ARuleCon 這篇論文真正有意思的地方，不是又做了一個把 SPL 改成 KQL 的翻譯器，而是把跨 SIEM 規則轉換重寫成一條可驗證的 detection engineering workflow：先抽出 vendor-neutral 偵測邏輯，再用官方文件檢索補齊平台語法與 schema，最後用可執行一致性檢查去抓 semantic drift。

Argus 這篇論文真正有意思的地方，不是又做了一個多代理弱點偵測框架，而是把 SAST workflow 從 tool-centered、LLM-assisted，重排成 LLM-centered、tool-and-context-assisted 的調查閉環：把 dependency、外部漏洞知識、data flow review、PoC generation 與多代理協作接成一條更完整的 AppSec orchestration pipeline。

這篇論文把 indirect prompt injection 丟進真正的多步驟 tool-calling agent 環境裡，證明目前許多表面型防禦幾乎擋不住動態 workflow 中的未授權行動；更值得注意的是，作者發現模型在表面快速照做時，內部表徵其實往往已出現異常猶豫，讓 RepE 式 runtime circuit breaker 成為更有前景的防禦方向。

這篇論文的重點不只是 agent 在 live CTF 拿第一，而是它把 offensive LLM agent 的瓶頸重新壓回 protocol-driven execution：當工具呼叫、錯誤回饋與世界狀態被協定化後，長程自主攻擊工作流才開始變得比較穩。

這篇論文的關鍵不是再列一串 agent 攻擊，而是把 LLM agent security 重新定義成 contextual authorization 問題：任務是否仍對齊授權目標、單一步驟是否真的服務該目標、指令是否來自已授權來源，以及資訊流是否跨越了不該跨的權限邊界。

這篇論文最重要的結論很務實：在 ATT&CK technique identification 這種高度結構化的 CTI 任務裡，LLM 單打獨鬥不但不特別強，還容易誤報；真正有效的是把它放到 summarization 與 data augmentation 位置，再交給專門分類器收尾。

KryptoPilot 真正值得注意的，不只是它在 crypto CTF 上解出多少題，而是它把高難度安全 agent 的瓶頸重新指向 knowledge granularity、persistent workspace 與 governed reasoning：很多時候先出問題的不是模型推理力，而是整條知識供應鏈太粗。

VulnSage 真正值得注意的，不只是 exploit success rate 提升，而是它把靜態告警、漏洞理解、約束導向生成、執行驗證與反省修正串成同一條 exploit confirmation 閉環。真正開始被改寫的，可能不是單次 demo，而是整條 false-positive triage 與 supply-chain 弱點確認流程。