這篇 paper 把資安風險評估拆成六個共享 persistent context 的 agent，核心不是把報告切段生成，而是讓 profiling、threat modeling、control assessment、risk scoring 與 recommendation 一路維持同一條組織脈絡。它最有意思的發現之一，是 multi-agent pipeline 的瓶頸往往不是模型不懂資安，而是 context capacity 根本撐不起整條 assessment workflow。

SafeAudit 的重點不是再做一個新的 agent safety benchmark，而是反過來審計現有 benchmark 本身的 coverage：當工具呼叫鏈、模糊授權與 verification 缺口交錯時，agent 就算已通過既有測試，仍可能在題庫外留下大量未被揭露的殘餘風險。

這篇真正值得看的，不是 LLM 又會做 incident response，而是它把 IR 明確視為 POMDP 與長程規劃問題：真正有用的 agent，不是每輪都很會說，而是能根據新觀測修正世界模型，再選出 recovery cost 更低的下一步。

這篇真正值得看的，不是 LLM 又會做 incident response，而是它把 IR 明確視為 POMDP 與長程規劃問題：真正有用的 agent，不是每輪都很會說，而是能根據新觀測修正世界模型，再選出 recovery cost 更低的下一步。

OpenSec 的核心不是再證明 LLM 會做 incident response，而是把 calibration 拉成主角：真正高風險的失敗往往不是沒抓到攻擊，而是在證據還不夠時就先隔離、先封鎖、先重設，把正常業務一起打下去。

TTPrompt 的重點不是把 CTI NER 再做成一個 retrieval trick，而是把 annotation logic 從 few-shot 範例裡拉出來，變成可顯性表達、可少量修正、可跨資料集適配的 instruction layer。

這篇 SoK 的關鍵不在於再提醒一次 prompt injection，而是把 agentic AI 的風險重新畫成一張系統安全地圖：當模型開始碰 RAG、tools、memory、delegation 與 autonomy，真正該防的就不再是單一句子，而是整條被錯誤信任的資料流、權限鏈與執行鏈。

Minerva 的重點不只是把 RL 用到 CTI，而是指出 CTI 本來就有 schema、identifier 與標準資源可供 deterministic verification；與其只靠 SFT 模仿答案，不如把這些結構直接變成 reward，逼模型學會交出真正可驗證的 structured CTI outputs。

這篇論文最重要的提醒，是很多漏洞根本不是單函式 pattern matching 問題；當 caller / callee 脈絡被切掉，模型看到的就只是半個攻擊面。

這篇論文真正重要的，不是再一次證明 agent 有風險，而是把風險講得更準：一旦模型接上工具、狀態與多步規劃，真正危險的往往不是單次惡意輸出，而是 runtime 會一路替攻擊者完成 reconnaissance、環境理解與後續攻擊鋪路。