Paper Survey

AI Coding 論文閱讀分析：真正危險的，常常不是模型明顯寫壞，而是把有洞的程式包裝成看起來能放心 merge 的答案

這篇論文最重要的提醒，是在一般、看似無害的 LLM 寫碼任務裡，功能正確不代表安全正確；真正麻煩的是那些會讓團隊產生錯誤安全感的輸出——程式能跑、測試能過、外觀看起來像樣，卻仍把漏洞一起交付出去。

2026 年 4 月 22 日

NIDS 論文閱讀分析：很多研究真正失真的，不是模型太弱，而是從一開始就沒在回答 SOC 現場的問題

這篇 SoK 最值得看的，不是它再做一個 IDS 模型，而是它直接點破：很多 NIDS 研究真正和現場脫節的，不是因為沒再多做一點機器學習，而是因為研究從一開始就在量 sample-level classifier，而不是 SOC 真正要接手的事件、告警與營運成本。

2026 年 4 月 22 日

Paper Survey

Visual Inception 論文閱讀分析：最危險的圖片，不一定當下就有毒，而是之後會被 Agent 自己重新想起來的那張

這篇論文最值得看的，不是它又示範了一次多模態攻擊，而是它證明：在會保存長期記憶、之後再拿來做規劃的 agent 系統裡，一張今天看起來正常的圖片，也能變成明天悄悄接管推薦方向的 sleeper agent。真正的風險，不只是輸入有毒，而是有毒輸入被你收進記憶之後，還會被系統自己重新想起來。

2026 年 4 月 22 日

Paper Survey

PolicyGapper 論文閱讀分析：很多 App 真正先出問題的，不是偷拿資料本身，而是商店頁面把你會拿什麼講得太乾淨

這篇論文真正有意思的，不是再用 LLM 做一次文件摘要，而是把 Google Play 的 Data Safety Section 與 privacy policy 之間那條經常被忽略的 disclosure gap 變成可自動稽核的工程問題。

2026 年 4 月 22 日

Paper Survey

Android 隱私論文閱讀分析：很多產品真正先把使用者資料帶出去的，不是主流程，而是那些沒被當成資料流治理的 log

這篇論文最值得看的，不是它再次提醒 log 可能有隱私風險，而是它用 1,000 個 Android app 與 8,683 萬筆 log entries 告訴你：很多產品明明有 privacy policy，卻仍在 log 中洩漏 policy 沒提過的敏感資訊。問題不只是文件寫得不漂亮，而是 disclosure 與工程現場根本沒對齊。

2026 年 4 月 22 日

Paper Survey

風險評估論文閱讀分析：真正該更新的，不只是漏洞清單，而是攻擊路徑此刻到底有沒有開始活起來

這篇論文最有價值的，不是再把 attack graph 畫得更漂亮，而是把 process mining 從流量裡抓到的 exploitation evidence 餵回 Bayesian Attack Graph，讓風險評估不再只停在靜態 CVE 與理論路徑，而會隨著現場行為一起更新。

2026 年 4 月 22 日

Paper Survey

漏洞情資預測論文閱讀分析：真正難的不是替 CVE 打分，而是提早看出哪顆洞快要突然熱起來

這篇論文最值得看的，不是又拿時間序列模型去套資安資料，而是很誠實地指出：漏洞 sighting 本來就是又稀又短又會突然爆量的事件流。真正有用的預測，不是硬把它當平滑曲線，而是承認它更像 count process，並把 forecasting 拉回 CTI 與修補優先序的實戰脈絡。

2026 年 4 月 22 日

Paper Survey

Original Sin of npm 論文閱讀分析：很多 JavaScript 供應鏈真正危險的，不是你今天又裝了哪個新套件，而是那幾個老洞早就沿著 dependency graph 長成整片陰影

這篇論文最有意思的地方，不是再一次提醒 npm 供應鏈有風險，而是清楚指出：少數高頻老漏洞會沿著 dependency network 被整個生態反覆繼承，讓 JavaScript 供應鏈風險更像結構性傳染，而不是零星個案。

2026 年 4 月 22 日

Paper Survey

GLMTest 論文閱讀分析：很多 LLM 測試工具真正缺的，不是再多生幾組 testcase，而是能不能精準打到你最怕出事的那條 branch

這篇研究最值得看的，不是 LLM 又多會寫 testcase，而是它把安全測試的焦點從泛泛 coverage 拉回真正有風險的 execution path：透過 code property graph、GNN 與 LLM 聯訓，讓模型更有機會精準打進指定 branch，而不是只靠 prompt 運氣。

2026 年 4 月 22 日

Paper Survey

安全教學論文閱讀分析：真正有感的 secure coding 訓練，往往不是再多一份通用教材，而是把洞打回你自己的程式裡

這篇研究最值得看的，不是 LLM 又多會寫 code，而是它把安全教學往真正個人化推進一步：直接把特定 CWE 注入學生自己的程式裡，讓 secure coding 不再只是看陌生範例，而是回頭看見自己平常最可能怎麼把洞寫出來。

2026 年 4 月 22 日

2026

AI Coding 論文閱讀分析：真正危險的，常常不是模型明顯寫壞，而是把有洞的程式包裝成看起來能放心 merge 的答案

NIDS 論文閱讀分析：很多研究真正失真的，不是模型太弱，而是從一開始就沒在回答 SOC 現場的問題

Visual Inception 論文閱讀分析：最危險的圖片，不一定當下就有毒，而是之後會被 Agent 自己重新想起來的那張

PolicyGapper 論文閱讀分析：很多 App 真正先出問題的，不是偷拿資料本身，而是商店頁面把你會拿什麼講得太乾淨

Android 隱私論文閱讀分析：很多產品真正先把使用者資料帶出去的，不是主流程，而是那些沒被當成資料流治理的 log

風險評估論文閱讀分析：真正該更新的，不只是漏洞清單，而是攻擊路徑此刻到底有沒有開始活起來

漏洞情資預測論文閱讀分析：真正難的不是替 CVE 打分，而是提早看出哪顆洞快要突然熱起來

Original Sin of npm 論文閱讀分析：很多 JavaScript 供應鏈真正危險的，不是你今天又裝了哪個新套件，而是那幾個老洞早就沿著 dependency graph 長成整片陰影

GLMTest 論文閱讀分析：很多 LLM 測試工具真正缺的，不是再多生幾組 testcase，而是能不能精準打到你最怕出事的那條 branch

安全教學論文閱讀分析：真正有感的 secure coding 訓練，往往不是再多一份通用教材，而是把洞打回你自己的程式裡

近期文章

廣告

文章分類

近期留言