Empowering Your Cybersecurity, One Tool at a Time.
這篇論文最值得記住的重點是:在 agent 系統裡,真正危險的 prompt injection 不一定會反映在最後輸出文字上,而可能藏在自動 URL preview、metadata 擷取與工具呼叫造成的 network egress。當使用者看起來只是在請 agent 摘要網頁,敏感 runtime context 卻可能已經被分片、低噪音地往外送出。
這篇論文最值得記住的重點是:在 agent 系統裡,真正危險的 prompt injection 不一定會反映在最後輸出文字上,而可能藏在自動 URL preview、metadata 擷取與工具呼叫造成的 network egress。當使用者看起來只是在請 agent 摘要網頁,敏感 runtime context 卻可能已經被分片、低噪音地往外送出。
MUZZLE 這篇論文最值得記住的重點是:對 web agent 來說,真正高風險的 prompt injection 已經不是單一靜態頁面的惡意字串,而是會沿著 agent 真實瀏覽軌跡,自動尋找高價值 UI 注入點、根據任務上下文改寫攻擊策略、甚至跨應用擴散的 agentic red-teaming 問題。當攻擊開始跟著 workflow 走,防守也不能再只盯著 payload 本身。
AdapTools 這篇論文最值得記住的重點是:對現代 tool-using agent 來說,真正危險的 indirect prompt injection 已經不只是固定模板,而是會根據任務脈絡挑選最合適工具入口、改寫攻擊語句、並偽裝成正常外部內容的適應式攻擊。當攻擊者也開始理解 agent workflow,單靠 prompt-level 過濾很難真正守住整條控制鏈。
AttriGuard 最重要的洞見是:間接提示注入不該只當成文字分類問題,而該當成行動歸因問題。真正要驗的不是外部內容哪句話最像惡意 prompt,而是某個 tool call 到底是不是仍由使用者意圖支撐;如果把 observation 的控制力削弱後,這個 call 就活不下來,那它就很可能已經被外部內容接管。
Zombie Agents 這篇論文最重要的提醒是:對會跨 session 寫入與重用長期記憶的 agent 來說,真正危險的已經不只是當前回合的 indirect prompt injection,而是這些外部惡意內容被 agent 自己內化成未來還會再用的記憶。當 memory evolution 成為攻擊面,一次 benign exposure 就可能演變成持久化的 agent compromise。
AgentSentry 把多步驟 indirect prompt injection 重新定義成 temporal causal takeover 問題:重點不是某段工具輸出像不像惡意指令,而是從哪一個 tool-return boundary 開始,agent 的下一步已不再主要由 user goal 推動,而是被外部污染的 context 接管。它用 counterfactual replay 做診斷,再用 context purification 切掉控制訊號,目標不是停機,而是安全續跑。
ClawGuard 這篇論文最重要的提醒是:對有工具權限的 LLM agent 來說,安全不能只押寶模型自己在被污染的上下文裡保持清醒,而要把防線放在每一次 tool call 即將落地的邊界。它用任務導出的規則、內容遮罩、技能檢查與人工批准,把 web content、MCP 與 skill file 三條間接注入路徑一起拉回可審計的 runtime control plane。