Empowering Your Cybersecurity, One Tool at a Time.
這篇論文真正補到的,不是再提醒一次 agent skill 可能有毒,而是把問題往前推成 package-level pre-load auditing:當 skill 由 SKILL.md、scripts、reference docs 與 repo context 組成時,真正該審的不是單一句子,而是跨檔案風險鏈。作者提出 SkillGuard-Robust,把審計拆成結構化證據抽取、選擇性語意驗證、衝突鏈仲裁與 rewrite 一致性整合,提醒我們 skill 供應鏈安全的核心其實更像 admission control,而不是單純 prompt moderation。
MCP Pitfall Lab 真正補上的,不是又一篇只會告訴你 MCP 很危險的論文,而是把開發者常見的 tool server 設計坑做成可重跑、可驗證、可硬化、可回歸的安全工程框架。重點不是 agent 怎麼說自己沒中毒,而是 trace 到底顯示它做了什麼。
這篇論文最有殺傷力的地方,是指出 code LLM 的 secret leakage 不只是資料集或 prompt 問題,連 BPE tokenizer 都可能把某些看似高熵、像亂碼的憑證切成更容易被模型記住的低 token entropy 形狀,進一步放大 memorization 風險。
MalTool 真正補上的不是 another tool poisoning story,而是 code-level implementation 這一層:攻擊者不只可以操縱工具描述,還能用 coding LLM 大量生成一邊正常工作、一邊偷偷外洩、竄改或拖垮流程的惡意工具。對 agent 生態來說,這已經是完整的 tool supply chain 與 runtime side-effect 問題。
論文基本資訊 論文標題:Towards ...
ShieldNet 真正重要的觀點,是供應鏈型 agent 攻擊未必會把惡意意圖寫進 tool description、schema 或對話紀錄裡。當風險藏在第三方工具實作與依賴中時,與其一直盯著 agent 說了什麼,不如回到 execution 期間的 network side effects,看它到底向哪裡連、送了什麼、做了哪些不該做的事。
TRUSTDESC 不再停在檢測惡意 tool description,而是從工具實作中自動生成較可信的 description,並以靜態切片、語義去毒與動態驗證把 tool poisoning 的信任問題往前推回 description integrity。真正的重點是:在 agent 時代,模型看到的工具語義不該再直接由第三方自我宣告。