Why JD Can’t Encrypt 論文閱讀分析:真正讓機密上報的,常常不是加密失敗,而是把加密放進錯的流程
這篇論文最值得記住的,不是它質疑某個加密工具夠不夠安全,而是它把一個常被混在一起的問題拆開:technical security 與 real-world confidentiality 不是同一件事。Signal 可以沒有被破解,但只要權力結構、設備整合、流程例外與錯誤安全感把內容送到不該去的人手裡,最後仍然是保密失敗。
2026 年 4 月 22 日
Paper Survey
2026
Owner-Harm 論文閱讀分析:很多 Agent 真正先傷到的,往往不是別人,而是部署它的自己人
這篇論文最值得注意的,不是它又多列幾個 agent 風險,而是它把一個很多產品團隊其實已經遇到、卻沒被正式建模的問題講清楚:agent 很可能先傷害的不是外部世界,而是自己的 deployer。作者把這類風險定義為 Owner-Harm,並指出某套在 AgentHarm 上達 100% TPR / 0% FPR 的 safety system,面對 AgentDojo 中 prompt-injection-mediated owner-harm tasks 時卻只剩 14.8%。
2026 年 4 月 22 日
LLM API 資料外洩風險論文閱讀分析:別再拿 DP 與 membership inference 當成訓練資料抽取風險的萬用護身符
這篇論文最值得記住的,不是它又提出一種 memorization 指標,而是它把一件很多人搞混的事拆開講清楚:differential privacy 與 membership inference 量的是 distinguishability,不是 LLM API 被抽出訓練文本的真實成本。作者提出 (l, b)-inextractability,把風險轉成攻擊者平均需要多少次查詢才能誘發受保護片段,並指出固定 greedy、固定 top-k 的舊量測方式很容易低估最壞情況。
2026 年 4 月 22 日
Arbiter-K 論文閱讀分析:很多 agent 真正缺的,不是再多一道 guard,而是先有一個真的能執法的 kernel
這篇論文真正有價值的地方,不是在 agent 外面再多包一層 guardrail,而是直接質疑整個架構:為什麼我們一直讓 LLM 站在控制流中央,然後才用補丁式政策去收爛攤子?作者提出 Arbiter-K,把模型降級成 proposal generator,讓 deterministic kernel 透過 Semantic ISA、Security Context Registry 與 Instruction Dependency Graph 在 runtime 做 taint-aware governance。實驗顯示,OpenClaw 原生 policy 只攔下 6.17% 的違規操作,但整合 Arbiter-K 後可到 92.95%;NanoBot 也從 1.41% 拉到 94.20%。這篇真正提醒的是:agent security 若想像 production system,就不能只靠比較會勸人的 guard,得先有真的能執法的 kernel。
2026 年 4 月 22 日
Bitcoin Fraud Detection 論文閱讀分析:很多團隊真正該怕的,不是圖不夠大,而是交易圖本身早就不再值得信任
這篇論文真正有價值的地方,不是在 Bitcoin fraud detection 上再提一個新模型,而是把大家默認「交易是圖,所以 GNN 應該更強」這個前提整個拆開重驗。作者在更嚴格的 temporal-shift 與 leakage-free 設定下發現,raw-feature Random Forest 可達 F1 0.821,明顯高於最強的 GraphSAGE 0.689 ± 0.017,甚至連隨機打亂的邊都比真實交易圖高出 8.9 個 F1 點。這篇真正提醒的是:在風險偵測裡,圖結構不一定是資產,它也可能是把模型帶偏的 liability。
2026 年 4 月 22 日
DEJA 論文閱讀分析:很多 RAG 真正危險的,不是突然拒答,而是開始穩定地講一堆沒用的正確廢話
DEJA 真正指出的,不只是 RAG 會不會被打到拒答,而是它可能在 retrieval 依舊成功、回答依舊流暢的情況下,穩定退化成低資訊量、低可用性的 soft failure。論文在 NQ、HotpotQA、FiQA 上讓惡意文件 retrieval success rate 超過 94%,SASR 最高達 92.27%,而 query paraphrasing、perplexity filtering 與擴大 context size 都難以有效緩解。
2026 年 4 月 22 日
Dual-Guard 論文閱讀分析:很多 AIGC 治理真正缺的,不是再多一個 watermark,而是知道它哪裡被改過
這篇論文真正有價值的地方,不是再證明一次 watermark 可以驗出 AI 圖,而是把 provenance 驗證、抗 reprompt / diffusion editing 與區域級 tamper localization 接成同一套內容完整性管線。作者在 4,000 張 provenance suite 上做到 AUC 1.000,在 2,400-sample benchmark 上對 reprompt 與 DiffEdit 都達到 1.000 auth reject,對 local tamper 達到 0.999,同時 clean false rejection 和 false alarm 只有 0.003 與 0.001。
2026 年 4 月 22 日
Binary Metadata 論文閱讀分析:很多 binary security 真正缺的,不是更會猜的工具,而是別把 compiler intent 全丟光
這篇論文真正有意思的地方,不是再做一個更會猜的反組譯器,而是把控制點往上游移回編譯器:只要在 binary 中補進少量、精準、與安全分析直接相關的 compilation metadata,disassembly 就能從高不確定度的猜測流程,往可判定、可正確 lifting、可再編譯的工程管線靠近。作者報告 metadata 體積約為 DWARF 的 17%,不影響 runtime behavior 與 performance,且能支撐 real-world C/C++ binaries 的正確 lifting、instrumentation 與行為不變的再編譯。
2026 年 4 月 22 日
Offensive Security Agent 架構論文閱讀分析:很多系統真正缺的,不是再多幾個分身,而是先知道什麼時候單兵就夠
這篇論文真正有價值的地方,不是再證明 multi-agent 可以做 offensive security,而是把 agent 拓樸選型做成可比較的 benchmark:在 600 runs 裡,MAS-Indep 以 64.2% validated detection 拿下 coverage 端最佳表現,但 SAS 以 53 秒 median TTFV 與每個 validated finding 僅 0.058 美元成為效率錨點,說明多代理不是越複雜越好,真正該優化的是 observability、domain difficulty 與 coordination overhead 之間的折衝。
2026 年 4 月 22 日
ProjLens 論文閱讀分析:很多多模態模型真正危險的,不是主模型突然學壞,而是那層 projector 早就把視覺訊號悄悄翻成危險行為
這篇論文最有價值的地方,不只是證明多模態 backdoor 可以打得很成功,而是把問題往前推到 mechanistic level:作者發現就算只 fine-tune projector,也足以把拒答、惡意注入、感知劫持與越獄行為種進 MLLM,真正的關鍵不是顯眼的 trigger neuron,而是 projector 低秩子空間裡的 backdoor 參數與一條把表示往危險語意推的 universal drift vector。
2026 年 4 月 22 日