Agentic AI 演化論文閱讀分析:從單一 LLM 助手到多代理藍隊系統,資安 Agent 到底走到哪一步了?
本文由 AI 產生、整理與撰寫。
論文基本資訊
- 論文標題:The Evolution of Agentic AI in Cybersecurity: From Single LLM Reasoners to Multi-Agent Systems and Autonomous Pipelines
- 來源:arXiv:2512.06659
- 年份:2025(Accepted at ICAIC 2026)
- 論文連結:https://arxiv.org/abs/2512.06659
- 主題:Agentic AI、Cybersecurity、SOC、Multi-Agent Systems、Autonomous Pipelines、Benchmarks、Safety
如果把最近 sectools.tw 這一整波文章串起來看,會發現我們其實已經一路碰過很多看似分散、但本質上互相連著的問題:LLM 會不會做 CTI、能不能進 SOC、能不能做 incident response、要不要給工具、怎麼治理多代理人、怎麼防 skill supply chain、怎麼做 auditability。 但當這些 paper 越看越多,另一個問題也會越來越明顯:這些系統到底是在同一條演化線上的不同階段,還是只是各自獨立的 demo?
The Evolution of Agentic AI in Cybersecurity 這篇 survey 的價值,就在於它試圖把這條線畫出來。作者的核心觀點很清楚:資安是 agentic AI 最早落地、也最容易被高估的場景之一。 因為 SOC、threat hunting、incident response、malware analysis 這些工作,本來就高度依賴多步驟推理、工具操作、證據串接與高壓下的快速決策,所以看起來特別適合交給 agent。但作者也提醒,從「會回答」走到「會做事」,中間不是多接幾個工具那麼簡單,而是一整套架構、控制、評測與責任模型的變化。
這篇論文在回答什麼問題?
這篇 paper 真正要回答的,不是某個單一 agent framework 好不好,而是更結構性的問題:
- 資安場景裡的 agentic AI,究竟已經演化到哪一個階段?
- 從單一 LLM reasoner 走到多代理人系統與半自主 pipeline 時,能力與風險各自怎麼變?
- 目前常見 benchmark 到底在量什麼,又漏掉了什麼?
- 若真的要把 agent 放進高風險安全工作流,還缺哪些基礎條件?
這些問題的重要性很高,因為現在市場上很多敘事都把不同成熟度的系統混在一起講:有些只是 prompt 包裝得比較像 analyst,有些是 tool-augmented assistant,有些已經變成 multi-agent orchestrator,有些甚至開始往 semi-autonomous pipeline 走。如果不先把這些層級拆開,你很容易用錯標準去評估系統,也很容易把 demo 的能力誤認成 production readiness。
作者提出的五代演化框架
這篇論文最值得記住的核心,就是它提出了一個五代(five-generation)taxonomy,用來描述 agentic AI 在資安中的演化。
雖然不同實作不一定完全落在單一格子裡,但這個框架非常有幫助,因為它不是用模型大小或品牌來分,而是用能力邊界與系統結構來分。
第一代:Text-only LLM Reasoners
第一代最接近早期大家熟悉的「把資安問題丟給聊天模型」。這類系統擅長:
- 總結 alert 或 threat report
- 解釋術語、TTP、漏洞敘述
- 提供初步 triage 建議
它們的優勢是上手快、成本低、互動自然;但限制也很明確:沒有 grounded data access、沒有可重複的操作鏈、沒有真正的 action semantics。 換句話說,這一代比較像會講話的 analyst copilot,而不是能負責任地參與安全工作流的系統。
第二代:Tool-Augmented Agents
第二代開始把工具接進來,例如查 SIEM、查 threat intel、打 knowledge base、做 retrieval、操作腳本等。這讓 agent 能從「只會說」進到「可以碰資料、調能力」。
這一步很關鍵,因為它讓資安 agent 第一次真正接近現場:不是只憑參數記憶回答,而是能基於具體證據做分析。 但風險也同步升高——一旦系統開始依賴 tool calling,問題就不再只是 hallucination,而會變成:
- tool selection 對不對
- 參數有沒有漂移
- 外部資料是否可信
- 結果能不能重現
第三代:Schema-bound / Workflow-constrained Agent Systems
到了第三代,重點不只是能不能調工具,而是怎麼把工具使用變成可控、可驗證、可整合的工作流。作者把這類系統看成從自由式 agent 邁向較成熟工程化的一步。
這一代通常會出現:
- 結構化輸出與 schema-bound tool calls
- 明確的 phase / stage 切分
- 比較清楚的 policy gate 或 orchestration layer
- 對可重複性與審計性的初步要求
對安全營運而言,這一代的重要性非常高。因為資安工作不是單輪問答,而是證據蒐集、假設形成、驗證、修正、決策與回報的鏈條。沒有流程約束,agent 往往只是把錯誤更快地放大。
第四代:Distributed Multi-Agent Systems
第四代就是最近論文裡最常出現、也最容易吸睛的那一類:多代理人協作。這些系統通常把不同角色拆開,例如 planner、investigator、evidence collector、reporter、validator、policy enforcer 等。
多代理的吸引力很直觀,因為真實 SOC / IR 本來就不是單一腦袋完成所有任務,而是多角色分工。但作者也點出,系統一旦往這個方向走,新的風險會跟著放大:
- 代理之間的 coordination failure
- 訊息傳遞中的誤解與污染
- 責任邊界變模糊
- 整體系統更難追蹤、驗證與稽核
這也是為什麼多代理在資安裡很迷人,但同時也很危險。它解決了單一模型上下文與分工不足的問題,卻把治理、驗證與安全邊界問題提升到系統層級。
第五代:Constrained-Autonomy / Semi-Autonomous Pipelines
作者認為最新的演化方向,已經不只是 multi-agent collaboration,而是開始往半自主、受約束的長鏈 pipeline前進。這類系統會試著把連續性的安全工作交給 agent 處理,例如持續觀測、事件調查、證據擴張、建議處置與自動化回應。
這一代的核心不再只是「能做更多步」,而是:
- 能不能在長時間範圍內維持一致性
- 能不能在不確定與對抗條件下修正自己
- 能不能在高影響動作前正確停手或升級人工審查
- 能不能把 autonomy 關進安全可控的邊界裡
也就是說,真正難的不是 agent 自主,而是受約束的自主(constrained autonomy)。在資安場景裡,這兩者差很多。
這篇論文怎麼比較不同世代?
作者不是只用故事敘述五代,而是用幾個核心維度來比較它們:
- Reasoning depth:是不是只做表面摘要,還是能處理多步驟推理與回溯修正?
- Tool use:是純文字回答,還是真能連外、查資料、操作系統?
- Memory:系統能否維持跨步驟、跨階段的任務狀態?
- Reproducibility:同一任務能不能有可重現、可檢查的執行鏈?
- Safety:系統是否具備對高風險動作的限制、驗證與升級機制?
這組維度很實用,因為它剛好把資安 agent 最常被混淆的三件事拆開了:能力、可控性、可信度。 很多系統在能力上看起來很亮眼,但一碰到 reproducibility、safety 或 accountability 就立刻露餡。
作者怎麼看 benchmark?
這篇論文另一個重要貢獻,是它不只談架構,還回頭整理了目前用來評估 cyber agents 的 benchmark 脈絡。這點很重要,因為如果評測方式本身太靜態,你就很容易高估 agent 對真實 SOC 的幫助。
從這篇 survey 的角度看,現有 benchmark 大致有幾個問題:
- 太多 benchmark 只量知識問答,卻沒有量工具協作與證據鍊
- 很多評測缺乏長鏈任務,因此無法看出規劃與修正能力
- 多代理系統常只量最終答案,卻沒量 coordination quality
- 安全性與高影響行為控制,常常沒有進入主要評分項
這也是近期為什麼會陸續出現像 CTI benchmark、SOC benchmark、incident analysis benchmark、agent security benchmark 這些不同方向的工作。不是大家在重複造輪子,而是不同 benchmark 其實各自在補不同成熟度下的評估缺口。
這篇 survey 真正點出的五個硬問題
我覺得這篇 paper 最有價值的地方,不是它替 agentic AI 下結論,而是它把幾個還沒解掉、但非常關鍵的問題講得很清楚:
1. Response validation
資安場景下最怕的不是模型不知道,而是它在不夠確定時仍然產生看似合理的建議。作者強調,未來 agent 不能只會產生 response,還要能驗證 response 是否足以支撐行動。
2. Tool-use correctness
當 agent 真正碰工具,問題會從「答對了嗎」變成「做對了嗎」。這包含資料來源正確性、參數使用正確性、工具輸出解讀正確性,以及是否把 tool result 當成可信證據。
3. Multi-agent coordination
多代理不是天然更好。若 coordination protocol、角色邊界與衝突解決沒有設計好,多代理很可能只是在製造更難發現的系統性錯誤。
4. Long-horizon reasoning
真實 incident response 與 threat investigation 都不是一輪完成的。agent 若不能在長鏈任務中維持 state、修正假設、管理中間證據,它就很難真正進入高價值流程。
5. Safeguards for high-impact actions
這可能是整篇論文最重要的一點:當 agent 開始可以建議或觸發高影響動作時,系統需要的不是更多自信,而是更成熟的 safeguard。 也就是 validation gate、approval boundary、policy enforcement、auditability 與 rollback thinking。
這篇論文和近期 sectools.tw 那條主線怎麼接?
如果把這篇放回最近 sectools.tw 追的脈絡,它其實很像一篇地圖整理文。
- CTI / benchmark 類文章在回答:模型懂不懂資安、懂不懂 threat intelligence。
- SOC / IR 類文章在回答:agent 能不能進分析與處置流程。
- agent security / governance 類文章在回答:如果它真的開始做事,我們要怎麼限制、驗證、追責。
而這篇 survey 把這三條線收束成一個更清楚的結論:agentic AI 在資安裡不是單一技術突破,而是一段從 reasoning assistant → tool user → workflow actor → multi-agent collaborator → constrained autonomous pipeline 的連續演化。
這個框架的好處,是它能幫你避免兩種常見誤判:
- 把第一、二代系統的 demo 當成第五代 system 的成熟度
- 因為看到某些失敗案例,就否定整條演化路線的價值
更精準的看法應該是:能力確實在進步,但系統要求也在同步升級;越往後一代,真正的瓶頸越不是模型本身,而是 orchestration、verification、governance 與 safety engineering。
我怎麼看這篇論文?
我覺得這篇 paper 很值得讀,尤其對已經看了一堆 SOC / CTI / IR / multi-agent / agent security 論文的人來說,它很像一次必要的整理。不是因為它提出某個全新的 algorithm,而是因為它把現在資安 agent 論文裡最容易混掉的層次分清楚了。
它最有價值的一點,是把「agent 能力」和「agent 成熟度」分開看。很多系統已經能在某些 task 上表現得很像 analyst,但那不代表它們已經具備 production-grade 的 reproducibility、validation 與 safety。這個 distinction 很重要。
如果要挑一句最值得記住的 takeaway,我會寫成這樣:資安 agent 的未來不只是更會推理,而是更能在長鏈、高風險、可審計的約束下推理。
結語
The Evolution of Agentic AI in Cybersecurity 不是那種會直接給你一個新 benchmark 分數或新架構圖就結束的 paper。它更像是在提醒我們:當資安界討論 agentic AI 時,真正需要的不是再多一個「看起來很能幹」的 demo,而是一張能分辨不同成熟度、不同風險型態與不同工程要求的地圖。
從這個角度看,這篇論文的價值非常實務。因為它幫我們把一件事講清楚了:從單一 LLM reasoner 走到多代理與半自主 pipeline,不只是能力增加,也是責任、驗證與安全債同步上升的過程。 如果只看到前者,沒看到後者,那 agentic AI 在資安裡就很容易變成另一種高風險自動化幻覺。
免責聲明
本文由 AI 助理協助整理與撰寫,內容主要依據公開論文、技術文件與可取得之研究資料進行彙整、解讀與摘要。儘管已盡力確保內容之完整性與可讀性,仍可能因模型理解限制、資料來源差異或語意轉譯過程而存在疏漏、不精確或更新延遲之處。本文內容僅供研究交流與知識分享參考,實際技術細節、實驗設定與最終結論,仍應以原始論文、官方文件及作者公開資料為準。