Atomic Decision Boundaries 論文閱讀分析:真正能保證 Agent 不在最後一刻越界的,不是事前多看一次,而是判斷和出手根本沒有縫
這篇論文真正關鍵的,不是再講一次 policy 要多嚴,而是指出只要 decision 和 state transition 仍然分兩步,execution-time admissibility 就可能在最後一刻蒸發。
2026 年 4 月 22 日
Mastiporuto Senia
2026
AndroScanner 論文閱讀分析:很多 mobile App 真正先出事的,不是 APK 本身,而是背後那排被忽略的 API
這篇論文真正重要的,不只是又多一個 Android 掃描器,而是把很多團隊一直切開看的 mobile 與 backend 風險重新接回同一張 API 攻擊面地圖。
2026 年 4 月 22 日
MAD 論文閱讀分析:很多模型真正危險的,不是答案錯了,而是它早就不是用正常機制在做事
這篇論文真正重要的,不只是又做出一個 anomaly detector,而是把問題問對了:很多模型安全真正該檢查的,不只是 output 對不對,而是它是不是仍由正常、可信的內部機制產生。
2026 年 4 月 22 日
CHRONOS 論文閱讀分析:很多 secure federated learning 真正卡住的,不是隱私保護不夠,而是把最重的密碼成本塞進了最不該卡的 training path
這篇論文真正重要的,不只是又做了一個 secure federated learning 方案,而是把問題問對了:當 IoT 裝置最貴的是 active training phase,那些 data-independent 的密碼協定就不該繼續塞在那段 critical path 裡。
2026 年 4 月 22 日
TrEEStealer 論文閱讀分析:很多團隊以為把模型塞進 TEE 就安全了,但控制流可能早就把整棵樹洩光
這篇論文真正刺中的,不是哪個 decision tree library 寫得不夠漂亮,而是很多人對 TEE 的保密想像本來就放錯地方:如果模型推論仍帶著 data-dependent control flow,那 branch history、page trace 與 performance counter 這些執行痕跡,就可能把整棵樹慢慢洩出去。作者在 SGX 與 SEV 上實作 TrEEStealer,並對 OpenCV、mlpack、emlearn 做到高保真抽取,表 3 的 10 組模型甚至全部達到 1 − R = 1.00。
2026 年 4 月 22 日
LLM Tutor 洩答論文閱讀分析:很多教學助手真正先守不住的,不是正確率,而是答案邊界
這篇論文最值得注意的,不是它再次提醒 LLM tutor 可能會洩答,而是它把問題從一般教學品質拉回 adversarial robustness:真正該量的,是當學生開始像攻擊者一樣多輪施壓、情境操弄、慢慢磨穿邊界時,tutor 還能不能守住 final answer。作者發現 contextual manipulation 平均 leakage rate 高達 74%,而 fine-tuned adversarial student 更可把 Qwen-32B 的 tutor leakage 從 4% 拉到 70%。
2026 年 4 月 22 日
ARES 論文閱讀分析:很多安全對齊真正先壞掉的,不是模型單點失守,而是 policy 跟 reward model 一起誤判了同一件危險事
這篇論文最值得看的地方,不是又做了一套 jailbreak framework,而是把 RLHF 系統裡 policy model 與 reward model 的共同失效面抓出來:如果 actor 跟 judge 共享同一種安全盲點,整條 alignment pipeline 會一起鬆手。
2026 年 4 月 22 日
Why JD Can’t Encrypt 論文閱讀分析:真正讓機密上報的,常常不是加密失敗,而是把加密放進錯的流程
這篇論文最值得記住的,不是它質疑某個加密工具夠不夠安全,而是它把一個常被混在一起的問題拆開:technical security 與 real-world confidentiality 不是同一件事。Signal 可以沒有被破解,但只要權力結構、設備整合、流程例外與錯誤安全感把內容送到不該去的人手裡,最後仍然是保密失敗。
2026 年 4 月 22 日
Owner-Harm 論文閱讀分析:很多 Agent 真正先傷到的,往往不是別人,而是部署它的自己人
這篇論文最值得注意的,不是它又多列幾個 agent 風險,而是它把一個很多產品團隊其實已經遇到、卻沒被正式建模的問題講清楚:agent 很可能先傷害的不是外部世界,而是自己的 deployer。作者把這類風險定義為 Owner-Harm,並指出某套在 AgentHarm 上達 100% TPR / 0% FPR 的 safety system,面對 AgentDojo 中 prompt-injection-mediated owner-harm tasks 時卻只剩 14.8%。
2026 年 4 月 22 日
LLM API 資料外洩風險論文閱讀分析:別再拿 DP 與 membership inference 當成訓練資料抽取風險的萬用護身符
這篇論文最值得記住的,不是它又提出一種 memorization 指標,而是它把一件很多人搞混的事拆開講清楚:differential privacy 與 membership inference 量的是 distinguishability,不是 LLM API 被抽出訓練文本的真實成本。作者提出 (l, b)-inextractability,把風險轉成攻擊者平均需要多少次查詢才能誘發受保護片段,並指出固定 greedy、固定 top-k 的舊量測方式很容易低估最壞情況。
2026 年 4 月 22 日