OrgForge-IT 論文閱讀分析：當 Insider Threat Benchmark 不再讓模型自己編真相，評測才開始變得可信

論文基本資訊

• 論文標題：OrgForge-IT: A Verifiable Synthetic Benchmark for LLM-Based Insider Threat Detection
• 作者：Jeffrey Flynt 等
• 年份：2026
• 來源：arXiv:2603.22499
• 論文連結：https://arxiv.org/abs/2603.22499
• 主題：Insider Threat、LLM Benchmark、Triage、Temporal Correlation、Synthetic Benchmark、SOC

如果最近這一波資安 AI 論文主線，已經一路從 CTI benchmark、SOC triage、incident response agent 走到「模型到底能不能在真實工作流裡少講空話、多做判斷」，那這篇 OrgForge-IT 剛好補上一個很關鍵、但常被忽略的缺口：insider threat detection 到底要怎麼評？

更準確地說，這篇論文不是只想做另一個 insider threat dataset，而是想處理一個 benchmark 設計本身的結構性問題：如果你的合成資料沒有外部事實約束，那整份語料就可能在 email、chat、ticket、telemetry 之間互相矛盾；模型不是推理得好，只是剛好猜到。 OrgForge-IT 的貢獻，就是把這件事反過來做：先用 deterministic simulation engine 維持 ground truth，再讓 LLM 只負責生成表層語言，於是 cross-artifact consistency 不再靠運氣，而是靠架構保證。

這篇論文想解決什麼？

作者一開始就點出 insider threat benchmark 的兩個老問題。

• 第一，經典資料集太舊。 CERT 雖然是這個領域最常被引用的 benchmark，但它本質上仍是舊世代資料集，早於 LLM 時代，也不特別針對現在的 agentic triage 或跨來源推理需求而設計。
• 第二，很多 synthetic benchmark 沒有一致性保證。 如果 email 說 A 發生、chat 說 B 發生、log 又暗示 C 發生，模型最後答對或答錯，其實很難知道它是在做真正的 correlation，還是在吸收資料生成時留下的偶然偏差。

因此，OrgForge-IT 真正想回答的是：

能不能建立一個對 LLM 與 agent 都更公平的 insider threat benchmark：既有多天、多來源、多場景的調查難度，又能保證所有表層敘事背後都有一致、可驗證的 ground truth？

這個問題非常重要。因為 insider threat 不像一般惡意樣本分類，它往往涉及：

• 人員行為脈絡
• 時間序列變化
• 跨系統訊號拼接
• 高噪音日常活動中的少量異常
• 攻擊者、受害者與疏失者角色的細緻區分

如果 benchmark 只給單日、單來源、低噪音題目，那測到的很可能不是 insider threat detection，而只是 pattern matching。

OrgForge-IT 的核心設計：先模擬真相，再生成表層文本

這篇論文最值得記住的地方，是它在資料生成架構上的分層設計。作者不是直接叫 LLM 生出整個 corpus，而是把流程拆成兩層：

1. Deterministic simulation engine：負責維持世界狀態、角色行為、事件因果與 ground truth
2. Language model surface generation：只把這些既定事件翻成 email、訊息、工單、描述文字等表層資料

這種做法的意義非常大。它等於明確拒絕「讓 LLM 同時編故事又當真相來源」這種常見 synthetic data shortcut。對 benchmark 來說，這種 shortcut 最大的風險就是：資料內部會出現肉眼不一定看得出的不一致，而模型可能剛好利用這些瑕疵拿高分。

OrgForge-IT 則改成：敘事可以由模型生成，但真相不能由模型即興決定。 這讓 benchmark 至少在架構上更接近可驗證、可審計的基準。

資料規模與難度設計

根據論文摘要，OrgForge-IT 的語料涵蓋：

• 51 個模擬日
• 2,904 筆 telemetry records
• 96.4% 噪音率
• 4 個 detection scenarios
• 3 類 threat classes
• 8 種 injectable behaviors

這幾個數字合在一起的意思，不只是資料量夠不夠大，而是它在刻意營造一個更接近真實 SOC / insider monitoring 的工作條件：大部分訊號其實都不是案子，真正重要的異常埋在長時間、高噪音、多來源的日常活動裡。

也就是說，這不是那種「題目已經幫你把可疑片段圈出來」的 benchmark，而比較像是在測：當 analyst 或 agent 面對一堆不乾不脆的弱訊號時，能不能一路從 triage 走到 verdict，最後還講得清楚自己為什麼這樣判。

這篇 benchmark 到底在測什麼？

從摘要來看，OrgForge-IT 並不把任務簡化成單一分類，而是刻意分開看幾種不同能力：

• triage：能不能先把真正需要追的案例從大量噪音裡挑出來
• verdict：在挑出來之後，最終判斷是否正確
• victim attribution：尤其在特定 scenario 裡，能不能正確辨識誰是被害者、誰是操作端、誰只是表面上看起來可疑
• temporal correlation：能不能跨多日整合訊號，而不是只看單天單點 evidence

這裡最有意思的一點，是作者明確指出：triage accuracy 和 verdict accuracy 不是同一件事。 一個模型可能很會把案件撈出來，但在最終定性時還是容易誤判；反過來，也可能有模型一旦進到真正案件就判得很準，但前面根本撈不起來。這和很多 production security workflow 很像。

十模型 leaderboard 告訴了我們什麼？

論文摘要整理出的 leaderboard 結論相當值得記：

1. triage 與 verdict 會脫鉤。 八個模型拿到相同的 triage F1 = 0.80，但 verdict F1 卻分裂成 1.0 與 0.80 兩個層級。
2. false-positive rate 必須和 verdict F1 一起看。 只看最後判對率，很可能掩蓋模型在 triage 階段製造了多少噪音。
3. vishing 場景中的 victim attribution 很能拉開層級。 Tier A 模型能替真正受害帳號平反；Tier B 模型雖然察覺有攻擊，卻把被害者也誤判成有問題。
4. 僵硬的 multi-signal thresholds 會系統性漏掉單一表面的 negligent insider。 也就是說，不同 threat class 需要平行、分流、特化的 triage pipeline，而不是一把尺量全部。
5. agentic software-engineering training 對多日時間關聯有放大效果，但前提是模型本身參數規模也要夠強。

這幾點其實都非常貼近實務。尤其第一點與第二點，幾乎是在對整個 security AI 評測圈提醒一件事：如果你只用單一 F1 或單一 accuracy 排名，很可能把本來應該分開看的能力混在一起。

為什麼這篇論文值得 SOC / Blue Team 圈注意？

我認為 OrgForge-IT 的價值，不只在 insider threat 這個子領域，而在於它示範了一種比較成熟的 benchmark 思路：

• 不是只做靜態題庫，而是做 time-evolving scenario
• 不是只測單一來源，而是測 cross-artifact correlation
• 不是讓 LLM 同時編資料又解題，而是把 ground truth 和 surface prose 分離
• 不是只問「有沒有抓到攻擊」，而是拆成 triage、verdict、victim attribution、noise handling

這種 benchmark 設計方法，其實很值得延伸到其他安全任務。舉例來說：

• 告警關聯分析
• 跨日 investigation
• insider / fraud / account abuse 混合場景
• SOAR 與 case management 中的人機協作評測

也就是說，OrgForge-IT 的真正啟發，可能不是「我們又多了一個 insider threat leaderboard」，而是：我們終於比較認真地開始設計那種不會被 benchmark shortcut 輕易騙過的 security AI evaluation。

這篇論文也提醒了什麼風險？

即便如此，這篇工作也不是沒有侷限。至少有幾點值得保留：

• synthetic benchmark 再怎麼進步，終究還是 synthetic。 它可以比舊式合成資料更一致，但和真實企業中的政治脈絡、文化因素、權限歷史、部門互動摩擦相比，仍然簡化很多。
• ground truth 的可驗證性很強，但 threat realism 仍取決於 simulation 設計。 如果 simulation 本身過於乾淨，模型還是可能學到某種 benchmark style。
• insider threat 的判斷特別容易牽涉倫理與治理問題。 模型即使在 benchmark 上表現好，也不代表可以直接作為自動懲處或監控的依據。

換句話說，OrgForge-IT 比較像是在幫這個領域補「評測基礎設施」，而不是直接宣布 insider threat detection 已經被 LLM 解掉了。

重點整理

• OrgForge-IT 是一個針對 LLM-based insider threat detection 設計的 verifiable synthetic benchmark。
• 它的核心創新是把 deterministic simulation engine 與 LLM surface generation 分離，讓 cross-artifact consistency 成為架構保證，而不是偶然結果。
• 語料涵蓋 51 simulated days、2,904 telemetry records、96.4% noise rate，而且包含多 threat classes、多 injectable behaviors。
• 論文顯示 triage F1 與 verdict F1 可能明顯脫鉤，因此不能只看單一總分。
• false-positive rate 必須和 verdict accuracy 一起看，不然容易高估模型的實用性。
• 在 vishing victim attribution 這類 scenario 中，模型間的真正能力差異會被放大。
• Rigid multi-signal thresholding 無法涵蓋所有 insider threat 類型，代表 threat-class-specific triage pipelines 很重要。
• 這篇論文最大的價值，可能不是某個排行榜名次，而是它提供了一種更可信的 security AI benchmark 設計方法。

Takeaway

如果要用一句話總結這篇論文，我會這樣寫：

OrgForge-IT 的意義，不只是做出一個新的 insider threat benchmark，而是提醒我們：如果 benchmark 本身沒有把真相、時間、噪音與跨來源一致性設計好，那你評到的往往不是安全推理能力，而只是模型在資料瑕疵上的投機能力。

對近年一直在談 security copilot、SOC agent、threat reasoning 的圈子來說，這篇 paper 很值得看，因為它把焦點從「模型會不會答」拉回「我們到底在用什麼方式測它」。而在高風險安全場景裡，這一步其實比刷出更高的 leaderboard 分數還重要。

免責聲明

本文由 AI 產生、整理與撰寫。內容主要依據公開論文摘要、作者公開資料與可取得之研究資訊進行彙整、解讀與摘要。儘管已盡力確保內容之完整性與可讀性，仍可能因模型理解限制、資料來源差異或語意轉譯過程而存在疏漏、不精確或更新延遲之處。本文內容僅供研究交流與知識分享參考，實際技術細節、實驗設定與最終結論，仍應以原始論文、官方文件及作者公開資料為準。