Empowering Your Cybersecurity, One Tool at a Time.
這篇論文最值得記住的重點是:在 agent 系統裡,真正危險的 prompt injection 不一定會反映在最後輸出文字上,而可能藏在自動 URL preview、metadata 擷取與工具呼叫造成的 network egress。當使用者看起來只是在請 agent 摘要網頁,敏感 runtime context 卻可能已經被分片、低噪音地往外送出。
這篇論文最值得記住的重點是:在 agent 系統裡,真正危險的 prompt injection 不一定會反映在最後輸出文字上,而可能藏在自動 URL preview、metadata 擷取與工具呼叫造成的 network egress。當使用者看起來只是在請 agent 摘要網頁,敏感 runtime context 卻可能已經被分片、低噪音地往外送出。
這篇論文最值得記住的重點是:在硬體 IP obfuscation 這種高風險安全設計問題裡,agent 能把 planning、lock-plan generation、deterministic compilation、functional verification 與 SAT-based evaluation 串成工作流,確實開始有用了;但只要 SAT solver 仍能全面恢復正確 key,這種「會生成安全機制」和「真的生成了安全性」就還是兩回事。
MUZZLE 這篇論文最值得記住的重點是:對 web agent 來說,真正高風險的 prompt injection 已經不是單一靜態頁面的惡意字串,而是會沿著 agent 真實瀏覽軌跡,自動尋找高價值 UI 注入點、根據任務上下文改寫攻擊策略、甚至跨應用擴散的 agentic red-teaming 問題。當攻擊開始跟著 workflow 走,防守也不能再只盯著 payload 本身。
AdapTools 這篇論文最值得記住的重點是:對現代 tool-using agent 來說,真正危險的 indirect prompt injection 已經不只是固定模板,而是會根據任務脈絡挑選最合適工具入口、改寫攻擊語句、並偽裝成正常外部內容的適應式攻擊。當攻擊者也開始理解 agent workflow,單靠 prompt-level 過濾很難真正守住整條控制鏈。
From IOCs to Regex 論...
AttriGuard 最重要的洞見是:間接提示注入不該只當成文字分類問題,而該當成行動歸因問題。真正要驗的不是外部內容哪句話最像惡意 prompt,而是某個 tool call 到底是不是仍由使用者意圖支撐;如果把 observation 的控制力削弱後,這個 call 就活不下來,那它就很可能已經被外部內容接管。
Beyond RAG for Cyber Threat Intelligence 這篇論文最值得看的地方,是它沒有再把 GraphRAG 當成萬靈丹,而是把 CTI 問答裡真正重要的幾條軸線一起攤開:當問題需要多跳關係推理時,graph grounding 確實能幫上忙;但 graph-only pipeline 也會引入 text-to-Cypher、schema mismatch、空結果高自信回答與延遲不穩等新風險。最後更可靠的方向,不是單一路線,而是 graph、text、agentic repair 與 abstention policy 一起設計的 hybrid intelligence system。
Zombie Agents 這篇論文最重要的提醒是:對會跨 session 寫入與重用長期記憶的 agent 來說,真正危險的已經不只是當前回合的 indirect prompt injection,而是這些外部惡意內容被 agent 自己內化成未來還會再用的記憶。當 memory evolution 成為攻擊面,一次 benign exposure 就可能演變成持久化的 agent compromise。
這篇 Prompt Injection Attacks on Agentic Coding Assistants 的 SoK 把問題講得很完整:當 coding assistant 已經能讀檔、跑 shell、接 MCP、吃 skill 與 repo 規則檔時,風險就不再只是某段 prompt 有沒有惡意,而是整條從外部內容、工具描述、協定整合到設定持久化的控制面都可能被注入。真正要治理的,是 agent runtime 的信任邊界,而不是只靠過濾器擋幾句關鍵字。