ATA Tag Family — 标签体系全景

族	本体域	前缀 · 名称	挂载对象类型	语义	子族	状态
族1	知识	K-	File · YAML frontmatter	知识库文件分类角色	内部/第三方/管理	✅ 正式
族2	安全风险	BaseTag	AttackPath.nodes	AP节点结构角色	SK-×11 · AF-×7	⚡ 部分Pending
族3	安全风险	UI- SI- AI-	InstructEvent / Sink / AttackPath	攻击意图三层建模	UI×11 · SI×18 · AI×18	✅ v4.1
族4	安全风险	Sensitive-* TOOL-*	Thing实体 / Tool实体	资产敏感性 + 工具风险等级	敏感性×7 · 风险×5	🟡 ORP-07/08
族5	测试	CP-* SC-*	SecurityChecker实体	检查点模态 + 检查者方法/盲区	CP×6 · SC-RULE×9 · SC-MODEL×3 · SC-GAP×8	🆕 v1.2
族6	Agent	TRG-*	Event实体	事件触发条件分类	SELECT×2 · RULE×3 · EVENT×3	🆕 v1.2
族7	Agent	OP-*	Sensitive-* 实体（Tool / File / Agent）	敏感对象的可操作面（客体视角）	OP-EXEC · OP-MUTATE · OP-READ	🆕 v1.2
族SCO	Agent	SCO-*	AttackPath / Sink / Affected 实体	污点传播影响范围（8级层次）	L1-L3 临时 · L4-L5 持久 · L6-L8 扩散	🆕 v2.1
族8	Agent	Auth-*	Agent / Channel / Gateway / Tool	鉴权方式 + 身份标识类型	METHOD×2 · ID×2	🆕 v1.2

族1 K- 知识库家族 13 知识本体

挂载对象类型

File 实体的 YAML frontmatter K-Label 字段

使用规则

每个文件通常只挂一个 K- 标签；内部产出用 K-Inn-*，第三方来源用 K-3rd-*

典型示例

ontology_v4.md → K-DesignDoc
approval.py → K-SourceCode

激活条件

所有纳入 ATA 知识库管理的文件，无额外条件

知识管理类（2）

标签	含义	典型文件
K-Index	知识索引文件，管理一批文件的目录入口	KNOWLEDGE_INDEX.md
K-DesignDoc	架构与设计文档，描述设计决策与规范	ontology_v4.md · TAG_SYSTEM.md

来源资料类（2）

标签	含义	典型文件
K-SourceCode	被分析目标系统的源码文件本身	approval.py · skills_guard.py
K-ResearchPaper	学术论文或研究框架文档	Trail of Bits AI Agent 安全框架

内部产出类 K-Inn-*（6）

标签	含义	典型文件
K-Inn-SourceAnalysis	ATA 对源码的分析结果（实体映射、架构梳理）	01_entity_source_mapping.md
K-Inn-SecurityReport	ATA 内部安全风险评估报告（含 AP、评分、排名）	02_security_risk_report_revise_v1.md
K-Inn-SecurityIssue	ATA 内部安全问题单（单一漏洞/创新点风险）	02b_innovation_security_analysis.md
K-Inn-TechDoc	内部技术文档（设计规范、内部 spec）	内部架构设计文档
K-Inn-TestReport	ATA 内部评测/分析报告	攻击路径验证报告
K-Inn-OntologyProposal	ATA 内部 Ontology 修订提案（ORP 系列）	07_ontology_review_proposals.md

第三方来源类 K-3rd-*（5）

标签	含义	典型文件
K-3rd-SecurityReport	第三方或官方安全报告、漏洞公告	SECURITY.md · Trail of Bits 审计
K-3rd-ThreatIntel	第三方威胁情报（供应链攻击、TTP 档案）	Trend Micro LiteLLM 供应链报告
K-3rd-TechDoc	第三方目标系统技术文档（README、spec）	Hermes README.md · RELEASE_v0.9.0.md
K-3rd-TestReport	第三方评测/基准测试报告	AgentDojo 基准 · ClawGuard 扫描摘要
K-3rd-TestData	第三方原始测试数据（未经整理）	ClawGuard 原始扫描数据

族2 BaseTag / AttackPathTerm 攻击路径家族 5角色 + SK×11 + AF×7 安全风险本体

挂载对象类型

AttackPath.nodes 列表中的 BaseEntity 实体

完整性约束

PoisoningEntry≥1 · Source≥1 · Sink≥1 · Harm=1 · Affected≥0

链路示意

      [PoisoningEntry] → [Source] → [Sink: Tool + ExecutionIntent(SI-*)] → [Affected]

                                                                               ↓

                                                    [Harm: Asset + HarmEvent + VictimVector(HV-*)]

激活条件

所有 AttackPath 的 nodes 列表中的实体；不挂载在普通实体或文件上

节点角色标签（5个）

角色标签	合法宿主类型	数量约束	关键属性
PoisoningEntry	任意 BaseEntity（攻击者可直接触达的注入入口）	≥ 1	entry_type · accessibility(SUP/PUB/REG/AUTH/ITM/SEL/ISO) · trigger(T-ANY/BROAD/SPECIFIC/COMPLIANT)
Source	PromptTemplate 槽位（恶意 payload 进入模型上下文的位置）	≥ 1	tool_call_result / memory_content / file_content / skill_description
Sink	*绑定工具（Tool）+ 工具的执行意图（SI-）** 模型被劫持后实际调用的工具，以及该调用所携带的恶意执行意图。Sink 是攻击链从"语义"转变为"动作"的关键跨越点。	≥ 1	`tool`：被调用的工具实体（terminal_tool / memory_tool / send_message …） `sink_type`：SK-* 枚举（动作大类） `execution_intent`：SI-* 标签（族3，恶意执行意图的具体语义）
Affected	File / Tool / LongTermMemory / Asset 实体（被 Sink 动作直接影响的对象）	≥ 0	af_type = AF-* 枚举
Harm	*三元组：Asset + HarmEvent + VictimVector(HV-)** 完整描述"谁的什么资产，以何种方式，对谁造成了伤害"。三个组成部分缺一不可。	= 1	`Asset`：携带 Sensitive-* 的受损资产实体（MEMORY.md / .env / 用户数据 …） `HarmEvent`：伤害事件子类（LeakTo / SendTo / PayedTo / Delete / Tamper） `VictimVector`：HV-* 标签（族12，受害主体归类：User / System / ThirdParty + SubType）

SK-* Sink 工具动作大类（11个）ORP-04 — 对应 Sink.sink_type，描述被劫持工具的动作类别；配合 SI-*（族3）共同确定完整执行意图

SK-	含义	典型工具/动作	相关AP
SK-INFO	信息读取类	read_file · 查询数据库	AP-03/04
SK-MEMO	记忆/持久化存储类	memory_tool.write() · MEMORY.md	AP-01/09
SK-STATE	状态修改类	修改配置 · approval_mode	AP-08
SK-TOOL	工具调用类	MCP工具 · 外部API	AP-04
SK-SYS	系统执行类（通用）	系统调用	—
SK-NET	网络外发类	curl外发 · send_message	AP-01/04/09
SK-EXEC	代码/命令执行类	terminal_tool · execute_code	AP-02/03/06
SK-AGENT	Agent委托类	delegate_task · SubAgent	AP-05
SK-DEP	依赖/供应链类	pip install · skill安装	AP-10/02
SK-OUT	输出操控类	篡改响应 · 隐写输出	AP-09
SK-PERSIST	持久化定时任务类	CronCreate	AP-07

AF-* Affected Agent组件类型（7个）ORP-05 · v4.2重构

AF-	含义	对应 Agent 组件	典型实体	相关AP
AF-MEMORY	长期记忆	LongTermMemory	MEMORY.md · 记忆文件	AP-01
AF-CONFIG	配置与凭证	.env / settings.json	~/.hermes/.env · settings	AP-04/08
AF-TOOL	工具执行权	Tool（terminal/execute_code）	terminal_tool · execute_code	AP-02/06
AF-CONTEXT	会话上下文	ShortTermMemory / Context	当前会话 messages · 压缩摘要	AP-03/05/09
AF-CHANNEL	通信通道	Channel / Gateway / MCP	Gateway Webhook · MCP连接 · OAuth Token	AP-04/08
AF-SKILL	技能与依赖	SkillSpace / 依赖包	SkillRegistry · PyPI包 · .pth文件	AP-02/10
AF-PROFILE	用户档案 / PII	UserProfile / Pii_IdNumber	手机号 · 身份证 · 历史偏好	未来场景

族3 UI- / SI- / AI- 意图家族 47 安全风险本体

三子族挂载位置

UI- → InstructEvent（攻击者伪装的用户行为）
SI- → Sink实体（恶意动作的具体语义）
AI- → AttackPath整体（ATT&CK战略目标）

AP-07 CronCreate 标注示例

UI-SCHEDULE_TASK 伪装调度请求
SI-PERSIST_CRON 实际植入定时后门
AI-PERSISTENCE + AI-C2 战略目标

激活条件

所有 AttackPath 的三个意图层均需标注；UI-/SI- 标注在相应节点，AI- 标注在 AttackPath 根节点

AP-01 MEMORY投毒示例

UI-MEMORY_MANAGE 伪装记忆管理
SI-PERSIST_MEMORY 植入记忆后门
AI-PERSISTENCE 持久化驻留

子族 UI- 用户意图家族 — 挂载：InstructEvent（11个）

标签	含义	典型伪装场景
UI-TASK_EXECUTE	任务执行	「帮我运行这个脚本」
UI-QUERY_INFO	信息查询	「查一下这个文件里有什么」
UI-CONFIG_SYSTEM	系统配置	「帮我设置 approval_mode」
UI-MEMORY_MANAGE	记忆管理	「把这件事记到 MEMORY.md」
UI-AGENT_DELEGATE	代理委托	「交给子 Agent 处理」
UI-CODE_ASSIST	代码辅助	「帮我修改这段代码」
UI-SCHEDULE_TASK	定时调度	「每天早上8点提醒我」
UI-DATA_PROCESS	数据处理	「处理这个 CSV 文件」
UI-CONTEXT_LOAD	上下文加载	「加载项目文档进上下文」
UI-TOOL_INVOKE	工具调用	「用搜索工具查一下」
UI-OTHER	其他（兜底）	—

子族 SI- 战术意图家族 — 挂载：Sink实体（18个）

分组	标签	恶意动作语义	相关AP
持久化	SI-PERSIST_MEMORY	记忆后门植入，跨会话持久驻留	AP-01
	SI-PERSIST_CODE	代码后门植入（.pth / 源文件）	AP-10
	SI-PERSIST_CONFIG	配置后门（settings.json / .env）	AP-08
	SI-PERSIST_CRON	定时任务植入，周期性执行	AP-07
数据外泄	SI-EXFIL_MCP	通过 MCP 工具外泄	AP-04
	SI-EXFIL_MIRROR	会话镜像外泄	AP-09
	SI-EXFIL_SUBAGENT	通过 SubAgent 链路外泄	AP-05
	SI-EXFIL_COVERT	隐蔽信道外泄（编码/零宽字符）	AP-09
权限提升	SI-PRIV_SUBAGENT	SubAgent 权限绕过	AP-05
	SI-PRIV_SANDBOX	沙箱逃逸	AP-06
	SI-PRIV_SYSCALL	系统调用提权	AP-06
执行控制	SI-EXEC_INJECT	指令注入后执行	AP-02/03
	SI-EXEC_SUPPLY	供应链代码注入执行	AP-10
	SI-EXEC_TOOL_DESC	MCP 工具描述注入执行	AP-04
影响操控	SI-MANIP_CONTEXT	上下文污染	AP-09
	SI-MANIP_OUTPUT	输出操控（隐写/重定向）	AP-09
	SI-MANIP_BELIEF	信念植入（影响 Agent 认知模型）	AP-01
兜底	SI-OTHER	其他	—

子族 AI- 战略意图家族 — 挂载：AttackPath整体（18个，ATT&CK对齐）

标签	战略语义	MITRE Enterprise	ATLAS
AI-RECONN	侦察	TA0043	AML.TA0000
AI-RESOURCE_DEV	资源开发	TA0042	—
AI-INITIAL_ACCESS	初始访问	TA0001	AML.TA0001
AI-EXECUTION	恶意执行	TA0002	AML.TA0002
AI-PERSISTENCE	持久化	TA0003	AML.TA0003
AI-PRIV_ESC	权限提升	TA0004	—
AI-DEFENSE_EVASION	防御规避	TA0005	AML.TA0015
AI-CRED_ACCESS	凭证获取	TA0006	—
AI-DISCOVERY	环境发现	TA0007	AML.TA0004
AI-LATERAL_MOVE	横向移动	TA0008	—
AI-COLLECTION	数据收集	TA0009	AML.TA0009
AI-EXFILTRATION	数据外泄	TA0010	AML.TA0010
AI-C2	命令与控制	TA0011	AML.TA0015
AI-IMPACT	影响破坏	TA0040	AML.TA0012
AI-MODEL_ATTACK	模型本体攻击	—	AML.TA0005
AI-SUPPLY_CHAIN	供应链攻击	—	AML.TA0001*
AI-TRUST_ABUSE	信任滥用（Agent信任链利用）	—	ATA自定义
AI-OTHER	其他（兜底）	—	—

族4 Sensitive-* / TOOL-* 风险性家族 7 + 9 安全风险本体

Sensitive-* 挂载对象

Thing 子类（Money / Token_Key / Pii_IdNumber / File / LongTermMemory）

TOOL-* 挂载对象

Tool 实体；4 维度多标签并存；命中 2 个以上维度 = 危险工具

Harm 结构约束

Harm = CriticalEntity[Sensitive-*] + HarmEvent子类
HarmEvent: LeakTo / SendTo / PayedTo / Delete / Tamper

激活条件

族7(权限)、族8(鉴权) 只在已携带 Sensitive-* 的对象上才进一步分析

子族 Sensitive-* 实体敏感性标签（7个）

标签	中文名	对应Ontology类型	典型实体
Sensitive-FINANCIAL	金融资产	Money	银行账户余额 · 支付凭证 · 加密货币钱包
Sensitive-CREDENTIAL	凭证密钥	Token_Key	API Key · 密码 · OAuth Token · ~/.hermes/.env
Sensitive-PII	个人身份信息	Pii_IdNumber	手机号 · 身份证 · 邮箱 · 地址
Sensitive-COMMUNICATION	通讯内容	History / Message	聊天记录 · 邮件 · 私信内容
Sensitive-CODEBASE	代码资产	Code / File	私有源码 · 算法逻辑 · 商业机密代码
Sensitive-MEMORY	记忆数据	LongTermMemory / File	MEMORY.md · 用户偏好 · 历史决策
Sensitive-SYSTEM	系统控制权	Tool / Agent	终端访问权 · 进程控制 · 宿主机访问

子族 TOOL-* 工具多维风险标签（9个，4维度）

标签	维度	语义	典型工具	命中示例
TOOL-INPUT-UNTRUSTED	INPUT	可引入完全不可信数据（攻击者完全控制）	web_search · browse_web · email_read · Webhook	AP-03/08
TOOL-INPUT-PARTIAL	INPUT	可引入一般可信数据（合法用户/本地，但可被污染）	read_calendar · read_notes · read_file(本地)	AP-03
TOOL-DATA-SECRET	DATA	可访问凭证/密钥/Token	read_file(.env) · execute_code	AP-04
TOOL-DATA-PII	DATA	可访问个人身份信息	read_contacts · send_message · email_read	AP-04/08
TOOL-DATA-MEM	DATA	可访问 Agent 记忆/上下文/配置状态	memory_tool · read_file(MEMORY.md) · write_file(settings)	AP-01/03
TOOL-DATA-FINANCIAL	DATA	可访问金融账户/余额/交易数据	支付工具 · 钱包API · bank_tool	保留
TOOL-ACT-DESTRUCTIVE	ACT	高危动作：删除/外发/不可逆操作	terminal rm-rf · send_message · CronCreate · delegate_task	AP-02/04/07/08
TOOL-ACT-MODIFY	ACT	一般风险动作：创建/修改/安装	write_file · memory_tool.write() · skill_manage install	AP-01/02
TOOL-FIELD-CODE	FIELD	感受野为代码/二进制；机器可见而人类难察觉，易隐藏恶意内容	execute_code · read_file(脚本) · browse_web(HTML) · skill安装	AP-02/10

⚠ 危险示例：execute_code [INPUT-UNTRUSTED · DATA-SECRET · DATA-MEM · ACT-DESTRUCTIVE · FIELD-CODE] — 4维全中 | read_file [INPUT-PARTIAL · DATA-SECRET · DATA-MEM · FIELD-CODE] — 3维

族5 CP-* / SC-RULE-* / SC-MODEL-* / SC-GAP-* 安全检查家族 CP×6 + SC×20 测试本体

挂载对象类型

SecurityChecker 实体（Agent 画像中的安全校验器组件）

两个子族语义

CP-* 检查点家族：被检查内容的模态（文本/二进制/图片等）
SC-* 检查者家族：检测的方法（规则/模型）和盲区

SC-GAP-* 与 AP 关系

每个 SC-GAP-* 对应一个或多个 AttackPath，表示"存在该盲区，因此该 AP 可行"

激活条件

SecurityChecker 实体的能力分析；SC-GAP-* 直接驱动 AttackPath 的可行性评估

子族 CP-* 检查点家族 — 检查内容的模态（6个）v1.2新增

标签	检查模态	典型检查场景
CP-TEXT	纯文本内容	prompt内容 · memory写入 · 指令注入检测
CP-CODE	代码/脚本内容	execute_code 输入 · skill脚本 · SKILL.md
CP-BINARY	二进制/字节流内容	pip包验证 · MCP二进制传输 · .pth文件
CP-STRUCT	结构化数据（JSON/YAML）	工具调用参数 · settings.json · MCP manifest
CP-IMAGE	图片内容	多模态输入中的图片注入检测
CP-AUDIO	音频内容	语音输入中的隐写/指令注入检测

子族 SC-* 检查者家族 — 规则类检测（9个）

标签	检测内容	源码位置	覆盖范围
SC-RULE-EXEC	危险命令模式检测	approval.py · DANGEROUS_PATTERNS	44条正则，覆盖 rm/chmod/curl\|bash/SSH等
SC-RULE-INJECT-CTX	上下文注入检测	prompt_builder.py	10条模式，检测明显注入指令特征
SC-RULE-INJECT-MEM	记忆写入注入检测	memory_tool.py	12条模式，检测写入内容的恶意指令
SC-RULE-SKILL	技能恶意模式检测	skills_guard.py	70+条，6类：渗漏/注入/破坏/持久/混淆/网络
SC-RULE-PATH	路径安全（目录穿越）	validate_within_dir()	禁止路径逃逸到工作目录外
SC-RULE-UNICODE	不可见字符检测	prompt_builder.py	10种Unicode U+200B~U+202E
SC-RULE-OSV	供应链已知漏洞扫描	OSV数据库集成	安装技能/MCP包时 CVE 检查
SC-RULE-ENV	环境变量 API Key 过滤	_build_safe_env()	MCP进程隔离，防 API Key 泄露
SC-RULE-DELEGATE	SubAgent 委托限制	DELEGATE_BLOCKED_TOOLS	MAX_DEPTH=2，禁止子Agent使用高危工具

子族 SC-* 检查者家族 — LLM辅助检测（3个）

标签	检测内容	触发条件	局限性
SC-MODEL-APPROVAL	LLM 辅助审批	auto_approve / suggest 模式下高风险操作	可被语义伪装绕过
SC-MODEL-INTENT	意图识别（判断是否为注入指令）	语义模糊的指令	尚未作为独立模块部署
SC-MODEL-SEMANTIC	语义理解（检测混淆/编码的恶意指令）	base64/ROT13/自然语言混淆	SC-GAP-SEMANTIC 的潜在修复方向

子族 SC-* 检查者家族 — 检测盲区（8个）

标签	盲区描述	相关AP	风险
SC-GAP-SUPPLY	供应链投毒零检测：OSV只查已知CVE，新型投毒无法发现	AP-10	CRITICAL
SC-GAP-MCP-RESP	MCP工具响应内容不过滤，直接注入 tool_call_result 槽	AP-04	CRITICAL
SC-GAP-WEB-CONTENT	browse_web结果无语义过滤，网页注入指令直接进入上下文	AP-01/09	CRITICAL
SC-GAP-SEMANTIC	语义伪装绕过全部regex：自然语言/编码混淆可绕过所有规则	所有AP	CRITICAL
SC-GAP-CRON	CronCreate 无用户确认机制，AI 可直接注册定时任务	AP-07	HIGH
SC-GAP-SUBAGENT-PRIV	SubAgent 权限不隔离，父 Agent 的 approval_mode 对子无效	AP-05	HIGH
SC-GAP-GATEWAY-AUTH	Gateway 无鉴权，外部调用者可直接发指令无需验证身份	AP-08	HIGH
SC-GAP-CTX-INTEGRITY	context_files 无完整性校验，本地文件被篡改后无法察觉	AP-03	HIGH

族6 TRG-* 触发条件家族 SELECT×2 + RULE×3 + EVENT×3 Agent本体

挂载对象类型

Event 实体（AgentEvent / HarmEvent / SelfEvolutionEvent 等）

三子族语义

TRG-SELECT：LLM 自主选择触发时机
TRG-RULE：条件/阈值规则满足后自动触发
TRG-EVENT：绑定到系统生命周期或外部信号

典型标注示例

on_session_end → TRG-EVENT-LIFECYCLE
memory_tool "proactive" → TRG-SELECT-PROACTIVE
threshold=0.75 压缩 → TRG-RULE-THRESHOLD

安全含义

TRG-EVENT-LIFECYCLE 钩子是 SelfEvol-FORCED 的载体，攻击者可预测触发时序
TRG-SELECT-PROACTIVE 是 Schema 注入伪指令的攻击面

子族 TRG-SELECT 选择性触发 — LLM 主动决策（2个）

标签	触发语义	典型场景	安全关联
TRG-SELECT-PROACTIVE	LLM 主动发起，无明确外部触发点，由 Schema 指令驱动	memory_tool "proactively write memory without being asked" skill_manage "after difficult tasks, offer to save skill"	Schema注入伪指令可劫持主动写入行为（AP-01）
TRG-SELECT-CONDITIONAL	满足内部状态条件时 LLM 选择触发	判断任务复杂度后决定是否 delegate 判断记忆是否需要更新	条件判断可被注入的上下文影响

子族 TRG-RULE 规则性触发 — 条件/阈值自动触发（3个）

标签	触发语义	典型场景	安全关联
TRG-RULE-PATTERN	正则/模式匹配命中后自动触发	DANGEROUS_PATTERNS 命中 → 拦截 THREAT_PATTERNS 命中 → skills_guard 阻断	规则绕过即 SC-GAP-SEMANTIC
TRG-RULE-THRESHOLD	数值阈值超出后自动触发	threshold=0.75 触发 context 压缩 MAX_DEPTH=2 触发委托拦截	阈值参数被篡改可改变触发时机
TRG-RULE-PERIODIC	周期性定时触发，按固定时间间隔自动执行	CronCreate 每日/每小时任务 skills_sync 定期同步 memory 周期清理/归档	与 SC-GAP-CRON 强关联；注入的周期任务可持续外发数据（AP-07/12）

子族 TRG-EVENT 事件性触发 — 绑定系统或外部事件（3个）

标签	触发语义	典型钩子/场景	安全关联
TRG-EVENT-LIFECYCLE	绑定 Agent 生命周期钩子，自动强制触发	sync_turn() · on_session_end() · on_pre_compress() on_delegation() · on_memory_write() · expiry_watcher	SelfEvol-FORCED 载体；攻击者可预测触发时序扩大 AP-01 持久面
TRG-EVENT-SCHEDULE	绑定定时调度事件	CronCreate 注册的周期任务 skills_sync 启动时执行	AP-07 核心：CronCreate 无确认机制（SC-GAP-CRON）
TRG-EVENT-SIGNAL	绑定外部信号或消息事件	Gateway Webhook 消息到达 API Server 接收上游 Agent 指令	AP-08 Gateway 无鉴权（SC-GAP-GATEWAY-AUTH）

族 SCO SCO-* 污点影响家族 SESSION×8 Agent本体

挂载对象类型

HarmEvent / SelfEvolutionEvent / AttackPath 末端 Harm 节点

语义

描述一次攻击行为或副作用的污点扩散范围，按传播层级从最小到最大排列（8级）。级别越高，污点持久性越强，防御代价越高，攻击者获益越大。

典型标注示例

memory_tool 写入 MEMORY.md → SCO-CROSS-SESSION
上下文注入指令 → SCO-INTRA-SESSION
CronCreate 注册任务 → SCO-CROSS-SESSION
MCP 服务器向所有用户注入 → SCO-CROSS-USER
SubAgent 传递污染指令 → SCO-CROSS-AGENT

安全含义

SCO-CROSS-SESSION 及以上是持久化攻击的标志；SCO-CROSS-COMPACTION 是 Compact 边界穿透的核心标签；SCO-CROSS-AGENT 对应横向移动（lateral movement）；SCO-CROSS-TRAINING 是最高威胁级别，影响模型权重

子族 SCO-* 污点影响（8级，由小到大）

标签	级别	范围语义	典型场景	安全关联
SCO-INTRA-TOOL	L1 最小	单次工具调用内有效，调用返回后消失	tool_call 参数被污染但不写出函数内局部变量篡改	危害最小；通常为注入链前置步骤，需结合后续节点判断是否升级
SCO-CROSS-TOOL	L2	同 session 内跨工具调用持久化，写入中间状态后可被后续工具读取再激活	tool A 写入临时变量 → tool B 读取并执行 context 槽污染传递给下一个 tool_call	注入链"接力"场景；AP 中 S1→S2 链式激活的典型模式
SCO-INTRA-SESSION	L3	整个会话内有效，会话结束后自动清除，不写入持久化存储	prompt 上下文注入会话内变量/状态篡改单次 tool_call_result 污染	重启后自动清除；需结合 TRG-EVENT-LIFECYCLE 判断是否在 session 结束前扩散
SCO-CROSS-COMPACTION	L4 ⚠	穿透 Compact（上下文压缩）边界，压缩后仍在 summary 中存活	注入指令被 compact 摘要保留 memory 写入在压缩后重新注入上下文 MEMORY.md 持久内容在每次 compact 后重载	Compact 是常见的"清除"机制；穿透后攻击效果长期有效；SelfEvol-PERSIST 的关键判定条件
SCO-CROSS-SESSION	L5 ⚠	跨会话持久化，写入持久存储，下次会话启动后仍有效	memory_tool 写入 MEMORY.md / USER.md CronCreate 注册定时任务 skill_manage 安装恶意技能篡改 settings.json / CLAUDE.md	SelfEvol-PERSIST 的核心标志；AP-01/07/12 的持久化效果均需打此标签；Harm 评级乘数因子
SCO-CROSS-USER	L6 🔴	跨用户扩散，影响范围超出单个用户，污染共享资源	MCP 服务器向所有连接用户注入共享 memory / knowledge base 污染 multi-tenant 环境下的数据泄露	AP-04（MCP 工具响应注入）可升级为此级；多租户 Agent 平台高风险场景
SCO-CROSS-AGENT	L7 🔴	跨 Agent 横向移动（lateral movement），感染或操控其他 Agent 实例	SubAgent 传递污染指令给 Parent/Sibling Agent 调用另一 Agent 的 API 时注入共享 MCP server 作为跳板	AP-05（SubAgent 权限不隔离）的扩散形态；SC-GAP-SUBAGENT-PRIV 直接关联；Agent 网络中的"蠕虫"效果
SCO-CROSS-TRAINING	L8 最高 💀	影响模型权重（weight-level），通过训练数据投毒或 fine-tune 污染模型本身	攻击者污染 RLHF 训练数据 fine-tune 数据中植入后门模型更新后行为被永久修改	最高威胁级别；传统 Agent 运行时无法防御；需供应链安全措施；当前 ATA 框架的边界外威胁

级别说明：L1-L3 为临时性污点（会话级），L4-L5 为持久化污点（存储级），L6-L8 为扩散性污点（系统级）。攻击路径的 SCO 级别直接影响 RiskScore 中 Harm 分的评级。

族7 OP-* 操作面家族 EXEC · MUTATE · READ Agent本体

标注视角

客体视角——描述被标注对象自身具备哪种操作面，而非"谁对它有权限"。回答的问题是：这个对象一旦被攻击者触达，能展开什么破坏？

⚠ 适用范围限制

仅标注携带 Sensitive-* 标签的对象（敏感文件 · 高危工具 · 关键资产 · 可信 Thing）
普通低风险实体不打此标签，避免标签膨胀。判断标准：该对象被攻击者触达后，是否能直接造成可量化的 Harm？

三个标签语义

OP-EXEC：该对象具有可被执行的操作面——它是可执行体（运行后产生副作用）
OP-MUTATE：该对象具有可被修改的操作面——可增、可删、可覆写
OP-READ：该对象具有被明文读取的操作面——内容以明文暴露，无加密保护

典型标注示例

terminal_tool [Sensitive-TOOL] → OP-EXEC（执行任意 shell，是高危执行体）
MEMORY.md [Sensitive-PERSIST] → OP-MUTATE + OP-READ（可被改写且明文存储）
settings.json [Sensitive-CONFIG] → OP-MUTATE（修改后影响全局行为）
.env / API Key 文件 [Sensitive-CREDENTIAL] → OP-READ（明文凭证，读即泄露）
skill 脚本 [Sensitive-TOOL] → OP-EXEC + OP-MUTATE（可被执行也可被篡改）

与攻击链的关系

OP-EXEC → 攻击链的触发面，是 Harm 的激活条件
OP-MUTATE + SCO-CROSS-SESSION → SelfEvol-PERSIST 的充要条件
OP-READ 作用于 Sensitive-CREDENTIAL → 数据外发攻击链的情报收集阶段

OP-* 操作面标签（3个，仅限敏感对象）

标签	对象具备的操作面	典型敏感对象	攻击含义
OP-EXEC	具有可被执行的操作面——该对象本身是可执行体，运行后产生副作用	terminal_tool · execute_code skill 脚本（.py/.sh） CronCreate 注册的任务体	攻击链触发面；供应链投毒后的落地点；审批模式绕过后的直接危害载体
OP-MUTATE	具有可被修改的操作面——内容可增、可删、可覆写	MEMORY.md / USER.md settings.json / CLAUDE.md SkillRegistry · MCP 配置	持久化攻击写入面；与 SCO-CROSS-SESSION 组合 = SelfEvol-PERSIST；卸载防御组件可制造 SC-GAP
OP-READ	具有被明文读取的操作面——内容以明文暴露，无加密或访问隔离	.env / API Key 文件明文存储的 memory 条目未加密的 context_files	数据外发攻击的情报收集阶段；作用于 Sensitive-CREDENTIAL 时风险最高；read 即泄露

标注约束：三个标签可组合使用（同一对象可同时具备多个操作面）。仅对已确认为 Sensitive-* 的实体打标，其余实体跳过此族，保持标注精简。

族8 Auth-* 鉴权家族 TYPE×3 + METHOD×3 Agent本体

挂载对象类型

Agent / Channel / Gateway / Tool（涉及身份验证的组件）

两子族语义

Auth-TYPE-*：鉴权覆盖模式（无鉴权 / 单向 / 双向）
Auth-METHOD-*：凭证的具体形态（静态Token / 静态Key / 动态ID）

激活条件

只有涉及身份鉴别风险的对象才需要分析鉴权标签
如 Gateway 无鉴权（SC-GAP-GATEWAY-AUTH）是直接的标注触发场景

典型标注示例

Gateway（AP-08）→ Auth-TYPE-NONE（当前无鉴权）
API Key → Auth-TYPE-ONE_WAY + Auth-METHOD-STATIC-KEY
mTLS → Auth-TYPE-MUTUAL + Auth-METHOD-DYNAMIC-ID

子族 Auth-TYPE-* 鉴权类型（3个）

标签	鉴权类型	典型场景	安全风险
Auth-TYPE-NONE	无鉴权：任何调用方均可访问	Hermes Gateway（当前状态）· 开放 Webhook · 匿名 MCP	直接对应 SC-GAP-GATEWAY-AUTH；任何外部 Agent 可伪造指令（AP-08）
Auth-TYPE-ONE_WAY	单向鉴权：Client 向 Server 证明身份	API Key 鉴权 · Bearer Token · 带密码 Webhook	凭证被盗即身份被冒充（AP-04）；Server 身份未被验证
Auth-TYPE-MUTUAL	双向鉴权：双方互相验证身份	mTLS · 双向证书 · Challenge-Response 双向确认	实现复杂度高；证书管理不当仍可被攻击；中间人攻击面较小

子族 Auth-METHOD-* 鉴权方式（3个）

标签	鉴权方式	典型实现	安全特性
Auth-METHOD-STATIC-TOKEN	静态Token：固定不透明令牌，长期有效	Bearer Token · 固定 JWT（无过期）· Session Token	一旦泄露永久有效；无法远程吊销
Auth-METHOD-STATIC-KEY	静态Key：对称密钥或 API Key，存于配置/环境	API Key · .env Secret · HMAC 密钥	泄露即全量失控；常存于 AF-CONFIG（.env）；AP-04 核心目标
Auth-METHOD-DYNAMIC-ID	动态身份标识：凭证动态生成，具有时效性	OTP · Refresh Token · 短期 JWT · Challenge-Response	泄露影响范围受限；Refresh Token 被盗可续期；实现复杂易引入新漏洞

族12 HV-* — HarmVictimType 受害主体族 v2.0 新增 4主类 · 9子类

挂载对象类型

Harm 节点（AttackPath 中的危害节点，恰好一个）

取代字段

原 Harm.harm_victim: str（废弃）→ 改为 hv_type: HV-* 结构化标签

核心约束

HV-* 只标注攻击链终态破坏；记忆写入 / 配置篡改 / 持久化等中间过程属于 SI-* SinkIntent，不得标注为 HV-*

四主类语义

HV-USER-*：用户数据/凭证/资金受损
HV-OPERATOR-*：运营方凭证/权限受损
HV-THIRD_PARTY-*：第三方被 Agent 滥用攻击
HV-AGENT-*：Agent 自身防御能力或身份被攻击（终态破坏，非中间状态）

子族 HV-USER-* 用户受害族（4个）

标签	含义	CriticalEntity 示例
HV-USER-PII	用户个人身份信息泄露	PII 数据文件 / 记忆条目（姓名/手机/身份证）
HV-USER-CREDENTIALS	用户凭证被盗取	用户侧 Token / 密码 / API Key
HV-USER-SENSITIVE_DATA	用户敏感业务数据泄露	邮件内容 / 业务文件 / 记忆数据外发
HV-USER-MONEY	用户资金损失	账户余额 / 支付凭证

子族 HV-OPERATOR-* 运营方受害族（2个）

标签	含义	CriticalEntity 示例
HV-OPERATOR-CREDENTIALS	运营方凭证被盗取	`.env` / 系统 API Key / Token_Key
HV-OPERATOR-PRIV_ESC	运营方权限被提升或滥用	权限配置 / bypassPermissions / 沙箱逃逸

子族 HV-THIRD_PARTY-* 第三方受害族（1个）

标签	含义	CriticalEntity 示例
HV-THIRD_PARTY-ABUSE	Agent 被操控向第三方发起攻击或传播恶意内容	第三方联系人 / 外部服务实体

子族 HV-AGENT-* Agent 自身受害族（2个）终态破坏，非中间状态

标签	含义	CriticalEntity 示例
HV-AGENT-SC_DEGRADATION	Agent 安全检查能力被降级或禁用；攻击目标是破坏防御本身	SecurityChecker / sc_config / dangerous_patterns
HV-AGENT-IDENTITY_ABUSE	Agent 身份被冒充或中间人劫持，攻击者以 Agent 名义发起后续攻击	Agent 身份凭证 / Gateway auth / hooks_policy 白名单