该论文提出了 AgentSecBench，一个用于系统性评估大型语言模型（LLM）代理安全性的实证基准框架。LLM 代理在处理可信指令、检索记录和工具观测时，所有信息均通过同一个生成通道，导致数据流与权限混淆：即使应用策略未授权，不受信任的字符串也可能影响包含机密的响应或操作提议。AgentSecBench 基于一个形式化安全框架，定义了三个安全博弈：指令完整性、检索机密性和能力完整性，统一在“意图到执行无干扰”概念下，并允许特定的可泄露信息。该框架将应用策略表示为对授权观测和能力的投影，区分提示标注与强制投影，并衡量对抗优势以及防御是否在生成前关闭相关的模型可见通道。实验采用了精确标记（exact-marker）的方法，作为博弈的一种可观测实例，而非完整的语义安全声明，测试了泄露和禁止动作区分器，具有明确的真值基准。作者使用 Qwen3-0.6B 和 Qwen3-1.7B 模型，对六类防御方法进行了配对对抗性和良性控制执行实验。测量结果表明，当通道关闭时风险降低，但模型可见的对抗能力在某些情况下仍然可利用。最终成果是一种面向安全的评估方法：提示文本可以描述边界，而来源投影、能力限制和输出验证可以强制实施边界。该研究为 LLM 代理的安全评估提供了可量化的方法论，适合安全研究人员和 LLM 应用开发者阅读。

本文提出了VIPER-MCP，这是首个针对MCP（模型上下文协议）服务器的端到端自动化漏洞审计框架。MCP已成为连接LLM代理与外部工具的标准接口，由于MCP服务器暴露特权操作（如shell执行、网络访问、文件系统操作），其工具处理程序中的实现缺陷可导致从自然语言输入到安全敏感接收器的直接路径，进而引发远程代码执行或系统完全沦陷。现有方法要么产生未经验证的静态告警，要么依赖缺乏代码级指导的固定模板库，无法触发需要特定参数形状或多步污染路径的漏洞。VIPER-MCP引入两种新技术：（1）两遍静态分析中的锚点-查询遍，通过函数级结构上下文增强标准污染告警，将文件级静态工件解析为具体的MCP工具处理程序，并生成以漏洞为锚点的调用链；（2）反馈驱动的提示进化机制，采用双变异器调度，独立校正工具选择漂移并加深参数渗透，结合适应度评分的种子选择，迭代优化自然语言提示以触发漏洞。在39884个真实开源MCP服务器仓库的大规模扫描中，VIPER-MCP发现了106个0-day漏洞，均通过端到端利用轨迹确认，迄今已分配67个CVE ID。所有发现的漏洞均已负责任地披露给受影响的开发者，并协调CVE分配。

本文针对自主LLM智能体面临的工作流劫持安全风险提出了一种新颖的被动式、带外检测方法。工作流劫持指攻击者在不被发现的情况下微妙地修改智能体调用的工具和技能，而现有防御依赖主机内部遥测（如审计日志），一旦主机操作系统被攻破，这些日志可以被伪造，失去可信度。为了解决这一问题，作者提出了ClawGuard系统，它利用电磁（EM）辐射作为侧信道，以物理方式独立于主机环境监测智能体工作流。其核心洞察在于：不同的智能体技能会产生独特的硬件使用模式（如计算、DRAM、网络阻塞），从而辐射出可测量的大尺度电磁包络。ClawGuard使用外部软件无线电（SDR）捕获这些物理信号，并通过一个漂移感知的管道将RF流转换为物理证据，该管道提取320维特征进行分类。在7.82TB的RF语料库上评估，ClawGuard达到了0.9945的AUC，攻击检测真阳性率100%，假阳性率仅1.16%。实验证明了被动电磁感知是一种实用、抗伪造的物理校验手段，能够有效对抗被攻陷主机软件的攻击。