该论文聚焦于LLM Agent（大语言模型驱动的智能体）在面对间接提示注入攻击时的防御策略。近期（2024-2026）的研究趋势是从训练模型拒绝恶意指令转向在模型之外通过确定性策略实施安全防御，即带外防御（out-of-band defense）。典型系统包括CaMeL、FIDES、Progent、RTBAS和FORGE，这些系统利用能力、信息流标签和参考监视器实现安全机制，并在AgentDojo基准测试中报告几乎消除了攻击。本文首先将这些带外防御整理为经典完整性保护（Biba模型）、参考监视器和最小权限原则的实例，从而结构化比较其覆盖范围与未覆盖之处。其次，作者指出所有这些防御仅在静态基准测试（固定注入尝试集）上验证，而正是同一方法论曾使得带内防御看起来强大，直到自适应、防御感知的攻击以超过90%的成功率突破了其中12种。因此，作者定义了自适应评估所需的威胁模型和协议。随后，他们独立复现并扩展了Progent自身的自适应攻击分析，在AgentDojo上使用自托管于单块H200 GPU上的开源Agent（Qwen2.5-7B）进行实验（该设置未被原始Progent作者测试）。三次运行平均结果显示，Progent防御将平均攻击成功率从25.8%降低至4.2%（约降低六倍），而手工制作的自适应攻击并未使其上升（2.6%）。然而，这仅是在弱模型上使用单一黑盒攻击模板的小规模数据点；更强的优化（白盒GCG）攻击仍有待探索。该结果与“确定性带外强制措施对自适应攻击者而言比带内检测更难攻破”的假设一致，但尚未确立该结论。论文对LLM Agent安全研究人员、防御设计者和评估者具有参考价值。