Empowering Your Cybersecurity, One Tool at a Time.
這篇論文把 threat report 自動化從一般 entity extraction 往 STIX operationalization 再推一步:透過 AZERG 將任務拆成實體偵測、型別辨識、關聯配對與關係型別判定四個子任務,並以 141 份真實報告、4,011 個 entities、2,075 個 relationships 的資料集驗證,說明 CTI 自動化真正重要的不只是抽出資訊,而是能否把資訊整理成交換系統接得住的結構。
這篇研究把 LLM、domain ontology 與 SHACL constraints 接在一起,處理的不是單純 extraction accuracy,而是如何讓資安日誌與事件文本抽出的 CTI 從黑箱文字,變成可驗證、可結構化、可落進知識圖系統的透明輸出。
TRUSTDESC 不再停在檢測惡意 tool description,而是從工具實作中自動生成較可信的 description,並以靜態切片、語義去毒與動態驗證把 tool poisoning 的信任問題往前推回 description integrity。真正的重點是:在 agent 時代,模型看到的工具語義不該再直接由第三方自我宣告。
這篇論文試圖把 Suricata IDS logs 透過 strategy-driven prompting 切成行為階段,再映射到 MITRE ATT&CK 與高階攻擊敘事。真正有價值的主線,不是神化所謂 cognitive inference,而是縮短 packet-level telemetry 與 analyst-level threat understanding 之間的語意落差。
這篇論文用 125M 參數的 RoBERTa-base 做 CVE→CWE 分類,在 CTI-Bench 上追平 8B security LLM。真正關鍵不是小模型逆襲,而是 AI-refined labels、兩階段 fine-tuning,以及對 CWE hierarchy granularity mismatch 的清楚拆解:很多 benchmark 錯誤,其實是在懲罰更精確的答案。
CVE-LLM 真正要解的不是「讓模型看懂 CVE」而已,而是讓漏洞評估能帶著產品脈絡、組件條件、VEX 判斷與 ontology 補充知識一起進入企業內部的 vulnerability operations workflow。
ThreatLinker 把 CVE 描述直接連到 CAPEC attack patterns,不再只靠 CVE→CWE→CAPEC 的鬆散欄位鏈,而是結合 semantic similarity 與資安術語 keyword evidence 做排序。它真正補上的,是漏洞情報從弱點條目走向攻擊模式語意的那一段。
TRIAGE 把 CVE Mapping Methodology 與 many-shot in-context learning 結合起來,試圖把 CVE 直接映射到 ATT&CK techniques,補上漏洞資料庫與實戰攻擊脈絡之間的缺口。它最有價值的地方不是單純用 LLM 猜 label,而是把 exploitation、primary impact、secondary impact 拆開處理,讓 vulnerability intelligence 更接近 defender 真正需要的攻擊鏈視角。
SynthCTI 把焦點從「換更大的 classifier」拉回更根本的問題:CTI-to-MITRE 任務裡,很多 technique 根本沒有足夠樣本可學。它用 HDBSCAN 分群、topic / keyphrase 抽取與 prompt-guided synthetic generation 去補長尾資料,讓小模型也能在 ATT&CK technique mapping 上顯著提升 macro-F1。
MCP-DPT 最重要的地方,不是再多列幾種 MCP 攻擊,而是把問題改問成:這些風險最早該在哪一層被攔下?當前防禦過度集中在 tool 端,卻長期低估 host orchestration、transport 與 registry / supply-chain 才是許多結構性風險真正該被治理的地方。