MITRE ATLAS: O Que É e Como Proteger Sistemas de IA

Resumo:

• O MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) é o framework de referência global para ameaças a sistemas de IA e machine learning, desenvolvido pela MITRE Corporation, a mesma organização por trás do ATT&CK.
• Na versão atual (v5.1.0, de novembro de 2025), o framework documenta 16 táticas, 84 técnicas, 56 subtécnicas, 32 mitigações e 42 casos reais de ataques a sistemas de IA.
• O ATLAS não substitui o ATT&CK, ele é um complemento para cobrir a superfície de ataque específica de modelos de IA, como data poisoning, prompt injection, model evasion e model theft, entre outras.
• Em 2025, os ataques a sistemas de IA cresceram exponencialmente. O ATLAS é o vocabulário padrão para descrever e rastrear esses ataques.
• As principais aplicações práticas do ATLAS são: threat modeling de sistemas de IA, red team de LLMs e modelos de ML, e construção de defesas contra ameaças.
• A Vantico aplica o ATLAS em pentests de IA e LLM para mapear vetores de ataque específicos de modelos, identificar falhas que ferramentas convencionais não cobrem e gerar evidências para compliance.

Sua organização implantou um modelo de IA em produção. Ele processa documentos, responde clientes, analisa transações ou toma decisões automatizadas. Os controles de segurança que protegem sua infraestrutura convencional, os firewalls, EDR e SIEM, estão todos ativos.

Mas eles foram construídos para proteger redes, endpoints e aplicações. Nenhum deles entende o que significa envenenar um dataset de treinamento, manipular um modelo por injeção de prompt ou extrair informações sensíveis via queries sistemáticas à API de inferência. 

Quando você implementa IA, abre uma superfície de ataque que o MITRE ATT&CK não mapeia e que a maioria dos times de segurança ainda não sabe avaliar.

O MITRE ATLAS é o framework construído para preencher esse gap. Assim como o ATT&CK se tornou a linguagem padrão para descrever ataques a sistemas convencionais, o ATLAS está se tornando o vocabulário padrão para ataques a sistemas de IA, com a diferença de que o tempo para adoção é muito mais curto, porque os ataques estão acontecendo agora.

Este artigo é para profissionais que já usam ou planejam usar a IA na produção e precisam entender como avaliar e defender esses sistemas.

O que é o MITRE ATLAS?

O MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) é uma base de conhecimento de táticas, técnicas e procedimentos (TTPs) usados por adversários para atacar sistemas de IA e machine learning. 

Desenvolvido pela MITRE Corporation, a mesma organização por trás do ATT&CK, o ATLAS foi lançado em junho de 2021 e é atualizado continuamente com base em incidentes reais documentados. O objetivo do framework é oferecer às equipes de segurança uma estrutura padronizada para entender, detectar e defender sistemas de IA contra ameaças.

Para profissionais já familiarizados com o ATT&CK, o ATLAS representa uma extensão natural para o domínio de IA. A lógica é a mesma: as táticas representam os objetivos do adversário, as técnicas representam como esses objetivos são atingidos, e as subtécnicas detalham variações específicas. 

O que muda é o alvo: em vez de redes e endpoints, o ATLAS documenta ataques contra modelos de ML, pipelines de treinamento, APIs de inferência e sistemas de agentes autônomos.

Por que o ATLAS foi criado?

Quando o ATT&CK foi desenvolvido, os sistemas de IA não faziam parte relevante da infraestrutura corporativa. Os ataques já documentados no ATT&CK, como o comprometimento de credenciais, a exploração de vulnerabilidades de softwares, a movimentação lateral em redes, não cobrem ameaças específicas de como modelos de ML funcionam.

O ATLAS documenta esses vetores com o mesmo rigor com que o ATT&CK documentou os vetores tradicionais.

Como o MITRE ATLAS está estruturado?

O ATLAS é organizado em uma matriz com a mesma lógica do ATT&CK: as táticas representam os objetivos de alto nível do adversário, as técnicas descrevem como esses objetivos são atingidos e as subtécnicas detalham as variações específicas de cada técnica.

Números da versão atual: v5.1.0 (novembro de 2025)

• 16 táticas
• 84 técnicas
• 56 subtécnicas
• 32 mitigações
• 42 casos reais documentados

O crescimento foi expressivo: a versão anterior (outubro de 2025) tinha 15 táticas e 66 técnicas. A atualização de fevereiro de 2026 (v5.4.0) adicionou novas técnicas focadas em AI Agents. Esse ritmo reflete a aceleração dos ataques documentados.

As táticas do ATLAS

As táticas cobrem o ciclo completo do ataque a sistemas de IA, da fase de preparação ao impacto final:

• Reconhecimento: coleta de informações sobre o sistema de IA alvo (arquitetura, dados de treinamento, APIs expostas).
• Desenvolvimento de Recursos: preparação da infraestrutura para conduzir o ataque.
• Staging de Ataque: preparação específica para ataques de ML, que criam inputs adversariais, datasets envenenados, modelos proxy.
• Acesso Inicial: exploração de APIs de modelo, comprometimento da cadeia de suprimentos de ML e obtenção de credenciais.
• Execução de ML: execução do ataque contra o modelo ou o pipeline.
• Persistência: manutenção de acesso ou influência maliciosa no sistema ao longo do tempo.
• Evasão de Defesa: técnicas para evitar detecção por sistemas de monitoramento de IA.
• Acesso a Credenciais: obtenção de credenciais de interfaces de gerenciamento de modelos.
• Descoberta: mapeamento da arquitetura do sistema de IA e dos dados que ele processa.
• Coleta: extração de datasets de treinamento, parâmetros de modelo ou outputs sensíveis.
• Staging de Ataque (fase de execução): adaptação dos artefatos preparados ao alvo específico.
• Exfiltração: roubo de modelos, dados de treinamento ou informações sensíveis via outputs.
• Impacto: manipulação do modelo para produzir outputs maliciosos ou interrupção do serviço.
• AI Agent Tactics (adicionadas em outubro de 2025): táticas específicas para agentes autônomos, como Context Poisoning, Memory Manipulation, Thread Injection.

Atualização de outubro de 2025: AI Agents

Em colaboração com o Zenity Labs, o MITRE adicionou, em outubro de 2025, 14 novas técnicas e subtécnicas focadas especificamente em AI Agents, sistemas autônomos que interagem com dados externos, ferramentas e APIs. As principais adições incluem:

• Agent Context Poisoning: manipulação do contexto usado pelo LLM de um agente para influenciar persistentemente suas respostas ou ações.
• Memory Manipulation: alteração da memória de longo prazo de um LLM para garantir que mudanças maliciosas persistam entre sessões.
• Thread Injection: inserção de instruções maliciosas em uma thread de conversa específica para alterar o comportamento durante aquela sessão.

As principais categorias de ameaça documentadas no ATLAS

O ATLAS organiza as ameaças a  sistemas de ML em quatro categorias de ataque documentadas pelo NIST. Cada uma representa um vetor de ataque distinto, com lógica e mitigações diferentes.

Data Poisoning 

O atacante insere exemplos maliciosos no dataset de treinamento antes ou durante o processo de fine-tuning do modelo. O modelo treinado com dados envenenados se comporta normalmente na maioria das entradas, mas produz outputs controlados pelo atacante em condições específicas, chamadas de trigger conditions.

Data poisoning é especialmente relevante para modelos continuamente treinados com dados externos: pipelines de RAG, modelos de detecção que aprendem com novos dados em produção e sistemas de recomendação que incorporam feedback dos usuários. Qualquer sistema com uma fronteira permeável entre dados externos e dados de treinamento é um candidato a esse vetor.

Um dos casos documentados no ATLAS é a campanha ShadowRay (2024). Esse foi o primeiro ataque público conhecido visando diretamente cargas de trabalho de IA em produção. 

O ataque explorou vulnerabilidades no framework Ray para comprometer infraestrutura de ML, demonstrando que os alvos de ataques sofisticados já incluem o pipeline de IA, não apenas os sistemas ao redor.

Prompt Injection

Manipulação do comportamento de um LLM por meio das instruções inseridas no input. Existem duas variantes principais documentadas no ATLAS:

• Direct Prompt Injection: o usuário insere instruções diretamente no prompt para contornar as diretrizes do sistema, exfiltrar informações ou forçar outputs não autorizados.
• Indirect Prompt Injection: instruções maliciosas são inseridas em dados externos que o modelo processa: documentos, e-mails, páginas web, resultados de busca. O modelo as executa sem que o usuário tenha inserido nada diretamente.

O caso Morris II Worm, documentado no ATLAS, demonstra o potencial do indirect prompt injection em escala: o worm injeta instruções maliciosas por meio de contexto de e-mail coletado por um sistema RAG, sem qualquer interação do usuário, e exfiltra informações pessoais (PII) automaticamente. 

Com a adição das técnicas de AI Agents em outubro de 2025, o ATLAS passou a documentar variantes adicionais: Thread Injection e Agent Context Poisoning, relevantes para qualquer sistema baseado em agentes autônomos com acesso a ferramentas externas.

Evasão de Modelo

O atacante manipula o input para enganar o modelo e fazer com que ele produza uma saída incorreta, sem necessidade de acesso ao modelo, aos dados de treinamento ou à infraestrutura. A manipulação ocorre inteiramente na camada de input.

O caso mais documentado no ATLAS é o bypass de sistemas de detecção de malware baseados em ML: adversários aplicam perturbações para criar variantes de malware que o modelo classifica como benignas, mantendo a funcionalidade maliciosa intacta. 

O caso AML.CS0003 no ATLAS detalha exatamente esse ataque e tem implicações diretas para os times de segurança: os modelos de detecção de ameaças podem ser contornados por adversários mesmo sem exploração de nenhuma CVE.

Os sistemas de detecção de ameaças baseados em ML, como EDRs, sistemas antifraude e classificadores de e-mail, são alvos frequentes de evasão. O ATLAS documenta as técnicas de perturbação e as mitigações correspondentes, incluindo diversidade de modelos e validação de input.

Model Theft 

O atacante reconstrói uma cópia funcional de um modelo proprietário por meio de queries sistemáticas à API pública, sem acesso direto aos pesos, ao código ou à infraestrutura. Com volume suficiente de inputs e outputs, é possível treinar um modelo substituto que replica o comportamento do original.

As implicações são duplas: de propriedade intelectual (modelos custam milhões para treinar e representam vantagem competitiva) e de segurança (o modelo clonado pode ser usado para desenvolver ataques mais eficientes contra o original, já que o adversário pode testar técnicas de evasão offline antes de aplicá-las ao modelo real). O ATLAS documenta técnicas de model extraction que vão de queries simples a abordagens sofisticadas com modelos proxy.

Supply Chain de ML 

Diferentes dos vetores anteriores que atacam o modelo diretamente, os ataques de supply chain comprometem dependências do pipeline de ML antes que o modelo seja implantado. O ATLAS adicionou dois casos documentados recentes que ilustram esse vetor:

• MCP Server Compromise (janeiro de 2026): ataque contra a infraestrutura de Model Context Protocol, protocolo que permite a agentes de IA interagir com ferramentas e APIs externas. Comprometer o MCP server permite injetar dados maliciosos na cadeia de contexto de agentes.
• LiteLLM Supply Chain (março de 2026): comprometimento de dependência de software amplamente usado em pipelines de LLM, demonstrando que o risco de supply chain de ML é tão real quanto o de supply chain de software convencional.
• Organization Confusion no Hugging Face: ataque de confusão de nomes em repositórios de modelos, similar ao typosquatting em repositórios de pacotes. Modelos maliciosos publicados com nomes similares a modelos legítimos são baixados e integrados a pipelines de produção.

MITRE ATLAS vs. MITRE ATT&CK: qual a diferença?

Os dois frameworks são complementares, não concorrentes, porque enquanto o ATT&CK cobre a ameaça ao sistema, o ATLAS cobre a ameaça ao modelo que roda dentro desse sistema.

Um ataque real raramente é apenas ATT&CK ou ATLAS. O caso Financial Transaction Hijacking do M365 Copilot, documentado no ATLAS, começou com um acesso inicial a uma conta mapeável no ATT&CK e terminou com a manipulação do assistente de IA para executar transferências financeiras não autorizadas.

Como aplicar o MITRE ATLAS

O valor do ATLAS é operacional, com três aplicações práticas imediatas para equipes de segurança e equipes de engenharia de ML.

Threat modeling de sistemas de IA

O processo começa pelo mapeamento da superfície de ataque do sistema de IA: pipeline de treinamento, infraestrutura de serving, API de inferência, banco de vetores (para sistemas RAG), integração de ferramentas de agentes autônomos. Cada componente mapeia para um subconjunto de técnicas ATLAS.

Ao mapear quais técnicas do framework se aplicam a cada componente e verificar se existem controles ativos para detectá-las ou mitigá-las, o ATLAS oferece um mapa de cobertura que identifica quais vetores estão protegidos e quais estão expostos, em uma linguagem que tanto o time de segurança quanto o time de ML entendem.

O ATLAS Navigator, equivalente ao ATT&CK Navigator para IA, permite visualizar esse mapa e exportá-lo para documentação e auditorias.

O ideal é que a Modelagem de Ameaças seja feita durante o planejamento ou arquitetura de novos sistemas/funcionalidades; antes do ambiente entrar em produção; quando houver mudanças significativas na infraestrutura; e sempre que detectar um novo tipo de ameaça no cenário externo. Clique aqui e entenda mais sobre Modelagem de Ameaças.

Red team de LLMs e modelos de ML

O ATLAS funciona como guia de escopo para exercícios de red team em IA. Na prática, isso significa selecionar as técnicas de Staging (onde o adversário prepara os ataques: payloads de prompt injection, datasets envenenados, inputs adversariais) e de Execução, e simular cada uma contra o sistema real em condições controladas.

Um exercício de red team mapeado ao ATLAS funciona como demonstração de quais táticas adversariais o sistema resiste e quais ele não resiste, com as técnicas documentadas no vocabulário do framework. Isso facilita a comunicação com o board e com reguladores, e cria evidências auditáveis.

Clique aqui para descobrir tudo o que você precisa saber sobre red team.

Pentest de IA e LLM com a Vantico

A Vantico aplica o ATLAS como estrutura de escopo e documentação em pentests de IA e LLM. O processo começa com o mapeamento do sistema: quais componentes existem, quais técnicas ATLAS são aplicáveis a cada um, e quais serão testadas dentro do escopo acordado.

Durante o teste, cada vetor explorado, como prompt injection direto e indireto, tentativas de extração de dados de treinamento e testes de evasão de guardrails, é documentado com a referência da técnica ATLAS correspondente. 

O relatório final entrega dois produtos: um relatório técnico com as vulnerabilidades encontradas mapeadas ao ATLAS e um relatório executivo que contextualiza o risco para o negócio.

O pentest manual é o que diferencia esse processo de uma avaliação automatizada. As ferramentas de scan não entendem lógica de negócio de sistemas de IA, não encadeiam falhas e não adaptam os ataques ao contexto específico do modelo testado. 

O raciocínio humano do pentester é que encontra as vulnerabilidades.

Compliance e regulamentação

O ATLAS está se tornando referência em frameworks regulatórios de IA. O NIST AI RMF refere-se ao ATLAS como ferramenta para avaliação de riscos adversariais em sistemas de IA. 

Empresas que precisam demonstrar controles de segurança em sistemas de IA para auditorias, seja por exigência contratual de clientes ou por regulamentações setoriais, se beneficiam de ter o red team e o threat modeling documentados com a linguagem padronizada do ATLAS.

À medida que regulamentações de IA avançam globalmente (EU AI Act, diretrizes do Banco Central para uso de IA em serviços financeiros, requisitos de LGPD aplicados a sistemas de decisão automatizada), a capacidade de demonstrar avaliação estruturada se tornará um diferencial de compliance.

Qualquer IA em produção sem uma avaliação é uma superfície de ataque não mapeada. O MITRE ATLAS documenta o que os adversários já sabem e estão usando, e oferece às equipes de defesa um vocabulário e uma estrutura para responder.

A diferença entre o ATLAS e outros frameworks de segurança de IA é que ele é baseado em incidentes reais: os 42 casos documentados na versão atual não são cenários teóricos. São ataques que aconteceram contra sistemas reais, com as técnicas que os adversários usaram e as mitigações que funcionaram. 

Assim como o ATT&CK mudou como times de segurança avaliam e comunicam ameaças tradicionais, o ATLAS está fazendo o mesmo para a IA. 

Se sua organização já usa IA em produção e ainda não mapeou sua superfície de ataque, a Vantico pode ajudar. Nossos pentests de IA e LLM são estruturados com base no ATLAS e entregam evidências auditáveis de quais vetores foram testados e como seu sistema respondeu.

Clique aqui para falar conosco e saber mais.

Perguntas frequentes sobre o MITRE ATLAS

O que é o MITRE ATLAS?

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) é uma base de conhecimento de táticas, técnicas e procedimentos (TTPs) usados por adversários para atacar sistemas de IA e machine learning. 

Desenvolvido pela MITRE Corporation, a mesma organização por trás do ATT&CK, foi lançado em junho de 2021 e é atualizado continuamente com base em incidentes reais. Na versão atual (v5.1.0, novembro de 2025), documenta 16 táticas, 84 técnicas, 56 subtécnicas, 32 mitigações e 42 casos reais.

Qual a diferença entre MITRE ATLAS e MITRE ATT&CK?

O ATT&CK documenta táticas e técnicas de adversários focados em sistemas e redes convencionais, como endpoints, identidade e nuvem. O ATLAS é um complemento que cobre a superfície de ataque específica de sistemas de IA e machine learning: data poisoning, prompt injection, model evasion e model theft, entre outras. 

Os dois frameworks não são concorrentes: um ataque real frequentemente usa técnicas do ATT&CK na fase de comprometimento inicial e técnicas do ATLAS na fase de exploração do modelo.

Quais são as principais táticas documentadas no MITRE ATLAS?

O ATLAS v5.1.0 organiza 16 táticas que cobrem o ciclo completo do ataque: Reconhecimento, Desenvolvimento de Recursos, Staging de Ataque, Acesso Inicial, Execução de ML, Persistência, Evasão de Defesa, Acesso a Credenciais, Descoberta, Coleta, Exfiltração e Impacto,  além de táticas específicas para AI Agents adicionadas em outubro de 2025, como Agent Context Poisoning, Memory Manipulation e Thread Injection.

O que é data poisoning e como o MITRE ATLAS documenta esse ataque?

Data poisoning é um ataque em que o adversário insere exemplos maliciosos no dataset de treinamento, fazendo com que o modelo aprenda comportamentos controlados pelo atacante para inputs específicos (trigger conditions). 

O ATLAS documenta variantes desse ataque, incluindo backdoor poisoning (o modelo se comporta normalmente exceto quando o trigger está presente) e targeted poisoning (o modelo é manipulado para classificar incorretamente alvos específicos). Sistemas com pipelines de treinamento contínuo com dados externos, exemplo de RAG, modelos de detecção em produção, são os mais vulneráveis.

Como usar o MITRE ATLAS para proteger um sistema de LLM?

O processo começa com threat modeling: mapear os componentes do sistema (API de inferência, pipeline de RAG, integração de ferramentas do agente) e identificar quais técnicas ATLAS são aplicáveis a cada um. Em seguida, avaliar quais vetores têm mitigações ativas e quais estão expostos. Para os expostos, definir controles, como validação de input, monitoramento de outputs anômalos, guardrails de prompt. Por fim, validar as mitigações com exercícios de red team estruturados com base nas técnicas ATLAS relevantes para o escopo.

O MITRE ATLAS é obrigatório para compliance?

Ainda não existe uma obrigatoriedade formal que exija especificamente o ATLAS. Mas o NIST AI RMF já o menciona como ferramenta para avaliação de riscos, e regulamentações de IA em avanço globalmente, incluindo o EU AI Act e diretrizes de bancos centrais para uso de IA em serviços financeiros, tendem a exigir evidências de avaliação estruturada. 

Usar o ATLAS para documentar red team e threat modeling cria evidências auditáveis que antecipam esses requisitos.

Como fazer red team de IA usando o MITRE ATLAS?

Red team de IA com ATLAS começa pela seleção das técnicas relevantes para o sistema em escopo, não é necessário testar todas as 84 técnicas, mas as aplicáveis à superfície de ataque mapeada. 

Em seguida, desenvolver os artefatos de ataque correspondentes às técnicas de Staging: payloads de prompt injection, datasets com exemplos adversariais, queries de extração de modelo. 

Executar os ataques contra o sistema real em ambiente controlado, documentar os resultados com referência às técnicas ATLAS e gerar um relatório de cobertura, abordando as técnicas testadas, quais o sistema resistiu e quais requerem mitigação.