enclawed 論文閱讀分析:真正讓單使用者 AI gateway 比較敢碰高敏資料的,不是多一層花俏 guard,而是把整個預設值翻成拒絕優先
這篇論文真正重要的地方,不是又多一個 prompt guard,而是把單使用者 AI gateway 的 host posture 從 consumer-friendly convenience 翻成 deny-by-default、可驗簽、可審計、可回滾的硬化框架。
2026 年 4 月 22 日
Agentic Security
2026
Visual Inception 論文閱讀分析:最危險的圖片,不一定當下就有毒,而是之後會被 Agent 自己重新想起來的那張
這篇論文最值得看的,不是它又示範了一次多模態攻擊,而是它證明:在會保存長期記憶、之後再拿來做規劃的 agent 系統裡,一張今天看起來正常的圖片,也能變成明天悄悄接管推薦方向的 sleeper agent。真正的風險,不只是輸入有毒,而是有毒輸入被你收進記憶之後,還會被系統自己重新想起來。
2026 年 4 月 22 日
SoK: The Attack Surface of Agentic AI 論文閱讀分析:真正該防的可能不是某個 prompt,而是整條從資料流走到行動流的 agent attack surface
論文基本資訊 論文標題:SoK: The...
2026 年 4 月 21 日
長期記憶安全論文閱讀分析:很多 Agent 真正最危險的,不是當下被騙,而是被騙過的東西還會一直留在腦子裡
這篇論文真正重要的,不是再多列幾種 memory attack,而是把長期記憶重新定義成 agent 的 state-governance 問題:可寫、可取回、可共享、可遺忘的 memory,本身就是獨立安全邊界。
2026 年 4 月 21 日
Anumati 論文閱讀分析:當 Agent 開始替你接受別人的條款,真正該驗的就不只是有沒有權限呼叫
Anumati 真正要補的,不是再多一層身份驗證,而是 agent 在呼叫別的 agent 或工具前後,能不能留下可版本化、可審計、逐行動可追責的 consent 與 adherence 證據。
2026 年 4 月 21 日
Symbolic Guardrails 論文閱讀分析:很多高風險 agent 真正缺的,不是更會想,而是先把不該做的事硬鎖住
這篇論文真正補到的,不是再發明一個更聰明的 guard model,而是把高風險 agent 裡那些本來就能形式化的政策,從 prompt 與常識判斷裡抽出來,改成可驗證、可審計、可在執行時硬鎖住的 symbolic guardrails。
2026 年 4 月 21 日
HarmfulSkillBench 論文閱讀分析:真正危險的 skill,未必會偷你的資料,它也可能只是把壞事包成一鍵可裝的能力
這篇論文真正補上的,不是 skill 裡有沒有 prompt injection,而是另一個更容易被低估的面向:如果 skill 本身的 intended functionality 就是 cyber attack、詐欺、隱私侵犯或高風險決策自動化,那 agent 其實是在被公開 skill 生態系統化地武裝。
2026 年 4 月 21 日
Governed MCP 論文閱讀分析:真正撐住 Agent 工具安全的,可能不是再多一層 wrapper,而是把治理點直接釘進 kernel
這篇論文把 agent 工具安全的問題講得很到位:真正需要防的不是多一個 userspace wrapper,而是把每次 MCP tool invocation 當成 privileged syscall,交給不可旁路的 kernel-level governance gateway 去接住。
2026 年 4 月 21 日
Prompt Injection 偵測論文閱讀分析:真正難抓的,不是最像攻擊的那種,而是最像正常內容卻在偷改控制權的那種
這篇論文最重要的提醒,是 prompt injection 偵測不能再只靠 regex 或單一分類器,而要把 stylometry、local alignment、taint propagation 與長期 probing 訊號一起拉進來。
2026 年 4 月 21 日
CapSeal 論文閱讀分析:真正成熟的 Agent,不該再把 API key 和 SSH 憑證直接抱在自己懷裡
CapSeal 這篇論文最重要的提醒,不是 agent 會不會保守秘密,而是很多系統從架構上就不該讓 agent 直接持有可外流、可重播的 bearer credential。
2026 年 4 月 21 日