Empowering Your Cybersecurity, One Tool at a Time.
AgentSentry 把多步驟 indirect prompt injection 重新定義成 temporal causal takeover 問題:重點不是某段工具輸出像不像惡意指令,而是從哪一個 tool-return boundary 開始,agent 的下一步已不再主要由 user goal 推動,而是被外部污染的 context 接管。它用 counterfactual replay 做診斷,再用 context purification 切掉控制訊號,目標不是停機,而是安全續跑。
ClawGuard 這篇論文最重要的提醒是:對有工具權限的 LLM agent 來說,安全不能只押寶模型自己在被污染的上下文裡保持清醒,而要把防線放在每一次 tool call 即將落地的邊界。它用任務導出的規則、內容遮罩、技能檢查與人工批准,把 web content、MCP 與 skill file 三條間接注入路徑一起拉回可審計的 runtime control plane。
ARuleCon 這篇論文真正有意思的地方,不是又做了一個把 SPL 改成 KQL 的翻譯器,而是把跨 SIEM 規則轉換重寫成一條可驗證的 detection engineering workflow:先抽出 vendor-neutral 偵測邏輯,再用官方文件檢索補齊平台語法與 schema,最後用可執行一致性檢查去抓 semantic drift。
Argus 這篇論文真正有意思的地方,不是又做了一個多代理弱點偵測框架,而是把 SAST workflow 從 tool-centered、LLM-assisted,重排成 LLM-centered、tool-and-context-assisted 的調查閉環:把 dependency、外部漏洞知識、data flow review、PoC generation 與多代理協作接成一條更完整的 AppSec orchestration pipeline。
這篇論文把 indirect prompt injection 丟進真正的多步驟 tool-calling agent 環境裡,證明目前許多表面型防禦幾乎擋不住動態 workflow 中的未授權行動;更值得注意的是,作者發現模型在表面快速照做時,內部表徵其實往往已出現異常猶豫,讓 RepE 式 runtime circuit breaker 成為更有前景的防禦方向。
這篇論文的重點不只是 agent 在 live CTF 拿第一,而是它把 offensive LLM agent 的瓶頸重新壓回 protocol-driven execution:當工具呼叫、錯誤回饋與世界狀態被協定化後,長程自主攻擊工作流才開始變得比較穩。
這篇論文的關鍵不是再列一串 agent 攻擊,而是把 LLM agent security 重新定義成 contextual authorization 問題:任務是否仍對齊授權目標、單一步驟是否真的服務該目標、指令是否來自已授權來源,以及資訊流是否跨越了不該跨的權限邊界。
這篇論文最重要的結論很務實:在 ATT&CK technique identification 這種高度結構化的 CTI 任務裡,LLM 單打獨鬥不但不特別強,還容易誤報;真正有效的是把它放到 summarization 與 data augmentation 位置,再交給專門分類器收尾。
這篇論文把 memory poisoning 從 demo 級攻擊拉回更接近 production 的條件:當系統已經有正常記憶時,攻擊不一定像空白環境那麼穩;但只要 retrieval top-k 放大,污染仍會重新浮上來。真正值得投資的不是單點 guardrail,而是 trust-aware retrieval 與整條 memory lifecycle 的治理。
這篇論文把焦點從惡意 memory poisoning 轉向更接近 production 的問題:共享記憶 agent 可能把某位使用者局部正確的規則、格式與流程,錯當成通用知識套到下一位使用者身上。在 raw shared state 下, benign interaction 就能造成 57% 到 71% 的污染率。