该研究挑战了网络安全威胁情报（CTI）中基于战术、技术与程序（TTP）进行攻击归因的传统假设。传统方法认为每个攻击者会留下独特的操作指纹。研究者利用其开发的网络安全超级智能（CSI）框架，部署了配置为五个高级持续性威胁（APT）组织（APT28、APT29、APT41、APT44和Lazarus Group）的智能体，在CYBER RANGES提供的两个网络靶场（企业网络和军事基础设施）中，对抗AI驱动的防御者（使用Wazuh、Velociraptor、Elasticsearch等防御软件）。在20次实验中，无论APT模型或防御者模型如何，均出现二元模式：所有10次企业网络实验均被攻陷（每实验2至12台主机），而所有10次军事网络实验均成功防御或陷入僵局。更关键的是，在8次企业网络实验中，攻击者独立地将防御者自己的Velociraptor端点管理平台武器化为命令与控制（C2）通道，这是一种趋同行为，未在任何威胁情报配置文件中编码。研究者论证，在AI时代，只要拥有合适的模型、支撑框架和智能体配置，就可以部署智能体，使得像国家级APT一样行动的门槛大幅降低：不仅国家行为体，个人也可以模仿常见的威胁行为者，从而从根本上破坏基于TTP的归因基础。本文主要贡献在于通过实验揭示了AI驱动的对手模拟可能产生的趋同攻击行为，并指出TTP归因在未来可能不再可靠。

本文定义了一种名为“Oracle Poisoning”的新攻击类别，攻击者通过破坏AI代理在运行时通过工具使用协议查询的结构化知识图谱，导致代理在正确推理的前提下得出错误结论。与提示注入不同，Oracle Poisoning操纵的是代理推理所依据的数据，而非指令。作者针对一个包含4200万节点的生产级代码知识图谱演示了六种攻击场景，首次在真实规模的代理系统中提供了知识图谱投毒的经验性证据，区别于传统的CTI嵌入投毒。主要评估使用来自三家提供商的九个模型的真实SDK工具调用（每个模型N=30），模型自主调用图查询工具并从结果中推理。结果明确：在中等攻击者复杂度（L2）下，每个测试模型以100%的概率信任中毒数据，在270次定向查询试验中有269次接受了伪造的安全声明。在开放式提示下，信任率下降至3-55%，证实提示框架是一个混杂变量；论文报告了两种条件。攻击者复杂度梯度揭示了离散的转折点，即信任从0%跃升至100%所需的最低技能水平，将攻击重新定义为“不是是否发生，而是程度如何”的问题。受控的交付模式比较表明，内联评估会产生假阴性：GPT-5.1在内联下显示0%信任，但在模拟和真实代理工具使用下均为100%，证明交付模式是一阶混杂变量。作者评估了五种防御措施；只读访问控制消除了直接修改向量，其余四种是部分且模型依赖的。对另外四个平台的分析表明，该攻击可能在知识图谱生态系统中普遍存在。