该论文针对近年来网络入侵检测研究中越来越多地采用循环网络和Transformer等时序架构的趋势，提出质疑：这些模型是否真的利用了时序信息？作者以CIC-IDS2017数据集为基准，将其重构为时序入侵检测任务，通过构建有序流序列，在随机划分、两种无泄漏划分以及填充方案消融实验下，对九种经典和深度学习架构进行了系统评测。核心发现是：对于Transformer，填充约定（padding convention）比架构本身对性能的影响更大。在真正的序列（非填充）窗口上，Transformer取得了实验中最高的宏F1分数（0.89）；但在零填充+掩码评估下，其宏F1显著下降0.24，而LSTM、GRU和1D-CNN保持稳定。在无泄漏分组评估下，随机森林是最稳健的模型（宏F1提升0.009），而Transformer的误报率从0.04%增长到2.7%，增加了67倍，这一现象在常规评估协议下完全不可见。研究表明，评估方法——特别是填充约定和划分协议——对报告性能的影响大于架构选择。广泛使用的随机划分加重复末次填充可能高估模型稳健性多达0.24宏F1。作者提倡未来入侵检测研究采用无泄漏划分、明确披露填充方案以及序列感知基准测试。

这篇论文提出了一种针对大型语言模型（LLM）的提示注入（prompt-injection）和越狱（jailbreak）检测器的基准评估方法学，旨在解决现有评估中两个系统性弱点：每个数据集单独调整阈值以及未公开的操作点。作者设计了一个评估框架，在16个公开基准数据集（共12111个样本）上，使用5折交叉验证对检测器进行评分。主要流程采用按行分层的StratifiedKFold；同时并行运行基于复合键（父提示ID加MinHash+LSH近重复聚类，Jaccard相似度≥0.8）的StratifiedGroupKFold，作为泄漏诊断。全局操作点根据保留折选择（在假阳性率≤1%约束下最大化F1分数），并统一应用于所有数据集，从而确保每个数据集的结果反映单一收敛阈值而非每个基准的独立优化。泛化能力通过一系列诊断测试进行检验：留一数据集交叉验证、随机标签对照、对抗验证、置换特征重要性、长度偏倚相关性、分类器头部一致性、跨源近重复检测、阈值可迁移性、训练集与留出折一致性以及释义不变性探测。大多数诊断设有定量通过阈值，其余则明确失败模式。对于外部比较，检测器的阈值会根据竞争对手公布的假阳性率重新调整，以保证在匹配的操作点上进行比较。该工作为LLM安全评估提供了更严谨、可复现的基准，适合安全研究人员、评估工程师及从事LLM安全部署的从业者阅读。