漏洞情資預測論文閱讀分析:真正難的不是替 CVE 打分,而是提早看出哪顆洞快要突然熱起來
這篇論文最值得看的,不是又拿時間序列模型去套資安資料,而是很誠實地指出:漏洞 sighting 本來就是又稀又短又會突然爆量的事件流。真正有用的預測,不是硬把它當平滑曲線,而是承認它更像 count process,並把 forecasting 拉回 CTI 與修補優先序的實戰脈絡。
2026 年 4 月 22 日
Mastiporuto Senia
2026
Original Sin of npm 論文閱讀分析:很多 JavaScript 供應鏈真正危險的,不是你今天又裝了哪個新套件,而是那幾個老洞早就沿著 dependency graph 長成整片陰影
這篇論文最有意思的地方,不是再一次提醒 npm 供應鏈有風險,而是清楚指出:少數高頻老漏洞會沿著 dependency network 被整個生態反覆繼承,讓 JavaScript 供應鏈風險更像結構性傳染,而不是零星個案。
2026 年 4 月 22 日
GLMTest 論文閱讀分析:很多 LLM 測試工具真正缺的,不是再多生幾組 testcase,而是能不能精準打到你最怕出事的那條 branch
這篇研究最值得看的,不是 LLM 又多會寫 testcase,而是它把安全測試的焦點從泛泛 coverage 拉回真正有風險的 execution path:透過 code property graph、GNN 與 LLM 聯訓,讓模型更有機會精準打進指定 branch,而不是只靠 prompt 運氣。
2026 年 4 月 22 日
安全教學論文閱讀分析:真正有感的 secure coding 訓練,往往不是再多一份通用教材,而是把洞打回你自己的程式裡
這篇研究最值得看的,不是 LLM 又多會寫 code,而是它把安全教學往真正個人化推進一步:直接把特定 CWE 注入學生自己的程式裡,讓 secure coding 不再只是看陌生範例,而是回頭看見自己平常最可能怎麼把洞寫出來。
2026 年 4 月 22 日
SIREN 論文閱讀分析:很多 LLM 安全真正缺的,不是再多一個 guard,而是更早讀到模型腦內已經亮起來的紅燈
這篇論文最值得看的,不是又做出一個新的 guard model,而是把 harmfulness detection 往模型內部表示前移:用更少參數、更低延遲,提早讀出安全相關訊號,讓即時串流與執行期攔截更有機會真的落地。
2026 年 4 月 22 日
MASFuzzer 論文閱讀分析:真正拖慢 library fuzzing 的,通常不是 mutation 不夠,而是 driver 根本不懂 API 要怎麼串
這篇論文最值得看的,不是 LLM 會不會幫你寫 fuzz driver,而是它先把 library API 的互動結構挖出來,再把 driver 丟進會做 coverage 導向調度與持續演化的 fuzzing 迴圈,讓探索開始真正往深層程式路徑走。
2026 年 4 月 22 日
SDLLMFuzz 論文閱讀分析:很多 fuzzing 真正卡住的,不是 coverage 不夠,而是根本還沒學會怎麼看懂 structured input
這篇論文真正有意思的地方,不是又讓 LLM 幫忙生 seed,而是把 structured input 的格式理解、dynamic execution feedback 與 static crash analysis 接成同一條 feedback loop,讓 fuzzing 開始比較像會從失敗裡學習的探索系統。
2026 年 4 月 21 日
AI 輔助勒索軟體偵測論文閱讀分析:真正該防的,不只是有沒有中招,而是能不能在加密大爆發前就看懂那串異常檔案行為
這篇論文真正重要的,不只是用 attention-based LSTM 抓 ransomware,而是把早期偵測、檔案行為序列與可解釋性綁在一起,讓告警更有機會變成能被 analyst 採取行動的依據。
2026 年 4 月 21 日
SoK: The Attack Surface of Agentic AI 論文閱讀分析:真正該防的可能不是某個 prompt,而是整條從資料流走到行動流的 agent attack surface
論文基本資訊 論文標題:SoK: The...
2026 年 4 月 21 日
長期記憶安全論文閱讀分析:很多 Agent 真正最危險的,不是當下被騙,而是被騙過的東西還會一直留在腦子裡
這篇論文真正重要的,不是再多列幾種 memory attack,而是把長期記憶重新定義成 agent 的 state-governance 問題:可寫、可取回、可共享、可遺忘的 memory,本身就是獨立安全邊界。
2026 年 4 月 21 日