這篇 SoK 的關鍵不在於再提醒一次 prompt injection，而是把 agentic AI 的風險重新畫成一張系統安全地圖：當模型開始碰 RAG、tools、memory、delegation 與 autonomy，真正該防的就不再是單一句子，而是整條被錯誤信任的資料流、權限鏈與執行鏈。

Minerva 的重點不只是把 RL 用到 CTI，而是指出 CTI 本來就有 schema、identifier 與標準資源可供 deterministic verification；與其只靠 SFT 模仿答案，不如把這些結構直接變成 reward，逼模型學會交出真正可驗證的 structured CTI outputs。

這篇論文最重要的提醒，是很多漏洞根本不是單函式 pattern matching 問題；當 caller / callee 脈絡被切掉，模型看到的就只是半個攻擊面。

這篇論文真正重要的，不是再一次證明 agent 有風險，而是把風險講得更準：一旦模型接上工具、狀態與多步規劃，真正危險的往往不是單次惡意輸出，而是 runtime 會一路替攻擊者完成 reconnaissance、環境理解與後續攻擊鋪路。

這篇論文的重點不是讓 LLM 直接當威脅偵測器，而是把 Knowledge Graph 的關係建模、Imbalanced Learning 的少數類別處理，以及 LLM 的查詢與解釋能力接成一條可操作的偵測流程。

這篇論文真正有價值的，不是又做一個更會解 CTF 的排行榜，而是把 LLM 在 cryptographic binary reverse engineering 的能力邊界正式量出來：它們已經能幫忙拆解演算法、追 key 與重建部分行為，但離能穩定收尾的 autonomous reverser 仍有明顯差距。

這篇論文最值得注意的，不是又做出一個更會讀封包內容的模型，而是徹底反過來：在 TLS 與流量混淆時代，與其繼續讀 payload，不如直接建模 packet size、IAT、direction、window、flags 與 entropy 等 flow physics，看看自動化 tunnel 到底還會留下哪些熱力學異常。