對應威脅框架（參考）

這是參考附錄，不是教學內容。

本頁列出本 boundary 對應的官方威脅框架（MITRE ATLAS / OWASP LLM Top 10 / MAESTRO 等）與 AIDEFEND 社群知識庫的補充參考。

• 官方框架：MITRE ATLAS、OWASP LLM Top 10 2025、OWASP Agentic AI Top 10 2026 — 業界廣泛採用。
• AIDEFEND：aidefend.net by Edward Lee（CC BY 4.0）— 社群貢獻框架，非業界標準。其 technique ID 僅作為補充參考，請以官方框架為主要引用根據。

本 boundary 在做什麼

Attack surface boundary 講的是：你的 AI 系統到底對外露出多少面。這不只包含 LAN / WAN 可達的 network surface，也包含 agent 可呼叫的 tool surface、以及 skill / plugin / dependency 形成的供應鏈面。它對應的核心問題是：哪些 surface 其實可以縮小、隔離，甚至直接關掉；否則你就會把不必要的網路暴露、MCP 命令注入與工具濫用鏈、第三方 skill / plugin 污染，變成真實可打的入口。

OWASP LLM Top 10 2025 對應

• LLM03:2025 Supply Chain：當第三方 skill、plugin、dependency、model artifact 被當成理所當然的擴充功能時，外部元件就會直接成為系統攻擊面的一部分。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。
• LLM06:2025 Excessive Agency：如果 agent 擁有過大的 tool 執行能力，外部輸入就更容易被放大成實際副作用，尤其是在 MCP 與 shell 類能力上。對應本課：lesson 03「Tool Surface：MCP Audit + Lethal Trifecta 收尾」。
• LLM02:2025 Sensitive Information Disclosure：不必要的網路暴露與錯誤綁定位址，會把本來只該留在本機或內部網段的服務與資料暴露出去。對應本課：lesson 02「Network Surface：Localhost Binding 與 LAN 暴露」。

OWASP Agentic AI Top 10 2026 對應

• ASI04:2026 Agentic Supply Chain Vulnerabilities：agent 的 skills、plugins、dependencies、MCP servers 若缺乏來源治理與版本控制，供應鏈就會直接擴大攻擊面。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。
• ASI03:2026 Agent Hijacking：當工具層沒有被妥善收斂，攻擊者更容易藉由 tool output、權限鏈與上下文互動，把 agent 拉去做原本不該做的事。對應本課：lesson 03「Tool Surface：MCP Audit + Lethal Trifecta 收尾」。
• ASI09:2026 Excessive Permissions：tool 太多、權限太大、allowlist 太鬆，都是攻擊面失控的直接徵兆。對應本課：lesson 03「Tool Surface：MCP Audit + Lethal Trifecta 收尾」。

MITRE ATLAS 對應

• AML.T0010 AI Supply Chain Compromise：總體描述 AI 供應鏈被滲透、污染或置換的風險。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。
• AML.T0010.001 AI Supply Chain Compromise: AI Software：聚焦在 AI 軟體元件本身被植入惡意內容或受污染。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。
• AML.T0010.004 AI Supply Chain Compromise: Container Registry：提醒 container image 與 registry 也是 AI 系統供應鏈的一部分，不只是套件管理器。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。
• AML.T0007 Discover AI Artifacts：攻擊者先找出可利用的 AI 服務、元件與暴露資產，網路面越鬆散越容易被盤出來。對應本課：lesson 02「Network Surface：Localhost Binding 與 LAN 暴露」。
• AML.T0035 AI Artifact Collection：一旦服務被不必要地暴露在 LAN / WAN 上，外部就有機會蒐集模型、設定、介面與其他 AI artifacts。對應本課：lesson 02「Network Surface：Localhost Binding 與 LAN 暴露」。
• AML.T0104 Publish Poisoned AI Agent Tool：惡意或受污染的 agent tool 既屬供應鏈風險，也會直接擴大工具層 attack surface。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」、lesson 03「Tool Surface：MCP Audit + Lethal Trifecta 收尾」。

MAESTRO 對應

• Supply Chain Attacks (Cross-Layer)：供應鏈風險不是單一套件問題，而是跨越 skill、plugin、dependency、image 與 artifact 的整體攻擊面。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。
• Compromised Framework Components (L3)：底層 framework 或關鍵元件一旦受污染，整個 agent 系統的可用能力都可能被接管。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。
• Compromised Agent Registry (L7)：agent registry、tool registry、plugin 發布點若被污染，會把不可信元件送進執行面。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。
• Resource Hijacking (L4)：開出去的網路入口與可達資源越多，越容易被拿來做未預期的濫用與橫向利用。對應本課：lesson 02「Network Surface：Localhost Binding 與 LAN 暴露」。

AIDEFEND 補充參考

⚠️ AIDEFEND 為社群貢獻框架（非業界標準），其 technique ID 僅作補充參考。

• AID-M-001.001 AI Component & Infrastructure Inventory：先把 AI 元件、服務節點、介面與基礎設施盤成 inventory，才知道哪些 network surface 其實已經對外可見。對應本課：lesson 02「Network Surface：Localhost Binding 與 LAN 暴露」。
• AID-M-001.002 AI System Dependency Mapping：把直接與 transitive dependency 畫成完整依賴圖，有助於縮小 skill / plugin / dependency 的供應鏈盲區。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。
• AID-M-001.003 Agentic Skill Asset Inventory & Lifecycle Governance：把 agent skill 當成受管資產，管理來源、版本、啟用與淘汰流程，而不是把它當成可隨手安裝的 convenience addon。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。
• AID-I-001.003 Ephemeral Single-Use Sandboxes for Tools：高風險 tool 若改成一次性 sandbox 執行、用完即丟，可以降低 tool surface 被濫用後留下的持久化風險。對應本課：lesson 03「Tool Surface：MCP Audit + Lethal Trifecta 收尾」、lesson 05「Lab：Minimal Secure MCP Server」。
• AID-I-001.004 Sandbox Network Egress Restrictions：就算 tool 已經被放進 sandbox，也應該限制對外連線，只開必要 egress 白名單，避免暴露面順手變成資料外送通道。對應本課：lesson 02「Network Surface：Localhost Binding 與 LAN 暴露」、lesson 03「Tool Surface：MCP Audit + Lethal Trifecta 收尾」。
• AID-D-004 Model & AI Artifact Integrity Monitoring：持續監控模型、套件、image 與其他 AI artifacts 的完整性，補上 supply chain 進來之後的偵測層。對應本課：lesson 04「Supply Chain：Skill / Plugin / Dependency 防禦」。

延伸閱讀

• MITRE ATLAS 官方：https://atlas.mitre.org/
• OWASP LLM Top 10 2025：https://owasp.org/www-project-top-10-for-large-language-model-applications/
• OWASP Agentic AI Top 10 2026：https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/
• MAESTRO Framework：https://cloudsecurityalliance.org/blog/2025/02/06/agentic-ai-threat-modeling-framework-maestro/
• AIDEFEND（補充參考）：https://aidefend.net