Kryptowährungsplattformen.
Verlauf der Angriffskette:
Aufklärung -> Ressourcenentwicklung -> Erster Zugriff -> Umgehung der Verteidigung -> Auswirkung
Defensive Empfehlungen:
Diese Fallstudie zeigt, wie Angreifer Social Engineering mit KI-Tools kombinieren, um Sicherheitskontrollen zu umgehen, was möglicherweise zu Datenverletzungen führen kann.
The SesameOp case study, added to ATLAS in late 2025, documents a novel backdoor technique that leverages AI assistant APIs for command and control. Instead of building traditional C2 infrastructure, adversaries repurposed legitimate agent service APIs as covert control channels — blending malicious activity into normal AI workflows. This attack pattern maps to the new AI Service API technique (AML.0096) and demonstrates how agentic AI infrastructure creates command and control channels that evade conventional network detection.
ATLAS expanded from 33 to 42 case studies between October 2025 and February 2026. Notable additions include:
Die HiddenLayer-Analyse der ATLAS-Fallstudie AML.CS0003 dokumentiert, wie Forscher ein ML-basiertes endpoint umgangen haben:
AI security threats require specialized detection approaches that go beyond traditional security controls. With AI-enabled adversary attacks surging 89% compared to prior years — up from a 72% increase in 2025 — organizations need proactive defense strategies.
Checkliste für die Sicherheit von KI:
Unternehmen sollten ihre Investitionen in KI-Sicherheit sowohl auf phishing (durch KI generiertes phishing rapide zu) als auch auf ransomware (KI ermöglicht komplexere Angriffe) abstimmen.
AML.0051)Prompt injection is the most prominent ATLAS technique, cataloged as AML.0051 under the Initial Access tactic. Large language models face unique attack vectors that traditional security cannot address, and ATLAS catalogs these threats systematically.
Tabelle: LLM-Bedrohungstypen mit ATLAS-Zuordnung und Erkennungsmethoden
Aktuelle CVEs zeigen diese Bedrohungen in der Praxis:
Funktionen zur Erkennung und Reaktion auf Identitätsbedrohungen helfen dabei, Versuche des Diebstahls von Anmeldedaten durch Ausnutzung von LLM zu erkennen.
Das ATLAS-Update vom Oktober 2025 befasst sich speziell mit autonomen KI-Agenten – Systemen, die Aktionen ausführen, auf Tools zugreifen und den Kontext über mehrere Sitzungen hinweg beibehalten können. Zu den neuen Techniken gehören:
AML.0058 KI-Agent-Kontextvergiftung: Einschleusen von schädlichen Inhalten in den Speicher oder Thread-Kontext des AgentenAML.0059 Aktivierungsauslöser: Einbettung von Triggern, die unter bestimmten Bedingungen aktiviert werdenAML.0060 Daten aus KI-Diensten: Extraktion von Informationen durch Abruf aus der RAG-DatenbankAML.0061 KI-Agent-Tools: Missbrauch des Zugriffs auf Agent-Tools für böswillige ZweckeAML.0062 Exfiltration über AI Agent Tool Invocation: Verwendung legitimer Tool-Aufrufe zum Extrahieren von DatenSicherheitsgrundsätze für KI-Agenten:
Gemäß den AI/OT-Leitlinien der CISA vom Dezember 2025 sollten Unternehmen Überwachungs- und Ausfallsicherungen für alle KI-Systeme einbauen, die in kritischen Umgebungen betrieben werden.
The Model Context Protocol (MCP) — an open standard for connecting AI agents to external tools and data sources — introduces attack surfaces that ATLAS now explicitly addresses. MCP exploits allow adversaries to manipulate the tool-calling layer between AI agents and enterprise systems, bypassing traditional security controls.
ATLAS techniques relevant to MCP security include:
AML.0061): Adversaries exploit MCP server configurations to invoke unauthorized tool actions or access restricted dataAML.0062): Attackers leverage legitimate MCP tool calls to extract sensitive data through sanctioned channelsAML.0096, added 2026): Exploiting AI orchestration APIs for stealthy command and controlThe January 2026 ATLAS update (v5.3.0) added three new case studies specifically covering MCP server compromises, indirect prompt injection via MCP channels, and malicious AI agent deployment. Security teams should validate all MCP server configurations, restrict tool permissions to least privilege, and monitor tool invocation patterns for anomalies.
Die KI-Sicherheitslandschaft entwickelt sich rasant weiter, wobei regulatorischer Druck und die Zusammenarbeit der Branche die Einführung von Rahmenwerken vorantreiben. Unternehmen müssen sich sowohl auf neue Bedrohungen als auch auf Compliance-Anforderungen vorbereiten.
The MITRE Secure AI Program, supported by 16 member organizations including Microsoft and JPMorgan Chase, focuses on expanding ATLAS with real-world observations and expediting AI incident sharing.
Regulatorische Entwicklungen:
AI security threats continue to accelerate, with 87% of organizations reporting AI-powered cyberattack exposure and 92% expressing concern over agentic AI security implications according to industry research.
Vectra AI's Attack Signal Intelligence methodology applies behavior-based detection principles that align with ATLAS framework objectives. By focusing on attacker behaviors rather than static signatures, organizations can detect the techniques cataloged in ATLAS — from prompt injection attempts to data exfiltration via inference APIs — across hybrid cloud environments.
Dieser Ansatz ermöglicht es Sicherheitsteams, echte KI-bezogene Bedrohungen zu identifizieren und zu priorisieren und gleichzeitig die Anzahl der Fehlalarme zu reduzieren. Die Kombination aus Netzwerküberwachung und -reaktion mit der Erkennung von Identitätsbedrohungen sorgt für Transparenz über die gesamte Angriffsfläche, auf die KI-Bedrohungen heute abzielen.
MITRE ATLAS provides the structured approach organizations need to defend AI systems against sophisticated adversaries. With 16 tactics, 84 techniques, and continuous updates reflecting emerging threats like agentic AI attacks and MCP exploits, the framework delivers actionable intelligence for security teams.
The rapid expansion from 15 tactics in October 2025 to 16 tactics and 84 techniques by February 2026 demonstrates ATLAS's commitment to keeping pace with AI evolution. As AI-assisted attacks continue to surge and regulatory requirements like the EU AI Act take effect, organizations cannot afford to treat AI security as an afterthought.
Start with these immediate actions:
For organizations seeking comprehensive AI security beyond framework adoption, Vectra AI's Attack Signal Intelligence provides behavior-based detection that identifies the adversary techniques ATLAS catalogs — enabling security teams to find and stop AI threats across hybrid environments.
MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) is a globally accessible knowledge base that catalogs adversary tactics, techniques, and case studies specifically targeting AI and machine learning systems. Modeled after MITRE ATT&CK, ATLAS provides a structured framework for understanding AI-specific threats. As of February 2026, it contains 16 tactics, 84 techniques, 56 sub-techniques, 32 mitigations, and 42 real-world case studies. Security teams use ATLAS for threat modeling, detection development, and red teaming AI systems. The framework is freely available at atlas.mitre.org.
Während ATT&CK sich auf traditionelle IT/OT-Bedrohungen konzentriert, befasst sich ATLAS speziell mit Angriffen auf KI- und maschinelle Lernsysteme. ATLAS umfasst zwei einzigartige Taktiken, die in ATT&CK nicht zu finden sind: ML Model Access (AML.0004) und ML-Angriffsstaging (AML.0012). Beide Frameworks verwenden dieselbe Matrixstruktur und TTP-Methodik, wodurch ATLAS für Sicherheitsteams, die bereits mit ATT&CK vertraut sind, zugänglich ist. Unternehmen sollten beide Frameworks gemeinsam nutzen – ATT&CK für Infrastrukturbedrohungen und ATLAS für KI-spezifische Angriffsvektoren. Die Frameworks haben gemeinsame Taktiken, wenden diese jedoch auf unterschiedliche technologische Kontexte an.
As of February 2026 (v5.4.0), MITRE ATLAS contains 16 tactics, 84 techniques, and 56 sub-techniques, up from 15 tactics and 66 techniques in October 2025. The November 2025 v5.1.0 update added a 16th tactic and expanded to 84 techniques, 32 mitigations, and 42 case studies. The February 2026 v5.4.0 update added further agent-focused techniques including "Publish Poisoned AI Agent Tool" and "Escape to Host." This represents significant growth from earlier versions — some older sources cite 56 or 66 techniques, which reflects pre-November 2025 counts. Always reference the official ATLAS CHANGELOG for current statistics.
Prompt injection (AML.0051) is an Initial Access technique where adversaries craft malicious inputs to manipulate LLM behavior. ATLAS distinguishes between direct prompt injection (malicious content in user input) and indirect prompt injection (malicious content embedded in external data sources the LLM processes). This technique maps to OWASP LLM01 and represents one of the most common attack vectors against LLM applications. Detection focuses on input pattern analysis and output behavior monitoring. Recent CVEs including CVE-2025-32711 (EchoLeak) demonstrate real-world exploitation.
Verwenden Sie ATLAS Navigator, um das Framework zu visualisieren und benutzerdefinierte Ebenen zu erstellen, die Ihre KI-Ressourcen den relevanten Techniken zuordnen. Beginnen Sie mit einer Bestandsaufnahme aller ML-Modelle, Trainingspipelines und KI-fähigen Anwendungen. Identifizieren Sie anhand der Systemarchitektur, welche Taktiken für Ihre ML-Pipeline-Phasen gelten. Priorisieren Sie Techniken anhand ihrer Exposition und Wahrscheinlichkeit. Ordnen Sie Erkennungsfunktionen zu, um Visualisierungen der Abdeckung zu erstellen. Integrieren Sie ATLAS in bestehende Methoden zur Bedrohungsmodellierung wie STRIDE und ATT&CK, um eine umfassende Abdeckung zu erzielen. Überprüfen und aktualisieren Sie die Bedrohungsmodelle vierteljährlich, während sich das Framework weiterentwickelt.
ATLAS offers several free tools. Navigator provides web-based matrix visualization for threat modeling and coverage mapping, with export capabilities in JSON, Excel, and SVG formats. Arsenal is a CALDERA plugin for automated AI red teaming, developed in collaboration with Microsoft. The AI Incident Sharing Initiative enables community threat intelligence sharing through anonymized incident reports. The AI Risk Database provides searchable incident and vulnerability information. All tools are accessible at atlas.mitre.org and through MITRE's GitHub repositories. These tools transform ATLAS from documentation into actionable security capabilities.
ATLAS and OWASP LLM Top 10 serve complementary purposes. ATLAS provides an adversary-centric TTP framework for threat modeling and detection, while OWASP offers a developer-centric vulnerability list for secure development. Use OWASP during development and code review phases; use ATLAS for operational security, threat modeling, and detection development. Many vulnerabilities appear in both frameworks with different perspectives — for example, prompt injection is ATLAS technique AML.0051 und OWASP LLM01. Der beste Ansatz kombiniert beide Frameworks mit NIST AI RMF für die Governance.
The MITRE ATLAS adversarial ML knowledge base is a structured repository of adversary tactics, techniques, sub-techniques, mitigations, and real-world case studies focused on attacks against AI and machine learning systems. As of February 2026 (v5.4.0), the knowledge base contains 16 tactics, 84 techniques, 56 sub-techniques, 32 mitigations, and 42 case studies. It is freely accessible at atlas.mitre.org and its data is available in STIX 2.1 format for machine-readable integration with security tools and threat intelligence platforms.
MITRE ATLAS case studies are documented real-world incidents where adversaries targeted AI and machine learning systems, mapped to specific ATLAS tactics and techniques. As of February 2026, ATLAS contains 42 case studies covering attacks ranging from deepfake-based KYC bypass and ML model evasion to AI agent backdoors and financial transaction hijacking through AI assistants. Notable examples include the iProov deepfake case study targeting mobile banking, the SesameOp AI agent backdoor (AML.CS0042), and MCP server compromise scenarios. Security teams use these case studies to understand real attack chains and validate detection coverage.
ATLAS Navigator provides an interactive web interface at atlas.mitre.org for visualizing the ATLAS matrix. To export coverage layers, create a custom layer by selecting relevant techniques and assigning scores based on your detection coverage. Navigate to Layer Controls and export in JSON format for programmatic use, Excel for analyst review, or SVG for visual reporting. Teams can combine multiple layers using score expressions (such as summing two layers) to visualize overlapping coverage or gaps. Navigator integrates with the ATT&CK Navigator, enabling unified views across both traditional and AI-specific threat frameworks.