该论文系统性地挑战了现代AI与云基础设施中普遍存在的隔离假设。作者通过构建一个从物理内存共置到远程服务接口的交互级别分类法，来解构AI安全假设。尽管已有大量研究关注孤立的攻击面，但安全社区缺乏一个统一的框架来理解物理、架构和算法漏洞如何在整个AI堆栈中显现。本文填补了这一空白，通过演示利用每一抽象层假设的实际攻击，展示了跨层攻击的可行性。论文涵盖了从GPU内存侧信道攻击到LLM提示注入等多种攻击场景，并提出了一个统一的分析框架，以帮助研究人员和从业者系统性地评估AI系统的安全性。该工作对于理解现代AI基础设施的复合风险具有重要意义，适合云安全、AI安全领域的研究人员和工程师阅读。

该论文提出了一种名为“保管封套阈值”（Custody Envelope Threshold, CET）的模型，旨在解决现代机构基础设施中对外部工件（如包注册表依赖项、CI/CD actions、容器镜像、Terraform 提供者和模块、开发者扩展、模型工件及AI工具服务器）的准入治理问题。论文指出，直接由机构准入这些工件，仅在对象标识、入口路径和撤销能力相对于委托给工件的执行权限足够封闭时才是可辩护的。当这一阈值未达到时，机构会采取代理、策略中介、供应商中介、内部化、隔离或拒绝等方式处理工件。CET模型被操作化为一个四条件顺序工具，并基于参考监视器推理、最小权限原则和交易成本经济学进行理论支撑。论文将CET应用于六个具体领域：包依赖、GitHub Actions、容器镜像、Terraform提供者和模块、开发者扩展以及开放模型工件，并将Model Context Protocol (MCP) 服务器作为保留证据进行额外分析。此外，论文还指定了验证设计、确定性预测函数和开放科学框架（OSF）复制包，用于测试高审查机构是否对高权限工件收敛于更强的保管封闭性。核心贡献在于：提供了一个可操作的工件准入决策框架，将安全原则与经济成本结合，帮助机构在不同权威级别下做出合理的保管决策。该工作适合基础设施安全工程师、DevOps团队、供应链风险管理者和学术研究者阅读。