本文研究商业端点检测与响应（EDR）产品在自主 AI 组件替代人工规则配置的背景下，如何评估自主防御代理对商业 EDR 的加固效果。作者指出，现有评估多基于开源 EDR 或模拟环境，忽略了商业 EDR 作为黑盒自主系统的复杂性——其内部 AI 会独立决策，与防御代理的操作交织。为此，论文提出了首个针对自主防御代理加固商业 EDR 的评估框架，并在 Game of Active Directory（GOAD）实验室中实例化，以 Horizon3.ai 的 NodeZero 作为自动渗透测试工具，Microsoft Defender XDR 作为目标 EDR。实验使用两个大型语言模型（Claude Sonnet 4.6 和 Cisco Foundation-Sec-8B）作为防御代理的骨干，运行基准测试。研究揭示了三个模拟或开源评估无法发现的教训：（1）商业 EDR 的遥测是为安全运营中心（SOC）分析师设计，而非科学基准测试，导致数据噪声大且难以直接量化防御效果；（2）必须按策略归因，区分防御代理的显式操作与 EDR 自主行为的贡献；（3）EDR 的自主行为在评估窗口内动态变化，随时间和负载调整。这些发现凸显出企业防御环境从模拟到现实的鸿沟，并为在黑盒自主工具环境中评估自主防御代理提供了方法论。本文适合安全防御研究者、SOC 分析师和 EDR 产品开发者阅读。