AEGIS 論文閱讀分析:當加密流量防禦不再讀 payload,而是改看流量物理學,真的能抓到 zero-day evasion 嗎?
這篇論文最值得注意的,不是又做出一個更會讀封包內容的模型,而是徹底反過來:在 TLS 與流量混淆時代,與其繼續讀 payload,不如直接建模 packet size、IAT、direction、window、flags 與 entropy 等 flow physics,看看自動化 tunnel 到底還會留下哪些熱力學異常。
2026 年 4 月 10 日
2026
Poison Once, Exploit Forever 論文閱讀分析:當 Web Agent 只是在正常看網頁,記憶就可能默默替攻擊者把未來一起帶壞
這篇論文把 memory poisoning 從需要直接碰記憶庫的高前提攻擊,拉回更現實的環境污染模型:攻擊者只要讓 web agent 在某一次正常瀏覽時看見被操弄的內容,就可能讓惡意資訊被寫進長期記憶,之後在別的網站、別的任務、甚至別的 session 裡再次觸發。真正危險的不是一次注入,而是 agent 會替攻擊者把污染保存下來。
2026 年 4 月 10 日
ASTRAL 論文閱讀分析:當資安風險評估真正卡住時,問題常常不是算不出分數,而是你根本不知道系統長什麼樣
ASTRAL 把多模態 LLM 放在一個比「會回答資安問題」更上游的位置:先從殘缺的架構圖、文件與文字描述中重建 CPS architecture,再把 threat modeling、attack path 與 quantified risk assessment 接回同一條鏈上。這篇真正提醒我們的,是很多風險評估失真,不是因為不會算,而是因為系統地圖從一開始就缺了一半。
2026 年 4 月 10 日
SentinelSphere 論文閱讀分析:當資安 AI 真正想落地,缺的可能不只是更準的偵測,而是把人一起拉進防線
SentinelSphere 把即時威脅偵測、Traffic Light 風險視覺化,以及量化後 Phi-4 驅動的資安教育助手收在同一套系統裡。這篇論文最值得看的,不是又做了一個聊天機器人,而是它試圖把 security detection 與 human-factor security education 接成同一條閉環。
2026 年 4 月 10 日
論文閱讀分析:OntoLogX 如何把雜亂資安日誌轉成可映射 ATT&CK 的 CTI 知識圖譜
OntoLogX 想解的不是一般 log parsing,而是更上層的 CTI 結構化問題:能不能讓 LLM agent 直接吃 raw logs,在 ontology、retrieval、SHACL 驗證與 correction loop 約束下,產生可查詢的 knowledge graphs,並進一步映射到 MITRE ATT&CK tactics。
2026 年 4 月 10 日
AutoMalDesc 論文閱讀分析:當威脅研究真正卡住時,缺的往往不是再多一個分類器,而是能大規模寫出像樣分析的人
AutoMalDesc 想解的不是單純 malware classification,而是 script threat research 裡更耗時的 description layer:如何只靠少量高品質 seed data,加上 iterative self-training、嚴格過濾與 judge 驗證,把大規模 Bash、Batch、JavaScript、PowerShell、Python 樣本自動轉成可讀、可用、可交接的安全行為摘要。
2026 年 4 月 10 日
0-CTI 論文閱讀分析:當威脅情報自動化真正卡住時,問題可能不是模型,而是根本還沒有資料可教
0-CTI 把 CTI extraction 的核心問題從模型能力拉回資料現實:在缺乏高品質標註資料時,如何以同一套模組化框架同時支援 supervised 與 zero-shot 的 entity / relation extraction,並把輸出對齊 STIX,讓威脅情報自動化能在 data-poor 環境下先動起來。
2026 年 4 月 10 日
Operationalising Cyber Risk Management 論文閱讀分析:當 ATT&CK 自動化真正要落地,後面就不能再斷在 technique label
這篇論文真正要補的,不只是 incident 對 ATT&CK technique 的自動映射,而是把整條鏈一路接到 CIS Controls 與 SMART metrics。作者用 Cyber Catalog 加上 fine-tuned sentence transformer,試著把 threat intelligence 從「看懂攻擊」推進到「能被風險管理系統接住」。
2026 年 4 月 10 日
ThreatPilot 論文閱讀分析:當 threat report 真正要進入防守流程,光抽 technique 還遠遠不夠
ThreatPilot 不只想把 CTI report 對到 ATT&CK technique,而是把 threat intelligence 拉成 tactics、techniques、procedures 與 procedure variants,再直接往下接 Sigma rule 與可重現攻擊指令。它最值得注意的不是 extraction 分數,而是把 CTI 自動化從標註任務往 detection engineering 與 attack validation 的中介知識層推進了一步。
2026 年 4 月 10 日
Instantiating Standards 論文閱讀分析:當 ATT&CK 自動抽取真正要可靠,模型就不能只是在背資料集答案
這篇論文真正想補的不是再多一個 TTP extraction 模型,而是把 MITRE ATT&CK 官方標準重新整理成機器拿得動、分析師看得懂的判斷知識。作者以雙層 Situational Knowledge Representation 與 evolvable memory,嘗試解決「模型學的是資料集偏好,不是標準本身」這個 CTI 自動化的老問題。
2026 年 4 月 10 日