這篇論文提出 Back-Reveal，展示後門化的 LLM agent 如何在語意 trigger 下讀取 session memory，並把使用者資料偽裝成正常 retrieval / search 請求外送，甚至透過多輪對話持續擴大外洩。

這篇論文把 prompt injection、memory poisoning、hallucinated tool discovery、過度授權呼叫等問題，統整到同一條 runtime supply chain 視角裡，指出 agent 的真正攻擊面不只在模型，而是在資料、記憶、工具與執行權限的動態依賴解析過程。

ClawLess 不把 AI agent 當成可以永遠被 prompt 管好的助手，而是直接採用 worst-case threat model：假設 agent 本身可能惡意，再用 formal security model、user-space kernel 與 BPF runtime enforcement，先把它碰得到與碰不到的邊界畫清楚。

ZeroDayBench 不再拿模型熟悉的歷史 CVE 直接考，而是把高嚴重度漏洞根因移植到不同但功能相近的真實 codebase，逼 LLM agent 面對更接近 zero-day 的 discovery 與 patching 任務。

ShieldNet 把 agent security 的防線從 prompt 與工具描述，往執行期網路行為推進：當惡意 MCP 工具可以在語意表面維持無害外觀時，真正能暴露它的，往往是 runtime side effects 與流量訊號。

CyberExplorer 把 offensive agent 的評估從單題、單服務、拿到 flag 就算贏的 closed-world benchmark，往更接近現實的 open-environment exploration 推進：先 recon、再判斷目標、再在噪音與 dead ends 裡修正路線。

這篇論文不是只看某個 skill 漏洞，而是從 Creation、Distribution、Deployment、Execution 四個階段，完整拆解 Agent Skills 為什麼會成為 agentic security 裡最危險、也最容易被低估的供應鏈入口之一。