這篇 survey 不再只問某個資安 agent 好不好，而是把整條演化路線拆開：從單一 LLM reasoner、tool-augmented assistant、workflow-constrained system，到 multi-agent collaboration 與受約束的半自主 pipeline，能力在變強，風險與治理要求也同步上升。

Auditable Agents 把焦點從單純防禦拉到更成熟的問題：當 agent 已能調工具、查資料、委派任務並觸發外部副作用，真正決定它能否被信任的，不只是能不能阻止風險，而是出事後能不能用可信證據重建行為、檢查 policy、切清責任。

CRAKEN 的重點不是再做一個會解 CTF 的 LLM agent，而是把 retrieval 變成 execution loop 的一部分：先拆 context、再反覆檢索與驗證、最後把外部安全知識注入成可行動的 knowledge hint。

這篇論文把 MCP、A2A、ANP、ACP 放回真正的 protocol security 視角，提出 Agent Protocol Stack、11 條 Agent-Agnostic Security Model 原則，以及 AgentConform 驗證流程，核心提醒是：agent protocol 已經是控制平面，安全不能只看能不能跑。

CoopGuard 把 LLM 防禦從單輪過濾拉成多輪對抗管理：用 stateful defense state、defer + decoy + forensic cooperation，對付會在多輪互動中持續試探、持續修正策略的攻擊者。

SkillInject 把 agent skills 的風險從抽象焦慮變成可量測 benchmark：當攻擊 payload 被藏進 skill file、並和合法 instructions 混在一起時，當前主流 agent 依然非常容易中招，甚至可能走向資料外洩、破壞性操作與類 ransomware 行為。

這篇論文提出 PASB（Personalized Agent Security Bench），把 personalized AI assistant 的風險正式拉進 end-to-end benchmark：真正危險的不是單回合 prompt，而是 user prompt processing、tool usage 與 memory retrieval 如何在長互動中一起把 agent 從助手推成 double agent。

這篇論文提出 Back-Reveal，展示後門化的 LLM agent 如何在語意 trigger 下讀取 session memory，並把使用者資料偽裝成正常 retrieval / search 請求外送，甚至透過多輪對話持續擴大外洩。

這篇論文把 prompt injection、memory poisoning、hallucinated tool discovery、過度授權呼叫等問題，統整到同一條 runtime supply chain 視角裡，指出 agent 的真正攻擊面不只在模型，而是在資料、記憶、工具與執行權限的動態依賴解析過程。