该论文针对大型语言模型（LLM）在恶意软件分析中的应用进行了实证研究，重点评估检索增强生成（RAG）技术对解释质量的影响。研究背景是：安全分析师常借助LLM来自动总结和解释恶意软件行为，而RAG被认为可以通过注入外部安全知识来提升解释质量。作者以VirusTotal报告作为结构化输入，在多个LLM上对比了有无RAG时的解释效果。实验发现，RAG在大多数情况下反而降低了解释质量，具体表现为：引入分散注意力的弱相关上下文、增加叙述噪声或生成泛泛的写实性描述。这表明，当结构化安全证据已经足够时，RAG会产生反效果。作者因此提出，恶意软件解释本质上是信号提取任务，而非知识检索问题，并基于此给出了安全开发工作流的设计建议。该研究挑战了RAG在安全关键型管道中的普遍适用性，为未来设计更可靠的LLM辅助分析工具提供了重要参考。