這篇 systematic review 真正刺中的，不是哪個模型又多強，而是整個 TTP extraction 領域的方法論債：很多研究還停在 technique-level classification、單一資料集與有限評估，距離真實 CTI analyst 需要的程序層還原、跨來源整合與可重現驗證，還有一段距離。

這篇論文真正刺中的不是模型本身，而是 agent 與模型之間那層常被當成基礎設施的 API router：一旦中介者能看、能改、能蒐集 request 與 response，風險就不只是偷看流量，而是整條 agent 執行鏈都可能被接管。

這篇論文最值得看的地方，不是它又整理了一份 agent risk checklist，而是它直接指出：當系統裡存在多個會共享記憶、互相傳話、分派任務、並代表使用者調用工具的 agent 時，安全問題已經從 model behavior 升級成 architecture problem。

這篇 survey 不再只問某個資安 agent 好不好，而是把整條演化路線拆開：從單一 LLM reasoner、tool-augmented assistant、workflow-constrained system，到 multi-agent collaboration 與受約束的半自主 pipeline，能力在變強，風險與治理要求也同步上升。

Auditable Agents 把焦點從單純防禦拉到更成熟的問題：當 agent 已能調工具、查資料、委派任務並觸發外部副作用，真正決定它能否被信任的，不只是能不能阻止風險，而是出事後能不能用可信證據重建行為、檢查 policy、切清責任。

CRAKEN 的重點不是再做一個會解 CTF 的 LLM agent，而是把 retrieval 變成 execution loop 的一部分：先拆 context、再反覆檢索與驗證、最後把外部安全知識注入成可行動的 knowledge hint。

這篇論文把 MCP、A2A、ANP、ACP 放回真正的 protocol security 視角，提出 Agent Protocol Stack、11 條 Agent-Agnostic Security Model 原則，以及 AgentConform 驗證流程，核心提醒是：agent protocol 已經是控制平面，安全不能只看能不能跑。

CoopGuard 把 LLM 防禦從單輪過濾拉成多輪對抗管理：用 stateful defense state、defer + decoy + forensic cooperation，對付會在多輪互動中持續試探、持續修正策略的攻擊者。

SkillInject 把 agent skills 的風險從抽象焦慮變成可量測 benchmark：當攻擊 payload 被藏進 skill file、並和合法 instructions 混在一起時，當前主流 agent 依然非常容易中招，甚至可能走向資料外洩、破壞性操作與類 ransomware 行為。

這篇論文提出 PASB（Personalized Agent Security Bench），把 personalized AI assistant 的風險正式拉進 end-to-end benchmark：真正危險的不是單回合 prompt，而是 user prompt processing、tool usage 與 memory retrieval 如何在長互動中一起把 agent 從助手推成 double agent。