Agentic Security 論文閱讀分析:當 AI Agent 真正走進資安體系後,我們該先談能力還是先談風險?
論文基本資訊
- 論文標題:A Survey on Agentic Security: Applications, Threats and Defenses
- 年份:2025
- 來源:arXiv:2510.06445
- 論文連結:https://arxiv.org/abs/2510.06445
- DOI:10.48550/arXiv.2510.06445
- 主題:Agentic Security、AI Agents、Cybersecurity、Survey、Threats、Defenses、Security Operations
如果說今天前面幾篇文章,像 RedSage、CORTEX、FALCON、CyberRAG、CAIBench,分別從通才模型、SOC 協作、多代理人規則生成、agentic RAG 與 benchmark 角度,逐步把「AI 正在進入資安工作」這件事拆開來看,那 A Survey on Agentic Security: Applications, Threats and Defenses 的位置就很剛好:它不再只問某一個 agent 系統做得好不好,而是回到更大的問題——當 agent 真正成為資安系統的新單位時,我們到底該如何理解整個 agentic security 版圖?
這篇論文最值得讀的地方,在於它不是單點 demo,也不是只替某個方法背書。作者試圖做的,是把快速擴張中的 agentic security 研究整理成一個可被討論、可被比較、也可被質疑的全景地圖。根據摘要,作者系統性整理了 160 篇以上 論文,並將整體領域切成三個基本支柱:Applications、Threats、Defenses。這個切法很重要,因為它意味著 agent 在資安中的意義,不能只看「能幫我們做什麼」,還必須同時看「它會帶來什麼新風險」以及「我們該如何保護它」。
這篇論文在處理什麼問題?
過去我們談資安 AI,常常還停留在單模型能力:能不能答題、會不會抽 IOC、能不能看懂 ATT&CK、能不能幫忙寫規則、能不能加速 triage。但 agentic AI 把問題往前推了一步。因為一旦模型開始擁有規劃、拆解任務、調用工具、跨步驟執行與根據回饋修正行動的能力,它就不再只是被動的生成器,而更像一個能在系統中持續活動的操作單位。
這帶來兩層完全不同的後果:
- 正面的一層:agent 可以把原本需要人類手動串起來的多步驟安全工作,自動化成一條更完整的 workflow。
- 反面的一層:一個具備工具使用能力與自主規劃能力的系統,本身也會成為新的攻擊面、新的失控來源,以及新的安全治理難題。
也因此,這篇 survey 的核心價值不在於再介紹幾個新系統,而在於它把 agentic security 從零散案例提升為一個獨立研究領域來看待:應用、威脅、防禦必須一起被討論,否則討論永遠會失衡。
三大支柱:Applications、Threats、Defenses
從摘要可知,作者把整個 agentic security landscape 分成三個基本面向。這個結構本身就值得記住,因為它比單純按照「攻防」或「紅藍隊」分類更完整。
一、Applications:Agent 在資安裡究竟被拿來做什麼?
Applications 講的是 agent 作為能力放大器時的角色。從近一年資安論文發展來看,這個範圍其實已經很廣,至少包含:
- CTI 蒐整、彙整與歸因輔助
- SOC alert triage 與 investigation workflow orchestration
- 偵測規則生成、查詢生成與驗證
- 事件回應中的證據蒐集、上下文補全與處置建議
- 弱點分析、程式碼/腳本理解與 remediation recommendation
- 資安訓練、模擬演練與 benchmark 驗證環境
如果把今天 sectools.tw 已經追過的主線放進來看,這篇 survey 等於幫我們做了一個更大的拼接:RedSage 代表的是通才基座,CORTEX 代表的是多代理人高風險 SOC 協作,FALCON 代表的是 CTI 到規則的自動轉換,CAIBench 代表的是能力評估,而這篇 survey 則把它們全都放回同一張地圖。
這也是我認為它值得接在 RedSage 後面的原因之一。因為 RedSage 討論的是「懂資安工作的通才模型」,而這篇 survey 討論的是「當這些模型進一步變成 agent 時,整個資安生態會怎麼變」。兩者是自然相連的,但又不會和今天已經密集發過的 CTI benchmark 或 SOC triage 題材重疊得太近。
二、Threats:Agentic AI 為什麼本身就是新的安全問題?
這篇 survey 比較成熟的地方,在於它沒有把 agentic AI 只當成生產力工具。相反地,它明確把 threat 當成和 application 同等重要的一級主題。這點非常關鍵。
因為一旦系統具備 agent 性,風險就不再只是傳統 LLM 的 hallucination 而已,而會擴張成更多層次的威脅:
- 提示與目標劫持:攻擊者不一定要直接攻擊模型,只要讓 agent 在任務目標或中間上下文上被重新導向,就可能把整條工作流帶偏。
- 工具濫用:當 agent 可以呼叫搜尋、資料庫、ticket system、shell 或外部 API 時,錯誤不再只是文字層面的錯,而可能直接變成操作層面的風險。
- 多步驟風險累積:單一步驟的小錯,在 agent workflow 中可能被放大成連鎖失誤,最終導致錯誤封鎖、錯誤調查方向,甚至錯誤處置。
- 資料與權限外溢:agent 為了完成任務,往往需要跨系統取用更多資料與權限,這使最小權限原則更難實作。
- 觀測與審計困難:多代理人或長鏈式任務一旦變複雜,人類更難追蹤究竟是哪一步導致錯誤決策。
換句話說,agentic security 最大的弔詭正在這裡:它一方面想用 agent 來保護系統,另一方面又創造出需要被保護的新型 agent 系統。 這也是為什麼這篇 survey 不是錦上添花,而是必要的整理工作。
三、Defenses:如果 agent 已經成為基礎設施,我們要怎麼保護它?
當作者把 defenses 獨立拉成第三個支柱時,其實等於在說:agentic security 不只是「拿 agent 來做 defense」,而是「如何防守由 agent 組成的安全系統」。這會把討論拉向更底層的設計問題:
- 如何限制 agent 的工具使用範圍?
- 如何建立可靠的 human-in-the-loop 與 approval boundary?
- 如何讓 agent 的推理與工具調用可追溯、可審核、可重現?
- 如何評估多代理人協作在高風險場景中的穩定性?
- 如何建立持續性的 benchmark,而不是只看一次性 demo?
這裡最值得注意的是:defense 不應只理解為防 prompt injection,而應該理解為整體系統的安全工程。也就是說,agentic AI 的 defense 不是單一 patch,而是從權限設計、任務切分、工具隔離、記錄機制、測試基準到回滾流程的完整工程組合。
為什麼這篇 survey 對資安實務者很重要?
很多 survey 的問題,是容易寫成文獻型目錄,讀完以後只知道 papers 很多,但不知道該怎麼用。這篇 survey 之所以值得注意,是因為它所整理的三支柱,對實務者剛好對應三個非常現實的問題:
- 我們能把 agent 用在哪些工作?
- 一旦用了,會新增哪些攻擊面與失效模式?
- 在什麼治理與防護條件下,這些 agent 值得上線?
這三個問題,正好也是今天幾乎所有資安團隊面對 agentic AI 時最需要先釐清的。因為真正棘手的不是「要不要上 agent」,而是要把它放在哪一層、給它多少權限、讓它對誰負責,以及出錯時誰能接住。
如果只看功能 demo,很多 agent 系統看起來都很驚人;但只要一進入 SOC、CTI、IR 這種高風險場景,問題就會從能力展示轉成責任設計。這也是為什麼一篇好的 survey 不只是學術整理,而是幫實務界把討論重心從「模型會不會」拉回「系統該怎麼治理」。
這篇論文透露了什麼研究趨勢?
摘要裡還有一個值得特別記下來的訊號:作者除了做 taxonomy,也做了 cross-cutting analysis,並指出目前領域內在 agent architecture 與 model / modality coverage 上存在重要缺口。
這句話其實很有重量。它意味著今天 agentic security 雖然熱,但研究可能仍呈現幾個典型問題:
- 系統設計很多,但真正可比較的標準很少
- 研究偏向少數模型與少數模態,泛化能力仍不明朗
- 多數論文仍偏重 application success,而低估 threat 與 defense 的工程成本
- agent 架構設計看似百花齊放,但缺乏共同的驗證框架
更直白地說,這個領域現在很熱,但未必已經成熟。也因此,這篇 survey 的作用不只是替研究成果做摘要,而是幫整個領域指出:我們不能再只拼功能,必須開始拼可驗證性、可治理性與可防守性。
我怎麼看這篇論文的價值?
如果要把這篇 survey 的意義濃縮成一句話,我會這樣說:
它讓 agentic security 第一次不再只是零散案例的集合,而開始像一個需要被完整治理的研究與工程領域。
這個判斷很重要。因為今天市場上最容易發生的事,是所有人都急著把 agent 接到工具鏈上,卻沒有先回答系統層面的問題:它能做什麼、不能做什麼、誰審批、誰負責、怎麼回滾、怎麼持續驗證。這篇 survey 的真正價值,就在於它逼著我們承認:agentic AI 在資安裡不是一個功能升級,而是一個架構層級的變動。
總結
A Survey on Agentic Security: Applications, Threats and Defenses 是一篇很適合放在這個時間點讀的論文。因為它剛好出現在 agentic AI 從「令人驚艷的展示」走向「需要被治理的基礎能力」的分界線上。
它最重要的貢獻,不只是整理了 160+ papers,而是把整個領域穩穩地拆成三個不可偏廢的問題:
- Applications:agent 如何真正被用在資安工作中
- Threats:agent 會帶來哪些新的攻擊面與失效模式
- Defenses:我們應該如何把 agent 本身當成需要被保護與治理的系統
若把它接在今天已經發過的 RedSage 之後,它提供的是一個很自然的下一步:當我們終於開始有了像 RedSage 這樣「懂資安工作的模型」,接下來真正該問的,就不是模型夠不夠聰明,而是我們是否已經準備好面對 agentic security 的全套後果。
免責聲明
本文由 AI 產生、整理與撰寫。 內容主要依據公開論文摘要、arXiv 頁面與可取得之研究資料進行彙整、解讀與摘要。由於本文所依據之公開資訊以摘要與可取得描述為主,對於完整分類細節、統計方法與全部文獻覆蓋範圍之詮釋,仍可能受限於公開材料粒度。實際技術細節、完整 taxonomy、交叉分析方法與最終結論,仍應以原始論文與作者公開資料為準。