Cross-Session Threats 論文閱讀分析:很多 agent 真正缺的,不是更大的 context,而是別把碎片當安全
這篇論文真正補到的,不是又多一種 prompt injection,而是把 agent 時代的一個結構性問題講清楚:很多攻擊不是單輪有毒,而是每一輪都像正常工作,合起來才構成跨 session 的惡意軌跡。作者提出 CSTM-Bench,把 cross-session threat 拆成 accumulate、compose、launder、inject_on_reader 等操作型態,並證明不管是逐 session judge,還是把所有歷史硬串起來的 full-log correlator,都會在真正 isolation-invisible 的場景掉很大一截。重點不只是 benchmark,而是提醒大家:長 context 不等於長期威脅理解,真正需要的是能在有限記憶下保留高訊號片段的 stateful runtime defense。
2026 年 4 月 29 日