新闻速读:MITRE推出“GenAI ATT&CK Matrix 1.0”
10月8日,MITRE在波士顿举行的AI安全峰会上正式发布“GenAI ATT&CK Matrix 1.0”,这是针对生成式AI系统的首个完整攻防知识体系。矩阵覆盖12个战术、82个技术和220个子技术,涵盖模型供应链、推理服务、插件生态、用户交互等环节。MITRE与OpenAI、Anthropic、Google DeepMind、百度、华为、微软等20家企业合作提供案例。与此同时,MITRE开放“Atlas”平台的新模块,允许安全团队上传模型攻防数据,协作更新矩阵。
矩阵亮点:从模型窃取到输出操纵
GenAI ATT&CK将攻击流程分为两个阶段:模型生命周期安全与推理运营安全。
- 模型生命周期:涉及数据投毒、模型窃取、权重供应链污染、训练基础设施入侵、RLHF污染等技术。
- 推理运营:覆盖Prompt注入、越狱、上下文污染、插件滥用、内容过滤绕过、模型链条劫持、Agent滥用。
矩阵还新增“人因战术”,记录攻击者通过社工、心理操纵让人类操作员放宽限制的案例。MITRE提供“防御指南”,将模型卡、对齐评估、可解释性工具、内容审核策略映射到攻防技术。
安全运营转型:从日志到模型“行为监控”
矩阵强调“模型行为遥测”是防御核心。安全运营中心(SOC)需要收集Prompt、上下文、生成结果、调用链、反馈评分等数据,构建AI特定的检测规则。同时,矩阵倡导构建“模型版蓝队演练”,模拟越狱、上下文污染攻击。对企业而言,模型安全将不再是研究话题,而是需要纳入SOC日常。
企业行动:构建GenAI安全能力体系
- 资产盘点:建立模型清单,包含训练数据、部署环境、依赖组件、第三方插件。
- 攻防演练:参考矩阵设计红队场景,如Prompt注入、插件滥用、参数窃取,并评估防御效果。
- 监控与响应:在SIEM/XDR中新增模型遥测,使用MITRE的映射规则写入检测策略;建立模型响应手册。
- 供应链治理:与模型供应商、云服务商签署安全条款,要求提供安全测试报告、权重签名。
实施难点:数据留存与隐私权衡
引入模型遥测意味着要保存Prompt、生成结果、上下文信息,但这些数据可能包含敏感内容或个人信息。企业需要结合数据最小化原则,设计分级留存策略,确保在满足检测需求的同时不违反隐私法规。MITRE建议对敏感字段进行差分隐私处理,并对高风险Prompt实施加密存储。另一方面,安全团队必须与法律、合规合作,明确如何在调查事件时调取数据、多久删除,避免引发新的合规风险。
实战案例:某云服务商的矩阵落地
一家全球云服务商在推出AI文档助手时,将GenAI ATT&CK映射到内部SOC流程。团队首先构建模型资产清单,标记训练数据来源和安全策略;然后在Atlas平台贡献实际的越狱案例,编写自定义规则。当检测到异常Prompt(如“忽略所有指令”“模拟管理员”)时,SOC会自动触发“内容审核+人工复核”。上线三个月后,平台成功拦截多起试图绕过风控生成钓鱼邮件的请求,平均响应时间也缩短至20分钟。
结语:AI安全需要系统化的攻防知识
GenAI ATT&CK Matrix提供了通用语言和结构化框架。越早把矩阵融入安全运营,越能在生成式AI的风险中保持主动。
