每個國家都在建 Sovereign AI。
沒有一個國家在建 Sovereign AI Defense。
直到現在。

三分鐘快速理解：這件事到底在吵什麼

什麼是 AI Agent？ 跟 ChatGPT 不一樣，AI agent 是會自己做事的 AI 助理—— 它能打開網頁、在你的電腦上跑指令、花錢下單、傳 email、操作檔案。 它靠一種叫做 skill（技能）的外掛來擴充能力。 就像手機裝 App 一樣，開發者可以把 skill 發佈到公開平台，任何人都能下載安裝。

問題在哪？ 過去 3 個月，ATR 團隊掃了 96,096 個公開 skill， 發現 751 個是惡意的—— 偽裝成正當工具，裝下去會偷你的加密貨幣錢包、偷登入密碼、偷開發者 API key。

為什麼現在沒人管？ 因為沒有任何一個國家、任何一個標準、任何一個 App Store 審核機制， 專門在檢查這些 AI agent skill 是不是安全的。 你下載 iPhone App 有 Apple 審核、下載 Windows exe 有 Microsoft SmartScreen， 但下載 AI agent skill，什麼都沒有。

這份文件在提議什麼？ 過去網路安全界有幾個成功例子：CVE（全球漏洞編號）、YARA（惡意軟體檢測規則）、 Sigma（SIEM 檢測規則）—— 這些都是「開放、社群治理、任何國家都能採用」的公共標準。 這份文件提議：AI agent 安全也需要一個一樣的開放標準。 ATR 就是這個標準，而且已經被 Cisco、Microsoft、NVIDIA 的生產系統採用。

為什麼台灣？ 因為台灣具備四個同時存在的條件：每天 263 萬次攻擊（民主陣營最多）、 NVIDIA 亞太總部正在台北蓋、g0v 等全球最成熟的開放治理文化， 以及從社群到行政部門最短的決策鏈。 這四個條件同時具備的民主國家，全球只有台灣。

看完這段想深入看技術細節？繼續往下讀。 只想分享？跳到頁面最下方的分享按鈕。

Sovereign AI 為什麼是這個時代的國家命題

AI 不再只是「工具」，而是下一個時代的國家競爭力核心—— 誰控制 AI，就控制未來的經濟、軍事、外交與文化話語權。 過去 18 個月，民主陣營已簽下超過 100 億美元的 Sovereign AI 合約：

驅動力是主權焦慮——各國不希望關鍵資料與智慧跑到美國雲端， 也不願在關鍵時刻被外國平台關閉或審查。

每個國家都有了自己的 AI，卻沒有一個國家有自己的 AI Defense

這些國家都有了自己的模型、自己的算力。 但當這些 AI 變成 Agent——會自主行動、調度工具、串接 MCP、執行交易—— 沒有一套被廣泛接受的安全檢測標準。

目前的現實是：Sovereign AI 客戶的安全層，多由美國私企供應（閉源規則庫、黑盒模型）。 這製造了 Sovereign AI 本來要消除的依賴。 你可以擁有自己的 AI，卻得向外國私企購買防禦的知識——這樣的主權並不完整。

這個空白如果沒被民主陣營以開放標準填滿，就會被閉源方案、被地緣政治綁定的私人協議、或被對手陣營先補上。 這不是任一國家的問題，是全球民主 AI 基礎設施的集體命題。

ATR — 讓 Sovereign AI 有對應 Defense 的開放標準

MIT License · 314 條行為規則 · Protocol-agnostic · Behavioral-based。 從真實攻擊情資產生，對應 NVIDIA garak / OWASP Agentic / MITRE ATLAS 三大標準 taxonomy。 任何國家可採用，任何組織可貢獻，沒有地緣政治風險，沒有 vendor lock-in。

ATR 抓的是攻擊的行為意圖，不是字串特徵。 攻擊者改 prompt、改 payload、改包裝都沒用，因為偵測的是攻擊的因果結構。 每次攻擊都必須重新設計整條攻擊鏈，成本指數級上升。

Taxonomy 覆蓋率

這件事沒有從標準組織、大實驗室或大公司開始

43 天前，是一個跨領域創辦人——林冠辛（Adam Lin）， 看見一個具體的缺口，開始寫 code。

一個人、43 天、從 0 到 314 條規則、六個主要資安生態採用。

不是因為 ATR 完美——是因為這個缺口等得太久。 有人先把它做出來，而且做得夠公開、夠可驗證，下游的資安工具就願意接上。

我們已經準備好的東西

• ✓ 314 條規則。每一條都能在 GitHub 查到來源、測試、provenance 記錄。
• ✓ 攻擊 → 規則 pipeline。新攻擊樣本到規則發佈，72 小時內完成。
• ✓ 精準度公開驗證。97.1% recall · 0.20% false positive。
• ✓ 國際 taxonomy 對應。garak 32/32 · OWASP Agentic 7/10 · MITRE ATLAS 100/113 · SAFE-MCP 78/85。
• ✓ 治理流程。GOVERNANCE.md 公開、自動 safety gate、npm 自動推送到下游生態。
• ✓ 實戰證明。Cisco 生產環境 shipping、三個攻擊集團已通報並封鎖。

一個 CISO 的午後

走進任何一家銀行、醫院、或半導體廠的資安中心，你都會看到同樣的場景：整面牆的 Splunk dashboard、堆在角落的 SIEM 手冊、貼著「2018 — Sigma rules v3」「2021 — YARA family」的硬碟。

這不是該被丟掉的舊東西，是這個團隊 用 20 年攻防實戰親手養出來的偵測 IP ——每一條規則背後，都有一場真實事件、一段熬夜的調查、一個被擋下來的攻擊。

然後 AI Agent 時代來了。

第一個直接擺到資安長辦公桌上的問題就是：「我們這 20 年——還有用嗎？還是要全部丟掉重來？」

如果 Sovereign AI Defense 給不出這個問題的答案，沒有一個民主國家會真的編預算採購。

答案：還有用。它們是新時代攻擊的祖宗。

過去 20 年 SOC 抓 SQL injection 的經驗，在 AI Agent 時代不會消失——它只是換了個外殼，跑進了 reasoning chain。Command injection 不會消失，它跑進了 tool calls。SSRF 不會消失，它跑進了 MCP 連線。

攻擊面變了，攻擊的本質沒變。

ATR 因此必須做一件事：讓 SOC 過去累積的偵測知識，能直接銜接到 AI Agent 時代，不用打掉重練。

ATR Migrator — 不是抹掉重寫，是接續上去

ATR Migrator v0.1.0 就是為了回答這個問題而生。它做的事想法上很簡單—— 把舊規則自動翻譯成 ATR 格式的新規則初稿：

• → Sigma 規則：原本標記某個可疑的 PowerShell 命令模式 → 轉成「AI Agent 透過 tool 觸發 shell 時，相同模式仍然可疑」的 ATR 規則。
• → YARA 樣本特徵：變成「AI Agent 嘗試輸出或載入符合這些特徵的內容」的偵測。
• → Snort 網路偵測：變成 Agent MCP 流量上的同類偵測。
• → Splunk SPL / Elastic EQL：變成 ATR 規則 + 自動推導的攻擊變體。

第一版（v0.1.0）支援 15 種來源格式，涵蓋 SOC 既有的全部知識來源：CVE-NVD · GHSA · OSV · CISA KEV · NVIDIA garak · Microsoft PyRIT · promptfoo · Semgrep · CodeQL · Snort · Falco · Splunk SPL · Elastic EQL · Sigma · YARA。

為什麼必須是「品質流水線」而不是「直接轉檔」

自動翻譯聽起來很美好。但如果隨便轉個格式就交差，產出來的規則會帶大量誤報—— 這是任何被半夜誤報吵醒過的 SOC 都不能接受的。

所以 Migrator 不是 grep + sed。每條規則進來，都得通過 5 個關卡：

1. Parse        → 來源規則 → NormalizedRule 中介層
2. Variant gen  → 自動推導同源攻擊變體
3. FP sampler   → 432 條 benign 樣本中找出潛在誤報
4. Regex tighten → 多條件強化弱 pattern
5. Self-test    → strict 逐條件驗證 · 失敗即拒收

每條輸出規則，出貨前還必須通過 1,516 條真實越獄樣本的對抗檢驗（NVIDIA garak in-the-wild 666 + Lakera PINT 850）。沒過關的，拒收。

原則：寧可少出一條規則，也絕不容忍誤報吵到你的 SOC。

合規證據鏈——比規則本身還累的事，自動完成

如果你受 EU AI Act 管、正在為 NIST AI RMF 寫合規報告、或將要面對 ISO/IEC 42001 認證——你會知道一件事：寫合規證據比寫規則本身還累十倍。

Migrator 在轉換規則的同時，順便幫你把這件事一起做完：

• → EU AI Act：自動標註 Article 9（風險管理）/ Article 15（網路安全）對應條文。
• → NIST AI RMF：自動標註 Manage / Measure / Govern function 對應。
• → ISO/IEC 42001：自動標註 AI 管理系統條款對應。

也就是說——當你把既有 Sigma 規則丟進 Migrator——你拿回來的 不只是 AI Agent 偵測規則，是已經帶好 Article 15 cybersecurity-by-design 證據的偵測規則。法務部門看完直接點頭。

為什麼這三層對 Sovereign AI 是必要的

Sovereign AI 從來不只是「擁有自己的模型」這麼簡單。它代表的是——這個國家在 AI 時代裡， 不必把命運交給別人。

任何時候、任何地緣政治劇變、任何一家美國雲端廠商被政府命令斷服務——你的醫院還在運作、你的銀行還在運作、你的電網還在運作。

這需要三層東西。缺一個，就稱不上 sovereign：

ATR + Migrator + Compliance metadata 不是三個產品，是 Sovereign AI Defense 的 三項必要條件。今天已交付。任何民主國家——都可以採用、可以 fork 自己維護、可以零成本接到自己的 SOC 上。

已在全球主要資安生態中實際落地

單人發起 · Day 43 · 30+ ecosystem PRs 進行中 · Apache 2.0 學術版 · DOI 10.5281/zenodo.19178002

一個由社群治理的開放標準

ATR 不是單一實驗室或單一廠商的作品。每條規則都經過一條公開、可稽核的流程： pull request → 自動化 safety gate → 社群審核 → 合併 → npm publish。 治理規則寫在 GOVERNANCE.md；每條規則都有 provenance metadata； 任何貢獻者都可以挑戰、修正、或擴充 taxonomy。

如果這份倡議對你的組織有共鳴，有三個層次可以參與：

• → 貢獻規則：把你見過的 AI agent 攻擊樣本，轉成 ATR 格式的 YAML rule 提 PR
• → 貢獻 probe：定義新的攻擊類別，讓規則產出可以系統化覆蓋
• → 貢獻驗證：用真實攻擊 corpus 測 FP/Recall，找出規則盲點

開放治理本身就是 Sovereign AI Defense 必要的制度基礎—— 攻擊不是由單一實驗室定義、防禦也不應該由單一廠商決定。

為什麼台灣適合成為第一個示範部署（reference deployment）

台灣不會擁有這個標準，台灣只是率先採用它—— 像第一個採用 Linux 的銀行、第一個採用 OpenSSL 的政府。 這三個條件的組合，全球只有台灣同時具備：

讓這個缺口被更多人看見

這份宣言傳得多快，就決定下一個民主國家多快採納。轉發 = 縮短時間窗口。