该论文针对当前欺诈安全评估中普遍采用的单轮交互评估方式的局限性进行了深入分析，指出单轮评估无法反映真实攻击场景中攻击者通过多轮对话逐步升级欺诈行为的特点。为此，作者构建了一个基于 Fraud-R1 数据集的多轮评估套件，并在此框架下系统比较了图上下文（graph-context）LLM 防御者与纯文本基线模型在重放攻击和自适应多轮攻击下的表现。实验不仅关注防御者最终是否拒绝欺诈请求，还首次将拒绝时间（即防御者在第几轮做出拒绝）作为关键指标。研究表明，图上下文防御者在两种攻击模式下均能比纯文本模型更早地实施安全拒绝，但代价是显著增加了对良性请求的过度拒绝率。为了探究这一成本产生的原因，作者通过直接探针训练图编码器、在欺诈和良性两侧进行配对打乱消融实验（两轮种子，基于 Qwen-1.5B 骨干网络），发现问题的根源不在于图编码器的质量——编码器能清晰分离欺诈与良性样本——而在于 LLM 如何消费结构化上下文：LLM 对结构化图字段的存在性反应强烈，而对风险分数大小的依赖则是次要且不对称的。此外，时序图上下文比静态图上下文方向性更强且更基于事实，但在主要拒绝指标上尚未表现出决定性的优越性。论文的主要贡献在于提出了一种评估导向的研究范式：稳健的欺诈评估必须采用多轮设计，必须报告拒绝时机，必须同时考虑欺诈侧的安全增益和良性侧的误报成本，并且必须将观测到的成本定位到图信号本身或 LLM 消费该信号的方式上。该研究为欺诈防御系统的评估方法提供了新视角，适合安全评估和 LLM 应用安全领域的研究人员阅读。