Log in
Sign up
MITRE ATLAS AI threat framework illustration

Sections

MITRE ATLAS: das técnicas de ataque à IA aos controlos de conformidade

O essencial

  • O MITRE ATLAS é uma base de conhecimento aberta e em atualização contínua sobre o modo como os sistemas de IA são realmente atacados: 16 táticas e 84 técnicas extraídas de incidentes reais e de trabalho de red team.
  • O quadro estende a lógica do MITRE ATT&CK à superfície de ataque própria da aprendizagem automática, abrangendo ameaças como o envenenamento de dados, a evasão de modelos e a injeção de instruções que os padrões de segurança clássicos nunca nomearam.
  • O ATLAS, o OWASP LLM Top 10 e o NIST AI RMF são camadas complementares (ameaças, vulnerabilidades de aplicação, governação) e não padrões concorrentes.
  • As classes de ataque catalogadas pelo ATLAS são exatamente aquelas contra as quais o regulamento europeu da IA obriga a proteger os sistemas de risco elevado, o que faz do ATLAS uma fonte de provas de conformidade.
  • O ganho concreto cabe numa cadeia: ligar cada técnica do ATLAS a um controlo e a uma prova de auditoria dentro do seu programa de governação da IA.
Ilustração do quadro de ameaças de IA MITRE ATLAS

O que é o MITRE ATLAS?

MITRE ATLAS é a sigla de Adversarial Threat Landscape for Artificial-Intelligence Systems. A MITRE descreve-o como uma base de conhecimento de acesso mundial e viva sobre táticas e técnicas adversariais contra sistemas baseados em IA, construída a partir de observações de ataques reais e de demonstrações conduzidas por equipas de red team especializadas. Por outras palavras, é um mapa estruturado da forma como se ataca a IA, alimentado por incidentes que aconteceram de facto e não por receios teóricos. Na versão 5.4.0 (fevereiro de 2026), a matriz ATLAS reúne 16 táticas, 84 técnicas, 56 subtécnicas, 32 medidas de mitigação e 42 casos de estudo documentados. São casos tangíveis e não académicos: o contorno da verificação de identidade através de deepfake, a evasão de um modelo de aprendizagem automática, agentes de IA com portas dos fundos ou o desvio de transações financeiras através de assistentes de IA. O quadro existe porque a IA acrescenta uma superfície de ataque que os modelos de segurança tradicionais nunca foram concebidos para descrever. Um modelo pode ser corrompido durante o treino, enganado no momento da inferência ou interrogado até revelar os dados com que aprendeu. O ATLAS dá às equipas de segurança e de governação um vocabulário comum para esses modos de falha, de modo que uma descoberta de red team, um responsável de controlo e um auditor possam apontar para a mesma técnica e referir-se ao mesmo. Para uma organização regulada, essa linguagem partilhada é o primeiro passo para tratar a segurança da IA como uma disciplina de governação e não como um projeto pontual. É também a razão pela qual a AI Sigil coloca o ATLAS como camada de referência sob o seu modelo de riscos e controlos.

MITRE ATLAS face ao MITRE ATT&CK

Quem já trabalhou num centro de operações de segurança reencontra no ATLAS as suas referências, e não por acaso. O quadro inspira-se diretamente na metodologia do MITRE ATT&CK: a mesma distinção entre táticas (o objetivo do atacante em cada fase) e técnicas (a forma como o alcança), apresentada como uma matriz que se lê da esquerda para a direita ao longo do ciclo de vida do ataque. A diferença está no alvo. O ATT&CK descreve os ataques à informática clássica: postos de trabalho, redes, identidades. O ATLAS descreve os ataques à própria IA: o modelo, os seus dados de treino, a sua cadeia de inferência e os agentes construídos por cima. Várias táticas são comuns a ambos (reconhecimento, acesso inicial, exfiltração, impacto), porque um atacante continua a fazer phishing, a mover-se lateralmente, a roubar credenciais. O que o ATLAS acrescenta é o núcleo próprio da IA: obter acesso a um modelo, envenenar os seus dados, fabricar entradas que o enganem ou extraí-lo por inteiro. Para uma equipa de governação, a conclusão não é escolher entre os dois. O ATT&CK cobre a infraestrutura em redor do modelo; o ATLAS cobre o modelo. Um ataque sério à IA percorre, em regra, os dois caminhos.

Dentro da matriz MITRE ATLAS: as 16 táticas

A matriz lê-se melhor como um ciclo de vida. O adversário começa pelo reconhecimento (estuda o seu modelo, a sua API, a sua documentação pública), atravessa o desenvolvimento de recursos e o acesso inicial e atinge depois as fases próprias da IA: acesso ao modelo, preparação do ataque, execução, persistência, exfiltração e impacto. Cada tática reúne técnicas que descrevem um gesto preciso. Quatro famílias de técnicas importam de forma especial para a governação, porque se sobrepõem a riscos expressamente nomeados pela legislação:

  • Envenenamento de dados. Manipular os dados de treino para que o modelo aprenda o que está errado, seja uma porta dos fundos oculta seja uma degradação geral da exatidão.
  • Evasão de modelos (exemplos adversariais). Construir entradas pensadas para levar um modelo em produção a errar, por exemplo uma imagem alterada de forma impercetível ou uma instrução de contorno que derrota um filtro de segurança.
  • Extração e inversão de modelos. Interrogar um modelo até ser possível reconstruí-lo ou recuperar os dados confidenciais com que foi treinado: um ataque à confidencialidade.
  • Injeção de instruções e jailbreaks. Desviar um modelo de linguagem ou um agente de IA através de instruções hostis ocultas no conteúdo que processa.

Estas famílias alinham-se com nitidez com a taxonomia oficial dos Estados Unidos. O NIST AI 100-2 E2025, taxonomia federal da aprendizagem automática adversarial, classifica os ataques à IA preditiva em evasão, envenenamento e privacidade, e os ataques à IA generativa em injeção de instruções, jailbreaks e compromisso da cadeia de fornecimento. O ATLAS fornece as técnicas comprovadas no terreno; o NIST fornece a terminologia formal. Usá-los em conjunto devolve tanto o quê como o como.

O ATLAS, o OWASP LLM Top 10 e o NIST AI RMF

Uma das perguntas mais frequentes é como se relaciona o ATLAS com os restantes quadros de segurança e governação da IA. A resposta breve é que operam a altitudes diferentes e foram concebidos para serem usados em conjunto.

  • O MITRE ATLAS é um modelo do adversário. Responde à pergunta «como atacaria alguém este sistema?» e serve para a modelação de ameaças, o red teaming e a engenharia de deteção.
  • O OWASP LLM Top 10 é um modelo de vulnerabilidades. Responde a «o que costuma correr mal nas aplicações LLM?» (injeção de instruções, tratamento inseguro de saídas, envenenamento dos dados de treino) e serve para o desenvolvimento seguro e a revisão de código.
  • O NIST AI RMF é um modelo de governação. As suas quatro funções (Governar, Mapear, Medir e Gerir) respondem a «como é que a nossa organização supervisiona o risco da IA?» e dirigem-se aos responsáveis de risco e de conformidade.

São camadas, não alternativas: a ameaça (ATLAS), a fraqueza que ela explora (OWASP) e a supervisão que decide o que fazer (NIST). A razão prática é de custo. Segundo a análise da matriz publicada pela Vectra, cerca de 70 % das medidas de mitigação do ATLAS correspondem a controlos de segurança que as organizações já operam. Raramente se parte do zero: liga-se uma ameaça de IA a um controlo que já se possui e demonstra-se a ligação. Os recursos de governação da AI Sigil tratam os três quadros como uma única pilha coerente e não como listas rivais.

Porque é que o MITRE ATLAS importa para a conformidade, e não apenas para a segurança

Eis o ponto que a maioria das apresentações do ATLAS deixa de fora. Costuma apresentar-se como uma ferramenta para o centro de operações de segurança. Para uma organização regulada é também um instrumento de conformidade, porque os ataques que cataloga são os ataques que a lei agora nomeia. O artigo 15.º do regulamento europeu da IA exige que os sistemas de IA de risco elevado alcancem «um nível adequado de exatidão, solidez e cibersegurança». No n.º 5 vai mais longe: tais sistemas «devem ser resilientes às tentativas de terceiros não autorizados de alterar a sua utilização, os seus resultados ou o seu desempenho explorando vulnerabilidades do sistema». O mesmo número nomeia depois as ameaças por categoria. As soluções técnicas devem, se for caso disso, dar resposta aos «ataques que tentem manipular o conjunto de dados de treino (envenenamento de dados) ou os componentes pré-treinados utilizados no treino (envenenamento de modelos), às entradas concebidas para induzir o modelo de IA em erro (exemplos adversariais ou evasão de modelos), aos ataques à confidencialidade ou às falhas do modelo». Releia esta lista ao lado das famílias de técnicas do ATLAS acima: são as mesmas ameaças. O regulamento enuncia a obrigação; o ATLAS fornece o catálogo operacional que permite demonstrar como a cumpre. Quando um avaliador pergunta como trata os exemplos adversariais ou o envenenamento de dados, «ligámos as técnicas pertinentes do ATLAS a controlos e testámo-las» pesa muito mais do que uma declaração de princípio. A mesma lógica vale a montante: o código de conduta para os modelos de IA de fins gerais espera testes adversariais para os modelos com risco sistémico, e o ATLAS é uma fonte natural de casos de teste. Em Portugal, esta expectativa prolonga orientações que a CNPD já promove em matéria de solidez e segurança dos sistemas. É precisamente esta mudança de perspetiva que faz a diferença. O ATLAS não é apenas uma forma de detetar ataques: é uma forma de provar que os antecipou.

Tornar o ATLAS operacional num programa de governação da IA

Fazer o ATLAS passar do cartaz de referência a peça operacional da governação resume-se a uma cadeia: ameaça, controlo, prova. Ameaça. Para cada sistema de IA do seu inventário, selecione as técnicas do ATLAS que realmente se aplicam. Um assistente LLM exposto ao público enfrenta a injeção de instruções e os jailbreaks; um modelo antifraude treinado com dados de terceiros enfrenta o envenenamento; um modelo exposto através de uma API enfrenta a extração. Não precisa das 84 técnicas, apenas daquelas que a sua arquitetura convida. Controlo. Ligue cada técnica selecionada a um controlo de sistema. Como a maioria das mitigações do ATLAS corresponde a controlos de segurança existentes, trata-se sobretudo de reconduzir uma ameaça de IA à gestão de acessos, à validação de entradas, à monitorização, às verificações da cadeia de fornecimento ou aos testes de red team que já pode apresentar. Onde subsista uma lacuna real, acabou de identificar um controlo a construir. Prova. Junte a demonstração de que o controlo funciona: um relatório de red team contra a técnica, o resultado de um teste de deteção de envenenamento, um registo de acessos, uma aprovação assinada. É o que transforma um controlo declarado num artefacto de auditoria. Esta cadeia é exatamente o que pedem as funções Medir e Gerir do NIST AI RMF, e harmoniza-se com os controlos do anexo A da norma ISO 42001, o padrão certificável de sistema de gestão da IA. Esclarece ainda as responsabilidades: nos termos do regulamento da IA, o fornecedor responde pela solidez integrada no modelo, ao passo que o responsável pela implantação responde pelas condições de utilização; uma mesma técnica do ATLAS pode, por isso, gerar obrigações para ambas as partes. Uma plataforma como a AI Sigil serve precisamente para guardar este mapeamento (ameaças, controlos, provas e obrigações) num único lugar, para que a cadeia se mantenha auditável em vez de ser reconstruída de memória no dia da avaliação.

Como começar com o MITRE ATLAS

Não é preciso um programa imponente para começar. Uma primeira passagem tem este aspeto:

  1. Inventarie os seus sistemas de IA e anote, para cada um, o tipo de modelo, as fontes de dados e o modo de exposição.
  2. Para cada sistema, pré-selecione as técnicas do ATLAS plausíveis dada essa arquitetura.
  3. Avalie a sua cobertura de controlos atual face a essa pré-seleção e registe onde é sólido e onde está exposto.
  4. Priorize as lacunas por impacto, começando pelos sistemas de risco elevado nos termos do regulamento da IA ou críticos para o negócio.
  5. Documente as provas dos controlos que já funcionam, para não perder nada antes da próxima auditoria.
  6. Reveja trimestralmente, porque o ATLAS é um quadro vivo e o seu parque de modelos muda.

Para as equipas reguladas, acrescente uma coluna ao exercício: a obrigação que cada técnica ajuda a cumprir. Essa única ligação, da técnica do ATLAS ao dever regulamentar, é o que transforma uma lista de segurança em governação.

Perguntas frequentes

O que é o MITRE ATLAS? O MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) é uma base de conhecimento aberta e viva das táticas e técnicas que os atacantes usam contra os sistemas de IA, assente em observações reais e demonstrações de red team. A matriz atual reúne 16 táticas e 84 técnicas, organizadas como o MITRE ATT&CK mas centradas na aprendizagem automática. Qual é a diferença entre o MITRE ATLAS e o MITRE ATT&CK? O ATT&CK descreve os ataques aos sistemas informáticos tradicionais (postos, redes, identidades). O ATLAS descreve os ataques aos próprios sistemas de IA: o modelo, os seus dados de treino e a sua cadeia de inferência. O ATLAS reutiliza a estrutura do ATT&CK e partilha algumas táticas, mas acrescenta técnicas próprias da IA como o envenenamento de dados, a evasão de modelos e a extração de modelos. Qual é a diferença entre o MITRE ATLAS e o OWASP LLM Top 10? Resolvem problemas distintos. O ATLAS é um modelo do adversário usado para a modelação de ameaças e o red teaming. O OWASP LLM Top 10 é uma lista das vulnerabilidades mais comuns nas aplicações LLM, usada para o desenvolvimento seguro. O ATLAS diz como poderia ser atacado; o OWASP diz onde costumam estar as fraquezas. São complementares. Quantas táticas tem o MITRE ATLAS? Na versão 5.4.0 (fevereiro de 2026), a matriz ATLAS reúne 16 táticas, além de 84 técnicas, 56 subtécnicas, 32 medidas de mitigação e 42 casos de estudo. As fontes que citam 14 táticas são anteriores às atualizações recentes: verifique sempre a matriz atualizada em atlas.mitre.org. O MITRE ATLAS é exigido pelo regulamento europeu da IA? O regulamento não nomeia o ATLAS, pelo que não é obrigatório. No entanto, o artigo 15.º exige que os sistemas de risco elevado sejam resilientes ao envenenamento de dados, ao envenenamento de modelos, aos exemplos adversariais e aos ataques à confidencialidade, ou seja, exatamente as ameaças que o ATLAS cataloga. O ATLAS é uma forma prática de organizar e provar as soluções técnicas esperadas. Qual é a relação entre o MITRE ATLAS e o NIST AI RMF? Atuam a níveis diferentes. O ATLAS é um catálogo de ameaças; o NIST AI RMF é um quadro de governação articulado em torno de Governar, Mapear, Medir e Gerir. Na prática, o ATLAS alimenta as funções Medir e Gerir: fornece as ameaças concretas que se avaliam e tratam, enquanto o RMF fornece a estrutura de supervisão em redor delas.

Conclusão

A maioria das equipas conhece o MITRE ATLAS como um artefacto de segurança, uma matriz de ataques que o red team estuda. A visão é correta, mas incompleta. Para qualquer organização que opere IA sob regulação, o ATLAS é a ponte entre dois mundos que muitas vezes se ignoram: a equipa de segurança que sabe como a IA é atacada e a equipa de conformidade que tem de provar que o sistema é sólido. As suas técnicas são as ameaças nomeadas pelo regulamento da IA tornadas concretas, e ligá-las a controlos e a provas é exatamente o que uma auditoria quer ver. Comece pequeno, com um sistema e as suas técnicas plausíveis, e amplie o mapa a partir daí. Para que esse mapa viva num único lugar auditável, descubra como a AI Sigil liga ameaças, controlos e obrigações da IA.

Sofia Almeida

MITRE ATLAS: das técnicas de ataque à IA aos controlos de conformidade

O MITRE ATLAS reúne 16 táticas e 84 técnicas de ataque a sistemas de IA. Transforme-as em controlos e provas para o artigo 15.º do regulamento da IA.

Governança de IA: o sistema operativo de uma IA conforme e responsável

A governança de IA transforma princípios em controlos auditáveis. Veja como se conjugam o regulamento europeu, a ISO 42001 e o NIST AI RMF.

Gestão de riscos de conformidade: o manual 2026 para equipas GRC na era da IA

Repensar a gestão de riscos de conformidade na era da IA: ISO 31000, ISO 42001, NIST AI RMF e artigo 9.º do Regulamento IA num único stack.

Benchmarks de LLM: guia de compliance para equipas de governance de IA

Guia aos benchmarks de LLM pensado para reguladores: como MMLU, HumanEval, HELM e AIR-Bench se ligam ao Regulamento da IA, NIST AI RMF e ISO 42001.

Empresas de certificação ISO: o guia 2026 na era da IA

Comparação das principais empresas de certificação ISO em 2026, quem está acreditado em ISO/IEC 42001 para sistemas de gestão de IA e como escolher o auditor.

ISO 42001 explicada: a primeira norma certificável para um sistema de gestão da IA

A ISO/IEC 42001 é a primeira norma certificável para um sistema de gestão da IA. Cláusulas, controlos do Anexo A, certificação e lacuna face ao Regulamento IA.