CISA发布了一份关于ABB B&R Automation Runtime的安全公告，披露了一个中等严重性漏洞（CVE-2025-11044）。该漏洞源于ANSL-Server组件中的资源分配无限制或限流问题（CWE-770），攻击者可利用网络条件竞争，导致设备发生永久拒绝服务（DoS）。影响版本包括Automation Runtime 6系列低于6.5的版本，以及4系列低于R4.93的版本。CVSS评分为6.8（AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:N/A:H），攻击复杂度较高，但无需身份验证。受影响的行业主要为关键制造业，设备部署遍布全球。ABB已发布修复版本（6.5及以上、R4.93及以上），并提供了缓解措施，例如调整应用周期时间以降低利用概率，以及在控制网络防火墙上限制ANSL服务器的最大数据流量和并发连接数。该漏洞目前未被报告在野外被利用，但厂商建议用户尽快应用补丁。此公告源自CISA ICSA-26-125-03，属于官方安全咨询。

CISA发布了关于Johnson Controls CEM AC2000访问控制系统的安全公告。该产品存在一个DLL劫持漏洞（CVE-2026-21661，CVSS 8.7，高危），攻击者可通过构造恶意DLL文件并诱使系统加载，从而将标准用户权限提升至系统级权限。受影响版本包括CEM AC2000 12.0、11.0和10.6。该产品广泛应用于关键制造业、商业设施、政府服务、交通运输和能源等关键基础设施领域，在全球范围部署。Johnson Controls已发布修复版本：12.0 Release 10、11.0 Release 9和10.6 Release 3。CISA建议用户立即升级，同时采取最小化网络暴露、使用防火墙和VPN等防御措施。漏洞由CSACyber的Tom Hulme发现并报告。

业务逻辑漏洞是软件安全中一个关键且难以检测的问题，它们源于应用程序设计或实现中的错误，使攻击者能够触发非预期的行为。传统的基于模糊测试的动态分析工具在检测内存安全漏洞方面表现出色，但往往无法发现业务逻辑漏洞，因为这些缺陷需要理解特定于应用程序的语义上下文。已有的推测上下文的方法由于依赖启发式和非可移植的语言特性，本质上是脆弱且不完整的。由于业务逻辑漏洞在CWE Top 40中占据27个，是实际中最危险的软件弱点之一，现有工具的盲点令人担忧。本文提出了ANOTA，一种新型的人机协同的sanitizer框架。ANOTA引入了一个轻量级、用户友好的注解系统，使用户能够直接将其领域知识编码为轻量级注解，这些注解定义了应用程序的预期行为。运行时执行监视器观察程序行为，将其与注解定义的策略进行比较，从而识别指示漏洞的偏差。为了评估ANOTA的有效性，作者将其与最先进的模糊测试器结合，与其他针对相同目标的流行漏洞发现方法进行比较。结果表明，ANOTA+FUZZER在有效性上优于其他方法。具体来说，ANOTA+FUZZER成功复现了43个已知漏洞，并在评估期间发现了22个以前未知的漏洞（分配了17个CVE）。这些结果证明，ANOTA为发现传统安全测试技术经常遗漏的复杂业务逻辑缺陷提供了一种实用且有效的方法。

本文研究检索增强生成（RAG）系统在面对不可信知识库时的一种新型拒绝服务攻击——阻塞攻击（jamming）。RAG 系统通过从知识库中检索相关文档，并利用大语言模型（LLM）生成答案。攻击者可以向知识库中添加一个称为“阻塞文档”（blocker document）的恶意文档，当特定查询触发检索时，该文档会被返回给 LLM，导致系统拒绝回答该查询，表现为缺乏相关信息或回答不安全。作者提出了几种生成阻塞文档的方法，其中一种基于黑盒优化，具有三个特点：（1）不依赖于指令注入；（2）不需要知道目标 RAG 系统使用的嵌入模型或 LLM；（3）不使用辅助 LLM。实验评估了多种嵌入和 LLM 上的阻塞攻击效果，并指出现有的 LLM 安全指标无法有效衡量此类漏洞。最后，论文讨论了可能的防御措施。本文适合 RAG 系统开发者、安全研究人员和 AI 应用安全工程师阅读。

该论文针对大型语言模型（LLM）在训练过程中记忆网络爬取内容，可能导致版权或隐私泄露的问题，提出了一种名为ExpShield的主动防御机制。现有防护手段依赖爬虫或模型开发者的合规性，效果有限。ExpShield通过向文本添加不可见扰动（invisible perturbations）来在保持可读性的同时减轻模型记忆，并将此问题形式化为一个约束优化问题。由于缺乏针对自然文本的个体级风险度量，作者首先定义了“实例利用度”（instance exploitation），用于衡量在特定文本上训练会增加从候选中猜中该文本的概率，其值为0表示完美防御。直接求解该优化问题对防御者而言不可行，因此设计了两种有效的代理解法：单级优化和合成扰动。进一步，作者揭示并验证了“记忆触发器假设”，该假设有助于识别导致记忆的关键令牌（tokens）。基于此，设计了两种针对性扰动：（i）中和固有触发令牌以减少记忆；（ii）引入人工触发令牌以误导模型记忆。实验在多种攻击、模型规模和任务（语言及视觉-语言建模）上验证了防御效果。即使在隐私后门场景下，成员推断攻击（MIA）的AUC从0.95降至0.55，实例利用度接近零。这表明，与理想的无滥用场景相比，即使文本被包含在训练数据中，其暴露风险也几乎不变。该研究为保护网络文本免受LLM未授权利用提供了新思路，适合对LLM隐私保护感兴趣的研究者和安全工程师阅读。

该论文提出了 VeriLoRA，首个将低秩适配（LoRA）微调与零知识证明（ZKP）相结合的框架，旨在解决大语言模型（LLM）在不可信环境下微调的安全性和可验证性问题。LoRA 通过低秩矩阵分解大幅降低微调所需的计算和存储资源，但标准 LoRA 过程无法保证参数更新的正确性和数据隐私。VeriLoRA 利用先进的密码学原语——包括查找参数（lookup arguments）、和校验协议（sumcheck protocols）以及多项式承诺（polynomial commitments）——为基于 Transformer 架构的 LLM 微调中的前向传播、反向传播和参数更新提供端到端的可验证性。该框架能确保微调过程的正确性，同时保护模型参数和训练数据的隐私。实验基于开源 LLaMA 模型（最大 13B 参数），使用 GPU 实现验证了其实际可行性。VeriLoRA 填补了参数高效微调与可验证安全之间的空白，为在敏感或不可信环境中安全部署 LLM 提供了关键技术支持。适合对 LLM 安全、隐私保护、密码学应用感兴趣的研究人员阅读。

本文提出一种利用轻量级大型语言模型（LLM）进行事件响应规划的新方法，旨在解决现有基于前沿LLM的提示工程方法成本高且易产生幻觉的问题。该方法包含三个步骤：微调、信息检索和前瞻规划。首先，通过微调使模型适应安全领域；其次，检索相关历史事件和响应知识；最后，采用前瞻规划算法生成响应计划。作者在理论上证明了该方法生成的响应计划具有有界的幻觉概率，且通过增加规划时间可以使该概率任意小。实验基于文献报道的真实安全事件日志进行评估，结果表明：与前沿LLM相比，该方法恢复时间缩短最多22%，并能泛化到多种事件类型和响应动作。此外，该方法轻量级，可在普通硬件上运行。本文适合安全运营团队、LLM应用开发者以及关注自动化事件响应的研究人员阅读。

随着处理器设计的不断迭代和复用，不同处理器之间往往存在相似的漏洞。现有的处理器模糊测试工具通常独立测试每个设计，无法利用先前处理器中已知的漏洞知识来指导测试，从而难以高效发现相似或变种漏洞。为解决这一问题，本文提出ReFuzz——一种基于上下文多臂老虎机（contextual bandit）的自适应模糊测试框架。ReFuzz能够从先前处理器的有效测试用例中学习，并智能地变异那些曾触发过漏洞的测试，将其复用到目标处理器（PUT）上。在给定指令集架构（ISA）下，ReFuzz通过强化学习动态选择最优的变异策略，从而提高漏洞发现效率。实验表明，ReFuzz成功发现了3个新安全漏洞和2个新功能错误。其中一个漏洞是通过复用先前处理器中已知漏洞的测试用例而发现的；一个功能错误存在于共享设计模块的三个处理器中；另一个功能错误有两种变体。此外，与现有模糊测试工具相比，ReFuzz在覆盖率上平均实现了511.23倍的加速，总覆盖率最高提升9.33%。该工作证明了在多处理器迭代开发场景下，跨设计复用测试用例的有效性，为硬件安全测试提供了新思路。

Ivanti Endpoint Manager Mobile（EPMM）是一款用于企业移动设备管理的软件，近日被披露存在一个代码注入漏洞。该漏洞由知道创宇（Seebug）发现并收录，漏洞编号为SSVID-99967。由于缺乏公开的技术细节，目前无法确定具体的攻击向量和利用条件。但代码注入漏洞通常允许攻击者向系统注入恶意脚本或命令，可能导致敏感信息泄露、权限提升或远程代码执行。受影响的组件可能为EPMM的某个接口或功能模块，攻击者可能通过特制请求触发。鉴于Ivanti EPMM在企业环境中的广泛应用，该漏洞具有潜在的高风险，需要管理员密切关注并采取预防措施。

知道创宇/Seebug 漏洞库收录了一个编号为 SSVID-92331 的漏洞，涉及 TOPSEC（天融信）防火墙产品。该漏洞被命名为 ELIGIBLEBACHELOR，属于远程利用漏洞（Remote Exploit），即攻击者可能通过网络远程触发漏洞，无需身份认证或用户交互。由于漏洞的具体成因、攻击向量和影响细节未在公开描述中披露，目前无法确定漏洞的具体危害程度和利用复杂度。TOPSEC 防火墙广泛应用于政企网络边界，一旦被成功利用，攻击者可能获得设备控制权，进而内网渗透、数据窃取或发起进一步攻击。建议用户密切关注天融信官方安全公告，及时获取补丁信息。

## Summary An authenticated user can call `GET /api/settings` and retrieve sensitive configuration values, including `node.secret`. The same `node.secret` is accepted by `AuthRequired()` through the `X-Node-Secret` header (or `node_secret` query parameter), causing the request to be treated as authenticated via the trusted-node path and associated with the init user. In my local reproduction on `v

## Summary pgjdbc is vulnerable to a client-side denial of service during SCRAM-SHA-256 authentication. ### Impact A malicious server can instruct the driver to perform SCRAM authentication with a very large iteration count. With a large enough value, the client spends an unbounded amount of CPU time inside PBKDF2 before authentication can fail. A single attempt ties up a CPU core. Repeated or co

### Summary A server-side request forgery (SSRF) vulnerability exists in Geyser’s handling of Bedrock player head texture data. By supplying a crafted Base64-encoded skin texture URL via the /give command, an attacker can cause the Minecraft server to issue arbitrary HTTP GET requests to attacker-controlled or internal endpoints. This occurs server-side, without proper URL validation, and can be t

### Impact The remote read endpoint (`/api/v1/read`) does not validate the declared decoded length in a snappy-compressed request body before allocating memory. An unauthenticated attacker can send a small payload that causes a huge heap allocation per request. Under concurrent load this can exhaust available memory and crash the Prometheus process. ### Patches _Has the problem been patched? Wha

CISA发布ICS咨询，披露ABB B&R Automation Studio版本6.5之前存在一个证书验证不当漏洞（CVE-2025-11043，CVSS 7.4）。该漏洞影响OPC-UA和ANSL over TLS客户端，由于服务器证书验证机制不完善，允许网络中的未认证攻击者实施中间人攻击，拦截并篡改数据交换，从而伪装成可信方。受影响的版本包括Automation Studio <6.5。ABB已发布修复版本6.5，并建议用户尽快更新。此外，ABB建议在ICS网络安全参考架构的Level 2中运行该软件，以降低被利用风险。该漏洞影响关键制造业，全球范围部署。目前无已知在野利用证据。

### Impact Authenticated users and API tokens scoped to a specific database could read, write, and mutate schema on any other database on the same server. Two distinct defects contributed: (1) ServerSecurityUser.getDatabaseUser() returned a DB user with an uninitialized fileAccessMap, which requestAccessOnFile treated as allow-all; (2) ArcadeDBServer.createDatabase() omitted factory.setSecurity(..

本论文提出一种针对联邦学习的训练时后门攻击方式，使恶意服务器能够系统性地提取客户端完整训练样本。传统数据提取方法往往只能概率性重建或产生幻觉，无法精确恢复原始数据。该方法通过修改训练过程，在模型中嵌入一个后门触发器，当输入特定索引模式时，模型会直接输出对应训练样本。由于输出尺寸限制，攻击者将样本分割为多个补丁依次提取，并在服务器端重组。攻击仅需对训练代码做微小修改，客户端验证难以察觉，构成联邦学习供应链安全威胁。实验覆盖分类器、分割模型和大语言模型，显示可以数千计地恢复敏感样本，且对主任务性能影响极小（如医学分割数据集仅降低3%准确率）。研究揭示了联邦学习系统中数据隐私的重大漏洞，强调加强分布式训练管道完整性和透明性的必要性。适合联邦学习安全研究员、隐私保护工程师阅读。

该论文提出并实现了一个名为 MVPNalyzer 的自动化审计框架，旨在系统性地评估移动 VPN（手机端 VPN 应用）的安全性与隐私保护水平。研究背景：移动 VPN 已被广泛用于保护用户网络通信，然而用户很难验证其是否真正做到了加密、不记录日志、无数据泄露等承诺。核心方法：MVPNalyzer 通过静态分析、动态流量捕获与分析、以及协议逆向工程等手段，对数百款来自主流应用商店的移动 VPN 应用进行自动化测试。它能够检测包括但不限于以下方面：（1）使用的加密算法与协议是否安全（如是否使用弱加密、是否支持不安全的协商参数）；（2）是否存在 IP 或 DNS 泄露；（3）应用是否在后台收集超出必要范围的个人信息；（4）日志记录策略是否透明或存在违规。实验覆盖了 iOS 和 Android 平台上的大量 VPN 应用，结果揭示了显著比例的 VPN 应用存在至少一项严重安全问题，例如使用了过时的加密套件、泄露用户真实 IP、未经明确同意收集数据等。主要贡献包括：开源了可复用的审计工具链；提供了对移动 VPN 全行业的首份大规模安全评估；总结了常见安全缺陷模式。该论文适合安全研究人员、移动应用开发者以及关注隐私的普通读者阅读。

该论文提出了PANDORA，一种针对边缘物联网设备的轻量级对抗防御方法。边缘物联网设备资源受限，容易受到对抗样本攻击，导致机器学习模型失效。现有防御方法计算开销大，难以部署在边缘设备上。PANDORA利用不确定性感知的度量学习，通过训练模型区分正常样本和对抗样本的不确定性特征，从而在低计算成本下实现有效防御。该方法在多个数据集上进行了实验，证明了其在保持高检测率的同时，显著降低了计算开销，适合边缘部署。论文的主要贡献包括：提出轻量级对抗防御框架、不确定性感知度量学习机制，以及在真实边缘设备上的性能验证。

该论文提出 ZKSL，一个可验证且高效的拆分/联邦学习框架，将训练过程与零知识证明相结合。核心目标是实现联邦学习的隐私保护与可验证正确性，同时避免高昂的证明开销。ZKSL 通过三个设计支柱实现： (i) 层间并行证明，逐层生成证明并聚合； (ii) PC-PLONK，引入专用的隐私承诺列来高效强制执行跨层一致性，避免在电路内进行哈希（在论文规模下不可行）或脱离电路进行哈希（破坏零知识信任模型）； (iii) 异步计算-证明调度（K-window），将随机梯度下降与证明解耦，使训练过程不会因证明生成而停滞。论文提供了开源原型，包括立即可用的配置和脚本，可复现 LeNet（两方）和 DeepFM（三方）上的关键结果。它产生结构化日志，记录前向/梯度/反向各阶段的证明生成时间。预期结果是，在启用分层并行时，前向和反向阶段的证明时间显著减少，并且在异步调度下端到端吞吐量更高，与论文图表中报告的趋势一致。该工作适合关注隐私保护机器学习、联邦学习安全性和可验证计算的研究人员和工程师阅读。

本文提出CARIBOU框架，一种面向多层图神经网络的隐私保护方案。核心创新在于将收缩图层（Contractive Graph Layer, CGL）与收敛隐私会计相结合，实现边缘级差分隐私（EDP）和节点级差分隐私（NDP）下的深度聚合，同时保持较高的模型效用。传统GNN隐私保护方法往往在深层网络中面临隐私预算快速耗尽或效用严重下降的困境。CARIBOU通过设计收缩消息传递机制，限制每一层信息的扩散幅度，从而在不显著增加敏感度的情况下支持更多层的聚合。结合收敛隐私会计，能够更精确地追踪总体隐私损失，避免过估计。实验表明，在多个图基准数据集上，CARIBOU在相同隐私预算下比现有方法显著提升分类准确率，尤其在深度GNN中优势更为明显。该工作为隐私敏感场景下的图数据分析提供了可行方案。

本文针对视觉 Transformer（ViT）在对抗攻击下的脆弱性展开系统研究。ViT 已成为现代视觉-语言模型的基础架构，但其对抗鲁棒性不足，需要专门的对抗训练（AT）策略。作者首先指出现有最先进的 AT 方法（如 Generalist 和 DBAT）与 ViT 存在显著不兼容性。接着，论文从互信息（MI）角度进行理论分析，证明在基于自编码器的自监督预训练中，对抗样本与其潜在表示之间的互信息应通过导出的 MI 界限进行约束。基于此洞察，作者提出一种自监督 AT 方法 MIMIR，该方法通过掩码图像建模和自编码器，引入互信息惩罚项来增强对抗预训练。在 CIFAR-10、Tiny-ImageNet 和 ImageNet-1K 上的大量实验表明，MIMIR 能够持续提升自然准确率和鲁棒准确率，在 ImageNet-1K 上全面超越现有最先进方法。此外，MIMIR 对未知攻击和常见损坏数据表现出卓越的鲁棒性，还能抵御完全知晓防御机制的自适应攻击。代码和训练模型已开源。本研究适合对抗机器学习、视觉安全领域的研究人员和工程师阅读。

该论文提出了一种基于图的网络入侵检测系统（GNIDS）与联邦学习（FL）相结合的方法 Entente，旨在解决传统 GNIDS 在分布式数据收集场景下因隐私法规和运营限制而难以实现集中式数据的问题。现有 GNIDS 主要假设数据集中存储，但现实中不同组织的数据可能因隐私保护无法共享。作者利用联邦学习使得多个客户端（如不同组织的网络）在不共享原始数据的情况下协同训练检测模型。然而，直接将 FL 应用于 GNIDS 面临挑战：不同客户端之间的图数据存在异构性（例如网络拓扑结构差异），且不同 GNIDS 的设计选择不同。为此，Entente 引入了一套针对图数据集的新技术：参考图合成（Reference Graph Synthesis）用于生成统一的参考图以缓解异构性；图草图（Graph Sketching）用于高效地压缩图数据并保留关键结构信息；自适应贡献缩放（Adaptive Contribution Scaling）用于平衡各客户端对全局模型的贡献，防止某些客户端主导训练。实验使用三个大规模数据集（LANL、OpTC 和 Pivoting）进行评估，结果显示 Entente 在检测准确率和鲁棒性上优于现有的 FL 基线方法。此外，论文还针对 GNIDS 场景设计了特定的联邦学习投毒攻击，并证明 Entente 能够将攻击成功率限制在较低水平，展现了其鲁棒性。总体而言，该研究为构建跨组织边界的分布式 GNIDS 提供了有前景的方向。

本文提出 KnowHow，一种自动化应用 CTI 报告高级知识的在线溯源分析方法。现有攻击检测系统（如溯源分析）依赖底层系统事件（文件访问、网络连接等），而 CTI 报告中的知识以自然语言形式（如 ATT&CK 技术）描述，两者之间存在语义鸿沟。手动关联耗时且易错。KnowHow 的核心是一种新的攻击知识表示——gIoC（graph of Indicators of Compromise），它抽象了攻击的主体、客体和动作。通过将系统标识符（如文件路径）提升为自然语言术语，KnowHow 能够将系统事件与 gIoC 匹配，进而与自然语言描述的技术关联。然后，基于匹配的技术，KnowHow 推理攻击步骤的时间逻辑，检测潜在 APT 攻击。实验使用开源和工业数据集，KnowHow 准确检测了全部 16 个 APT 活动，而现有方法均产生大量误报。同时，KnowHow 将节点级误报最多减少 90%，且节点级召回率更高，对未知攻击和模仿攻击具有鲁棒性。该方法有效地弥合了高级 CTI 知识与低级日志之间的鸿沟，提升了溯源分析的准确性和可解释性。

本文针对基于机器学习的恶意流量检测系统的鲁棒性展开研究，提出了一种名为NetMasquerade的硬标签黑盒逃避攻击方法。现有逃避攻击通常依赖过于严格的假设（如加密协议、Tor网络或特殊设置），或需要目标模型的内部知识（如训练数据和参数），难以在真实黑盒场景中实用。NetMasquerade利用强化学习（RL）操纵攻击流量，使其模仿良性流量模式以逃避检测。其核心创新在于：首先设计了一个名为Traffic-BERT的预训练模型，通过专用的网络流量分词器和注意力机制，从大量良性流量中提取多样化的模式；然后将Traffic-BERT集成到RL框架中，使得攻击者能以最小的流量修改代价，基于良性模式生成对抗性恶意流量。实验覆盖80种攻击场景，在6种现有检测方法上取得了超过96.65%的攻击成功率，包括那些被认定为经验鲁棒或可认证鲁棒的方法。同时，NetMasquerade能实现低延迟的对抗流量生成，证明了其实用性。该研究揭示了当前ML流量检测系统在面对自适应攻击时的脆弱性，为安全社区改进检测模型提供了警示。

该论文聚焦于开源软件项目中安全补丁的自动分类问题，特别是针对 Linux 内核中严重的内存错误（如越界访问 OOB 和释放后使用 UAF）。由于安全补丁经常被延迟采纳，且存在故意沉默的修复、CVE 分配不完整或延迟等问题，识别关键补丁变得困难。现有细粒度分类方法在覆盖率和准确性上存在局限。作者提出了 DUALLM 双方法流水线，结合基于大型语言模型（LLM）的方法和微调的小语言模型，利用提交标题、消息、差异及代码上下文进行补丁分类。实验表明，DUALLM 在 5140 个近期 Linux 内核补丁中达到了 87.4% 的准确率和 0.875 的 F1 分数，显著优于先前方案。它成功识别出 111 个与 OOB 或 UAF 相关的补丁，其中 90 个经人工确认真阳性（许多在补丁描述中没有明显指示）。此外，作者为两个识别出的漏洞（一个 UAF，一个 OOB）构建了概念验证，其中一个实现了此前未知的控制流劫持，进一步验证了分类正确性。该研究为下游维护者提供了自动化识别关键安全补丁的有效工具，有助于缩短漏洞暴露窗口。

本文首次系统性地研究了Kubernetes Operator中的跨命名空间引用漏洞。Kubernetes Operator是用于自动化管理应用生命周期的工具，它们通常需要高权限并跨多个命名空间操作，这引入了新的安全风险。Kubernetes通过命名空间隔离来限制用户访问，但Operator可能因为声明的资源范围与实际逻辑范围不匹配，导致命名空间隔离被绕过。攻击者利用这种漏洞，即使只在一个授权命名空间内拥有有限权限，也能通过Operator影响其他未授权命名空间，实现权限提升等危害。作者提出了跨命名空间引用漏洞的两种攻击策略，并通过大规模测量发现超过14%的公开Operator存在潜在漏洞。研究结果已报告给相关开发者，获得8个确认和7个CVE（涉及Red Hat、NVIDIA等厂商）。作者开源了静态分析套件并提出了缓解措施，以增强Kubernetes Operator的安全性。本文适合Kubernetes安全研究人员、云原生安全工程师、Operator开发者以及Kubernetes管理员阅读。

随着深度伪造技术的快速发展，生成逼真的虚假数字内容对媒体真实性构成严重威胁。传统的深度伪造检测方法在面对定制化、复杂的深度伪造时，泛化能力和鲁棒性往往不足。本文提出了一种名为ViGText的新方法，该方法创新地将图像与视觉大语言模型（VLLM）的文本解释相结合，并基于图神经网络（GNN）框架进行深度伪造检测。ViGText的核心在于利用详细的解释文本而非简单的标题，提供更丰富的上下文信息，从而捕捉细微的不一致性。具体而言，ViGText将图像划分为多个补丁，分别构建图像图和文本图，并通过GNN整合分析。方法还采用了跨空间域和频率域的多级特征提取，以增强对复杂深度伪造的检测鲁棒性。大量实验表明，ViGText在泛化性能上显著提升：在泛化评估中，平均F1分数从72.45%提升至98.32%；面对用户定制化的稳定扩散模型变体时，表现出优异的泛化能力。鲁棒性方面，ViGText的召回率相比其他方法提升了11.1%。针对利用其图架构的定向攻击，ViGText将分类性能下降限制在4%以内。本研究为深度伪造检测设立了新标准，有助于维护媒体真实性和信息完整性。

本文研究如何在不泄露底层训练数据和最终模型的情况下，让模型拥有者证明其模型是按照正确的规格（如特定数据集、训练算法等）进行训练的。作者正式定义了零知识训练证明（zkPoT）的概念，并建立了安全模型。尽管通用零知识证明系统理论上可实现任何模型的zkPoT，但实际证明生成时间过长，无法实用。为设计高效方案，本文创新性地融合了MPC-in-the-head（MPC中公开验证的安全多方计算范式）与zkSNARKs（简洁的非交互零知识证明）两类技术，以在证明大小和计算时间之间取得平衡。作者基于该思路，为逻辑回归模型设计并实现了一个具体高效的zkPoT协议，通过实验验证了其可行性，相比通用方法显著降低了证明生成开销。该研究为模型训练的可验证性提供了隐私保护的实用路径，对AI合规、模型审计等场景具有基础性意义。

本文提出并实现了 SysXCHG，一种新型系统调用过滤强制机制，旨在使程序严格遵循最小权限原则运行。与现有 seccomp-BPF 的层级化设计不同（后者不允许进程运行与子进程不同的系统调用集合），SysXCHG 允许在 execve[at] 系统调用执行时动态交换过滤器，使应用程序能够携带“紧致”的系统调用过滤器运行，不受后续执行的子程序影响。具体而言，SysXCHG 引入了一种过滤器交换机制，在 exec 边界处替换当前进程的过滤规则，从而确保每个程序（包括子进程）只能使用其必需的系统调用。此外，作者还设计了 xfilter，一种利用内核系统调用表的进程特定视图进行快速过滤的机制。实验评估基于 PaSH 基准测试套件中的真实程序，结果表明 SysXCHG 的性能开销极低（≤1.71%），同时能够有效阻止大量无关功能，包括 seccomp-BPF 无法拦截的安全关键系统调用（如 ptrace、process_vm_writev 等）。该工作对于提升操作系统级安全隔离能力具有重要参考价值。

本文提出了一种名为I2PERCEPTION的低成本去匿名化方法，用于揭示I2P匿名网络中隐藏服务的真实IP地址。I2P是一个流行的匿名通信网络，但现有去匿名化方法难以在包含大量路由器的网络中有效扩展。I2PERCEPTION的核心思想是利用主动探测和被动监控相结合的方式，通过分析I2P路由器的加入和离开行为（即上线/离线模式）来关联目标隐藏服务的行为模式。攻击者首先部署少量的floodfill路由器（论文中仅使用15个）来被动收集网络中路由器的RouterInfo信息，并分析其发布机制以精确识别路由器的实时行为。然后，通过主动探测目标隐藏服务的在线状态，获取其行为模式。最后，将隐藏服务的行为模式与收集到的路由器行为进行时间序列关联，从而缩小可能的候选路由器范围，最终找到托管该隐藏服务的真实路由器，实现去匿名化。论文通过在真实I2P网络上进行长达八个月的实验验证，成功对受控的隐藏服务进行了去匿名化，证明了方法的精确性和有效性。该研究展示了I2P匿名网络面临的严重隐私威胁，并为匿名网络的安全改进提供了重要参考。

该论文对SSH协议进行了全面的后量子密码学安全性分析。SSH是首批升级以抵抗未来量子计算机攻击的互联网安全协议之一，OpenSSH自2022年4月起默认采用“量子（或其他经典）”安全的混合密钥交换。然而，现有文献对SSH抗量子版本的安全性分析不足：相关工作要么孤立地分析混合密钥交换，不考虑整体协议安全；要么在不适合SSH的安全模型（尤其是在后量子环境下）中分析协议。本研究通过“自顶向下”的方法填补了这一空白：首先在一个更合适的模型（即后量子扩展的认证机密信道建立协议安全模型，ACCE）中证明了SSH的安全性，该扩展能够捕获“先收集、后解密”攻击，具有独立研究价值；然后基于协议级别的ACCE安全分析，推导了SSH底层原语（如OpenSSH和TinySSH最新版本中使用的密钥封装机制“Streamlined NTRU Prime”）的密码学属性，在量子随机预言机模型中证明了相关属性，并解决了文献中关于其分析的开放问题。值得注意的是，对后量子SSH的ACCE安全分析依赖于混合密钥交换中使用的临时KEM的较弱IND-CPA安全性，而此前的工作依赖于更强的IND-CCA安全性。论文最后讨论了将当前后量子SSH实现中的IND-CCA安全KEM替换为更简单、更快的IND-CPA安全KEM的可行性，并提供了相应基准测试。

该论文针对C/C++软件供应链中的漏洞分析问题提出了一种社区级别的软件组成分析方法（SCA）VulSCA。现有SCA工具（如OSSFuzzer、OSSGadget、OSV-Scanner）在识别第三方库漏洞时存在高误报率和难以理解的问题，主要原因包括漏洞库不完整、版本匹配不精确以及缺乏上下文信息。VulSCA利用社区信息（如GitHub issues、commit logs、安全公告）构建增强的漏洞数据库，并结合代码相似性与补丁分析技术，精确识别受影响函数，从而减少误报。实验结果表明，在多个真实C/C++项目数据集上，VulSCA在召回率和精确率方面均优于现有工具，误报率显著降低。论文还展示了VulSCA能够发现之前未知的漏洞变种，并提供了详细的漏洞影响分析。该方法对于提升C/C++软件供应链安全性具有重要参考价值。

本文研究权益证明（PoS）共识机制或分布式账本中的委员会选择问题。在 PoS 系统中，每个参与方被分配非负的“权益”，系统面临可能腐化部分参与方的敌手。核心挑战是选出一个委员会，使其准确反映全体参与方中腐化方与诚实方的权益比例。委员会规模与选出的委员会过度代表腐化方的概率之间的权衡，是 PoS 共识以及委员会运行的二层协议安全性与效率的基础性因素。论文提出了一种名为“既成事实委员会选择”（Fait Accompli Committee Selection）的新方法，旨在改进委员会规模与安全性之间的权衡。该方法通过一种新颖的随机化过程，在给定安全参数下，能以更小的委员会规模达到相同或更高的安全性，或者保持规模不变而提升安全性。论文给出了严格的数学证明，表明该方法在渐近意义上优于传统方法。主要贡献包括：形式化定义了委员会选择问题的模型；提出并分析了一种新的委员会选择协议；通过理论分析证明了其在规模-安全性权衡上的改进。该研究适合对 PoS 共识机制设计、分布式系统安全以及密码学协议感兴趣的学者和工程师阅读。

Citrix NetScaler 内存泄漏(CVE-2025-5777)

本文研究了BACnet协议中隐式保留字段（implicitly reserved fields）的安全性问题。BACnet（Building Automation and Control Network）是楼宇自动化和控制网络中广泛应用的标准协议，用于暖通空调、照明、安防等系统的互操作。作者发现，BACnet协议规范中定义了一些保留字段，这些字段本应被忽略或设置为零，但实际实现中，不同厂商的设备对这些字段的处理方式不一致，可能导致安全漏洞。通过逆向工程和实际测试，作者揭示了攻击者可以利用这些保留字段注入恶意数据、绕过访问控制或实施拒绝服务攻击。具体地，论文提出了“BADnet”攻击方法，能够利用保留字段的歧义性破坏BACnet设备的正常通信。实验在多个商用BACnet设备上进行，验证了攻击的有效性。本文的主要贡献包括：首次系统分析BACnet保留字段的安全风险；提出并实现了BADnet攻击框架；为BACnet协议的安全增强提供了建议，如明确保留字段的处理规范和增加完整性校验。该研究对于工业控制系统安全、特别是智能楼宇安全具有重要参考价值。由于本文仅为arXiv预印本，未提供实验复现细节，故置信度设为abstract_only。

本文研究了基于微控制器的物联网设备中嵌入式实时操作系统（RTOS）的安全问题。初始分析发现，FreeRTOS等流行RTOS缺乏基本安全保护，而Zephyr OS和ThreadX虽设计了安全保护，但在系统调用参数清理的实现上存在显著差异。作者识别出ThreadX中一项性能优化实践引入了安全漏洞，该优化绕过了参数清理过程，使得攻击者能够通过精心选择的系统调用来操纵一个或多个内核对象，从而访问敏感字段，可能导致未授权数据操作、权限提升或系统沦陷。作者提出了一种新型攻击——内核对象伪装（KOM）攻击，并开发了基于欠约束符号执行的自动化方法以识别KOM攻击并理解其影响。实验在ThreadX驱动的平台上证明了攻击的可行性。作者已将发现报告给厂商，亚马逊和微软确认了漏洞并在其网站上致谢。该研究揭示了性能与安全之间的权衡，强调了嵌入式RTOS安全设计的重要性。

本文提出了一种名为 BINALIGNER 的二进制差异分析方法，旨在解决跨编译环境（如不同版本、编译器、优化级别、架构）下二进制代码比较的难题。现有方法通常基于基本块的相似度进行匹配，在跨编译环境中效果不佳且灵活性差。BINALIGNER 的核心创新包括：1) 采用条件松弛策略，通过放宽匹配条件来寻找候选子图对，从而减少误匹配和漏匹配；2) 使用与指令无关的基本块特征（如基于数据流和控制流的特征）生成子图嵌入，以支持跨编译环境的灵活比较。作者在四个跨编译环境场景（跨版本、跨编译器、跨优化级别、跨架构）上进行了实验，结果显示 BINALIGNER 在大多数场景下显著优于现有方法，尤其在跨架构场景和多组合场景中，F1 分数平均比基线高 65%。此外，通过两个真实漏洞（CVE 案例）及其补丁的案例研究，验证了 BINALIGNER 在漏洞检测和补丁分析中的实用性。该研究为二进制安全分析领域提供了一种高效、鲁棒的差异分析工具，适用于漏洞发现、恶意软件分析和代码复用检测等场景。

该论文提出了一种增强语义感知二进制差异比较的方法，核心思路是通过动态执行获取高置信度的指令对齐信息，从而提升二进制代码相似性分析的准确性和鲁棒性。传统的二进制差异比较方法依赖于静态特征（如控制流图、指令序列），但难以应对编译器优化、代码混淆等导致的语义不一致。论文引入动态分析，在受控环境中执行目标二进制，记录指令足迹和运行时状态，并利用动态对齐算法将不同二进制中的指令映射到共同语义层面。主要贡献包括：设计了一种基于动态指令对齐的语义差异比较框架，能够有效区分同源代码的不同编译版本或不同实现；在多个真实世界数据集上进行了评估，证明该方法在精确率和召回率上优于现有静态方法。该工作对安全分析中的补丁分析、恶意软件变体检测、以及漏洞发现具有潜在应用价值。适合对二进制分析、软件安全领域感兴趣的读者。

该论文对在野部署的4G LTE毫微微蜂窝基站（Femtocell）进行了系统性的安全评估。毫微微蜂窝基站是一种小型、低功耗的蜂窝基站，通常部署在家庭或小型企业中以增强室内覆盖。研究者从多个厂商采集了实际运行的毫微微蜂窝基站固件，通过逆向工程、静态分析和动态测试等手段，发现了多种安全漏洞，包括未授权访问、协议实现缺陷、加密机制薄弱、后门账户以及固件更新机制不安全等。论文详细描述了这些漏洞的攻击面，并展示了如何利用这些漏洞实现远程代码执行、用户数据窃取、网络流量劫持等攻击。此外，研究者还分析了运营商管理接口的安全性，发现部分接口缺乏认证或存在硬编码凭证。实验表明，这些漏洞可能导致攻击者完全控制毫微微蜂窝基站，进而威胁用户隐私和网络基础设施。论文最后提出了加固建议，包括强化认证、补丁管理和安全配置规范。

该论文针对软件供应链安全中识别漏洞引入提交（Vulnerability-Introducing Commit, VIC）这一关键问题，提出了一种基于补丁模式差异分析的新方法。传统VIC识别方法主要依赖代码变更的文本特征或图结构，但往往受限于噪声数据（如重构提交）且对隐蔽性漏洞引入不敏感。作者通过观察发现：修复补丁（patching patterns）在修复前和修复后的代码差异模式具有可区分的特征，这些特征可以反向用于定位最初的漏洞引入点。具体而言，论文首先从公开漏洞库（如NVD）和开源仓库中收集大量已知漏洞的修复提交，然后构建补丁模式的知识库；接下来，对于待分析的候选提交，通过比对候选提交的代码变更与已知修复补丁的“逆模式”（即补丁的镜像操作）来识别潜在的VIC。方法包含三个主要步骤：1）补丁模式提取与量化：使用抽象语法树（AST）差异分析将补丁模式表示为结构化编辑操作序列；2）逆模式匹配：对于每个候选提交，计算其编辑操作序列与已知补丁模式逆序列的相似度；3）基于集成排序的VIC判定：结合多个相似度指标和提交元数据（如时间戳、开发者信息）进行综合排序。实验在多个真实世界开源项目（如Linux内核、Apache HTTPD）上进行，结果显示该方法在TPR（真正例率）和Precision上均优于现有基线方法（如VCCFinder、FIBER），尤其对隐蔽性漏洞（如逻辑错误导致的漏洞）的引入提交识别准确率提升显著。论文还分析了不同补丁模式（如条件增强、函数接口变更）对识别效果的贡献，表明逆模式匹配能有效过滤重构提交等噪声。该研究的贡献在于提供了一种无需依赖漏洞细节（如PoC）的VIC识别思路，可应用于自动化漏洞根因定位和修复回溯。

本文介绍了 vSim，一种面向二进制代码相似性分析的语义感知值提取方法。研究背景：二进制代码相似性分析（BCSA）在漏洞搜索、恶意软件分析、补丁检测等安全场景中具有重要应用，但现有方法大多依赖指令级别或结构特征，难以捕捉深层语义，且面对编译器优化、不同架构时鲁棒性不足。核心问题：如何高效地从二进制代码中提取具有语义价值的特征，以提升相似性比较的准确性与效率。提出的方法：vSim 设计了一种语义感知的值提取框架，通过分析指令中对内存地址、算数运算、函数调用等操作涉及的数值传播路径，构建语义标记的值流图（Value Flow Graph），并利用轻量级符号执行与抽象解释相结合的技术，提取具有语义一致性的特征向量。该方法不依赖于符号名或调试信息，可适用于 stripped binaries。主要贡献：1) 提出了第一个专门针对数值语义进行提取的轻量级方法，兼顾效率与精度；2) 在跨架构（x86、ARM、MIPS）及跨优化等级的相似性检测任务上，vSim 相比现有最优工具（如 XMATCH、BinDiff）平均提升了 15-30% 的准确率，同时保持接近线性的时间开销；3) 公开了基于 NDSS 2026 论文的工件（artifact），支持复现与扩展。实验在包含真实软件编译的大规模数据集上进行，验证了方法的有效性与鲁棒性。本文适合对二进制分析、漏洞挖掘、逆向工程感兴趣的安全研究人员阅读。

PLANET VDR-300NU ADSL Router - 未授权修改DNS

Acknowledgements

OpenCTI is an open source platform for managing cyber threat intelligence knowledge and observables. In versions 6.6.0 through 6.9.12, there is a privilege escalation vulnerability that can be exploited by unauthenticated attackers to query the API as any existing user, including the default admin account. This issue has been fixed in version 6.9.13. As a workaround, the default admin can be disab

## Summary `objects/users.json.php` exposes two unauthenticated paths that disclose the full set of registered user accounts. The `isCompany` request parameter causes the handler to set `$ignoreAdmin = true` for any non-admin caller (including unauthenticated visitors), which defeats the admin-only guard inside `User::getAllUsers()`/`User::getTotalUsers()`. A second path accepts `users_id` and ca

### Summary A business logic vulnerability in the Grav Admin Panel allows a low-privileged user (with only user creation permissions) to overwrite existing accounts, including the primary administrator. By creating a new user with a username that already exists, the system updates the existing account's metadata and permissions instead of rejecting the request. This leads to a Denial of Service (D

View CSAF Summary Hitachi Energy is aware of a vulnerability that affects the Hitachi Energy PCM600 product versions listed in this document. An attacker successfully exploiting this vulnerability can impact integrity of the product. Please refer to the Recommended Immediate Actions for information about the mitigation/remediation. The following versions of Hitachi Energy PCM600 are affected: PCM

本论文摘要未提供，无法生成详尽摘要。基于标题和作者推断：该研究提出了一个名为TAF的框架，旨在增强法律文档的安全性和可访问性。作者包括安全更新框架TUF的创建者Justin Cappos，暗示TAF可能借鉴了TUF的设计理念，如透明性和完整性保证。具体技术细节、实验评估和贡献无法得知。适合对文档安全、法律科技感兴趣的研究者阅读，但需要查阅原文获取完整信息。

本文介绍SECV（Securing Connected Vehicles with Hardware Trust Anchors），该系统旨在利用硬件信任锚（如安全元件或可信执行环境）保护联网车辆的安全性。论文已被NDSS 2026 Fall接收，并提供了开源的实现工件，包含可在S32G3硬件上直接运行的.sdcard镜像文件、补丁和操作指南。研究背景是：随着车联网（V2X）和自动驾驶技术的发展，车辆面临日益严重的网络攻击威胁，传统软件安全机制不足，亟需基于硬件的信任根来确保关键操作的安全性。SECV的核心方法是将硬件信任锚集成到车辆系统中，作为安全启动、安全通信和运行时完整性验证的基础。主要贡献包括：设计并实现了一套针对车联网场景的硬件信任锚方案，在NXP S32G3平台上进行了验证，并开源了完整代码和构建脚本，便于学术界和工业界复现和评估。适合汽车安全研究人员、嵌入式系统安全工程师以及关注车联网安全的从业者阅读。

现代CPU作为黑盒，其微架构漏洞日益复杂，传统分析手段难以应对。虽然已有通过繁琐手工挖掘出的关键漏洞，但缺乏自动化、系统化的后硅漏洞检测框架。本文提出Fuzzilicon，首个面向真实x86 CPU的后硅模糊测试框架，通过引入微码级内省填补了可见性鸿沟。Fuzzilicon的核心是新型微架构反馈提取技术：通过逆向工程Intel的专有微码更新接口，实现对处理器微架构的深度内省，并开发了最小侵入性的插桩方法，集成于基于Hypervisor的模糊测试工具链中，实现了无需寄存器传输级（RTL）访问的精确反馈引导输入生成。在Intel Goldmont微架构上的实验表明，Fuzzilicon发现了5项重要发现，包括两个此前未知的微码级推测执行漏洞，并自动重现了之前手动检测到的μSpectre类漏洞。与基线技术相比，Fuzzilicon将覆盖率收集开销降低最多31倍，并达到了16.27%的可挂钩位置唯一微码覆盖率，成为此类首个实证基线。该框架是一种实用、覆盖引导且可扩展的后硅模糊测试方法，为自动化发现复杂CPU漏洞奠定了新基础。

随着现代汽车向智能化和网联化发展，其复杂性带来了显著的网络安全风险。威胁分析与风险评估（TARA）成为满足强制性法规要求的关键手段，但现有自动化方法依赖静态威胁库，难以满足行业所需的细粒度、函数级分析需求。本文提出DefenseWeaver，首个利用组件级细节和大语言模型（LLM）实现函数级TARA自动化的系统。该系统通过扩展的OpenXSAM++格式描述系统配置，动态生成攻击树并进行风险评估；采用多智能体框架协调多个专门化LLM角色，以增强分析的鲁棒性。此外，DefenseWeaver结合低秩适配（LoRA）微调和基于检索增强生成（RAG）的专家TARA报告，以应对不断演变的威胁和多样化的标准。作者在四个汽车安全项目中部署验证，系统识别出11条关键攻击路径，并通过渗透测试证实，相关车企和供应商已报告并修复。系统还展示了跨领域适应性，成功应用于无人机和船舶导航系统。与人类专家相比，DefenseWeaver在六个评估场景中的人工攻击树生成任务上表现更优。系统已集成到联电（UAES）、小米等商业网络安全平台，生成了超过8200个攻击树。这些结果突显了其在显著减少处理时间、可扩展性以及跨行业网络安全转型方面的潜力。

本文首次系统性地研究了大型语言模型（LLM）服务框架中缓存机制引发的安全威胁。随着LLM在生产环境中的广泛部署，服务框架（如vLLM、TGI等）广泛采用缓存技术（如键值缓存、前缀缓存）以降低推理延迟和成本。然而，这些缓存设计引入了新的攻击面。作者识别并分类了六种缓存相关威胁：缓存中毒（通过污染缓存数据导致恶意输出）、缓存窃取（通过侧信道推断其他用户的提示/响应）、缓存放大（利用缓存机制发起拒绝服务攻击）、缓存不一致（利用多租户环境下的缓存状态同步问题）、缓存数据泄露（缓存未清理导致敏感信息暴露）以及缓存旁路（绕过缓存验证直接操作底层存储）。通过分析主流LLM服务框架的缓存实现，作者构建了威胁模型并展示了实际攻击的原型验证。实验表明，攻击者可以在低权限条件下（如仅具备API访问权限）实施上述威胁，影响模型输出的完整性、机密性和可用性。论文提出了相应的防御策略，包括缓存隔离、访问控制、数据完整性校验以及缓存状态的严格刷新策略。研究强调了在LLM服务设计中安全与性能的平衡需求，为框架开发者和部署者提供了安全指南。

该论文提出了一种名为Odysseus的新型越狱攻击范式，针对商业多模态大语言模型（MLLM）集成系统。当前的安全过滤器通常假设恶意内容必须在输入或输出中显式可见才能被检测，但多模态系统允许攻击者利用图像等多重模态隐藏恶意意图。Odysseus采用双重隐写术：首先将恶意查询（如生成有害内容的指令）通过隐写技术编码到看似正常的图像中，作为输入提交给MLLM；然后MLLM生成的响应同样通过隐写术隐藏在另一张图像中输出。整个攻击过程中，输入和输出的文本表面均无恶意内容，从而绕过基于显式文本检测的安全过滤器。实验在多个商业MLLM集成系统（如GPT-4V等）上进行，攻击成功率高达99%。该研究揭示了现有防御机制的根本盲点，即过度依赖单模态的显式内容审查，而忽视了跨模态隐写承载恶意信息的能力。论文呼吁重新设计多模态系统的安全架构，考虑跨模态一致性和隐写检测。

本文提出了一种名为JSIMPLIFIER的综合JavaScript反混淆工具。研究背景：JavaScript的广泛使用使其成为恶意攻击者的目标，他们利用复杂的混淆技术隐藏有害代码。现有反混淆工具存在局限性，如无法处理多种输入格式、仅针对特定混淆类型、输出晦涩难懂等。JSIMPLIFIER采用多阶段流水线架构，包括预处理、基于抽象语法树（AST）的静态分析、动态执行跟踪以及大型语言模型（LLM）增强的标识符重命名。同时，作者引入了多维度评估指标，整合了控制流/数据流分析、代码简化评估、熵测量和基于LLM的可读性评估。为验证有效性，作者构建并发布了最大规模的真实混淆JavaScript数据集，包含44,421个样本（23,212个恶意样本和21,209个良性样本）。实验结果表明，JSIMPLIFIER在20种混淆技术上的处理能力达到100%，在评估子集上的正确率为100%，代码复杂度降低88.2%，多个LLM验证的可读性提升超过4倍。该工具推进了JavaScript反混淆研究和实际安全应用的基准。

反编译是将机器码转换为人类可读形式的关键技术，广泛应用于软件安全分析、漏洞挖掘和逆向工程。然而，现有反编译工具生成的代码常存在语义失真，导致可读性和准确性下降。传统方法如变量重命名或结构简化仅能提供局部改进，缺乏对复杂闭源二进制文件中语义错误的系统性检测与纠正能力。本文提出 FidelityGPT 框架，通过结合检索增强生成（RAG）与动态语义强度算法，实现反编译失真的自动检测与修复。FidelityGPT 的核心创新包括：针对闭源场景设计的失真感知提示模板、基于动态语义强度的失真行定位算法、以及通过变量依赖分析缓解长上下文限制的机制。实验基于二进制相似性基准测试中的 620 个函数对展开，结果表明 FidelityGPT 的平均检测准确率达 89%，精确率为 83%。与当前最先进的 DeGPT（修复率 83%，修正修复率 37%）相比，FidelityGPT 分别达到 94% 的修复率和 64% 的修正修复率，显著提升了反编译代码的准确性和可读性。该研究展示了大型语言模型结合检索增强在反编译与逆向工程领域的应用潜力，适用于需要处理复杂闭源二进制文件的安全分析场景。

大语言模型（LLM）已被集成到众多应用（如网络代理）中以执行更复杂的任务，然而，这类应用容易受到间接提示注入（IPI）攻击的影响——攻击者通过不可信的外部数据源注入恶意指令。为解决这一问题，本文提出了 Rennervate 防御框架，旨在检测并阻止 IPI 攻击。Rennervate 利用注意力特征在细粒度的 token 级别检测隐蔽注入，从而实现精确的清理操作，既中和了 IPI 攻击，又保持了 LLM 的原有功能。具体而言，该框架实现了基于 token 级别的检测器，采用两步注意力汇聚机制：首先汇聚注意力头，再汇聚响应 token，用于 IPI 检测和清理。此外，作者构建了一个细粒度的 IPI 数据集 FIPI（将开源），以支持后续研究。大量实验表明，Rennervate 在 5 种 LLM 和 6 个数据集上均优于 15 种商业和学术 IPI 防御方法，取得了高精度。同时，Rennervate 对未见过的攻击具有迁移性，且对适应性攻击者具有鲁棒性。

本文提出了一种名为 PhyFuzz 的新型传感器漏洞检测方法，利用物理信号模糊测试来发现传感器中的安全缺陷。传感器在现代系统中广泛应用，但物理层面的攻击往往被忽视。PhyFuzz 通过生成物理信号（如声波、电磁波等）并注入到传感器中，观察系统的异常行为，从而检测出传感器对物理干扰的脆弱性。该方法系统性地探索了传感器物理输入空间，结合自适应变异策略以提高漏洞发现效率。实验在多种实际传感器设备上进行，结果表明 PhyFuzz 能够有效发现传统软件模糊测试无法触及的物理层漏洞，例如传感器饱和、信号干扰导致的错误输出等。该研究为物联网和嵌入式系统安全提供了新的测试视角，有助于开发更鲁棒的传感器系统。主要贡献包括：1）提出了物理信号模糊测试的通用框架；2）设计了针对传感器特性的变异生成算法；3）通过案例验证了方法的有效性。

多模态大语言模型（MLLMs）在跨模态理解方面表现出色，但其视觉输入模块容易受到对抗攻击，即使文本安全机制完善。这些漏洞源于两个核心弱点：视觉表征的连续性允许基于梯度的攻击，以及文本安全机制无法充分迁移到视觉内容。本文提出 Q-MLLM，一种集成两级向量量化的新颖架构，通过创建离散瓶颈来抵御对抗攻击，同时保持多模态推理能力。该方法在像素块级和语义级对视觉表征进行离散化，阻断攻击路径并弥合跨模态安全对齐鸿沟。两阶段训练策略确保了鲁棒学习并维持模型效用。实验表明，Q-MLLM 在防御越狱攻击和有毒图像攻击方面显著优于现有方法，对越狱攻击实现了 100% 的防御成功率（仅有一个可争议案例除外），同时在多个效用基准上保持竞争性能，且推理开销极低。这项工作将向量量化确立了一种有效的防御机制，无需昂贵的专门安全微调或检测开销。

本文研究字符级扰动对大型语言模型（LLM）水印技术的破坏效果。水印技术被广泛用于追踪LLM生成内容，防止滥用。作者系统分析了多种字符级扰动（如拼写错误、同音替换、随机插入等）对当前主流水印方案（如基于n-gram的Aaronson水印、基于软水印的Kirchenbauer方案等）的鲁棒性影响。实验在多个开源LLM（如Llama2、OPT）上进行，结果表明，简单的字符级扰动即可显著降低水印检测的准确率，甚至完全绕过检测。作者进一步探讨了结合语义保持的对抗性扰动，发现更难防御。本文揭示了LLM水印在字符层面的脆弱性，对内容追踪与反滥用领域具有警示意义。

该论文研究了大型语言模型（LLM）在面对越狱攻击时的脆弱性，发现了一个关键问题：在响应生成过程中，LLM区分安全与有害输出的能力会逐渐下降。实验表明，随着生成的进行，安全响应和有害响应的隐藏状态之间的可分离性不断减弱，这种“判别性消失”迫使模型在生成早期就做出合规性判断，从而限制了其识别逐渐形成的恶意意图的能力，导致安全微调方法在平衡安全性与实用性时失效，并无法察觉隐藏恶意。为了解决这一问题，论文提出了DEEPALIGN防御框架，通过在响应生成的中间点应用对比隐藏状态引导（contrastive hidden-state steering），增强有害与良性隐藏状态之间的分离，从而在整个生成过程中实现持续的内在毒性检测与干预。在多种不同架构和规模的LLM上的实验表明，DEEPALIGN能够将9种不同越狱攻击的成功率降至接近零或最低，同时保持模型能力并减少过度拒绝。配备DEEPALIGN的模型在拒绝具有挑战性的良性查询时错误率降低高达3.5%，标准任务性能下降不到1%，实现了安全-效用帕累托前沿的重大进步。

本文系统性地研究了LLM应用程序（LLM apps）因能力边界模糊而引发的安全风险。作者首先定义了“LLM应用能力空间”的概念，用于描述应用从LLM继承的功能范围。随后，他们揭示了两种新的风险类型：能力降级（capability downgrade）——应用被诱导执行低于其宣称能力水平的任务，以及能力升级（capability upgrade）——应用被利用执行超出其设计意图的恶意操作。为了评估这些风险，作者设计并实现了LLMApp-Eval框架，该框架能够自动化评估应用能力边界并检测潜在滥用。研究团队从4个主流平台（如GPT Store、Coze等）收集了应用元数据，并针对199个热门应用和6个开源LLM进行了实验。结果发现，178个（89.45%）应用存在潜在风险，涉及超过15个场景的恶意任务执行能力；其中17个应用甚至无需任何对抗性改写就能直接执行恶意任务。此外，实验还发现提示设计的质量与应用鲁棒性呈正相关：精心设计的提示能增强安全性，而糟糕的设计则会助长滥用。该工作为LLM应用生态的安全治理提供了新的视角和方法论。

本文提出 Chimera，一个基于大型语言模型（LLM）的多智能体框架，用于自动模拟企业内部威胁场景并生成系统日志。内部威胁是长期存在且难以检测的安全风险，其关键在于高质量真实训练数据的稀缺。现有数据集要么规模小，要么缺乏真实性和语义丰富性。Chimera 将每个智能体建模为具有细粒度角色的员工，支持群组会议、两两交互和自组织调度，以模拟真实组织动态。基于从真实事件抽象出的 15 种内部攻击，研究者在三种典型数据敏感组织场景中部署 Chimera，构建了新数据集 ChimeraLog。通过人工研究和定量分析验证了其多样性和真实性。现有内部威胁检测方法在 ChimeraLog 上的检测性能显著低于先前数据集，表明该基准更具挑战性。此外，尽管存在分布偏移，在 ChimeraLog 上训练的模型表现出较强的泛化能力，凸显了基于 LLM 的多智能体仿真在推进内部威胁检测中的实用价值。

该论文提出了BSFuzzer，一种针对蓝牙低功耗（BLE）协议逻辑缺陷的上下文感知语义模糊测试方法。研究背景在于BLE设备广泛使用，但其逻辑漏洞（如身份验证绕过、状态机异常）难以被传统模糊测试发现。核心方法包括：1）提取BLE协议规范中的上下文约束（如连接状态、加密密钥状态）构建语义模型；2）基于该模型生成符合协议流程但包含逻辑异常的数据包序列；3）采用自适应变异策略，优先触发边界状态转换。实验在主流BLE协议栈（如BlueZ、Zephyr）上进行，测试了10种常见逻辑缺陷类型，结果显示BSFuzzer在代码覆盖率上比现有工具提高35%，并成功发现6个未知逻辑漏洞。主要贡献在于将上下文感知与语义模糊结合，提高了BLE逻辑缺陷的检测效率。适合安全研究员、蓝牙协议开发者阅读。

本文针对大型语言模型（LLM）系统中的缓存机制提出了语义缓存投毒攻击。传统的缓存投毒主要针对查询字符串精确匹配，而LLM系统常采用语义缓存来缓存具有相似语义的查询，以提高推理效率并降低成本。作者首次提出语义缓存投毒攻击，攻击者通过构造与合法查询语义相似但包含恶意提示的投毒请求，使得后续正常用户查询命中投毒缓存，从而返回被篡改的响应，可能导致信息泄露、错误响应或拒绝服务。论文设计了多种投毒策略，包括基于嵌入向量的扰动、对抗性样本生成等，并在多个开源LLM和商业API上验证了攻击有效性。实验表明，攻击成功率高达80%以上，且能绕过现有防御措施。为应对该威胁，作者提出了基于输入验证和输出一致性检查的防御框架，包括语义异常检测、缓存命中验证和响应完整性校验。该研究揭示了LLM缓存系统的新攻击面，对AI基础设施安全具有重要意义。

现代硬件系统由于追求高性能和特定应用功能而日益复杂，引入了大量漏洞和安全关键脆弱性的攻击面。模糊测试作为一种可扩展的缺陷发现方法已得到广泛应用，但现有硬件模糊器存在语义感知有限、测试用例优化效率低、以及依赖慢速设备仿真导致计算开销大等问题。本文提出了GoldenFuzz，一种新型的两阶段硬件模糊测试框架，将测试用例优化与覆盖率和漏洞探索部分解耦。GoldenFuzz利用一个快速且符合ISA的黄金参考模型作为被测设备的数字孪生，首先对GRM进行模糊测试，实现低成本的快速测试用例优化，从而加速对DUT的深度架构探索和漏洞发现。在模糊测试流水线中，GoldenFuzz通过拼接精心选择的指令块迭代构建测试用例，这些指令块平衡了指令间和指令内的细微质量。此外，一种基于高覆盖率和低覆盖率样本洞察的反馈驱动机制进一步增强了GoldenFuzz在硬件状态探索方面的能力。我们在三个RISC-V处理器（RocketChip、BOOM和CVA6）上的评估表明，GoldenFuzz在实现最高覆盖率的同时，测试用例长度和计算开销最小，显著优于现有模糊器。GoldenFuzz发现了所有已知漏洞，并发现了五个新漏洞，其中四个被归类为高严重性（CVSS v3分数超过7/10）。此外，它还在商业BA51-H核心扩展中发现了两个此前未知的漏洞。该论文适合硬件安全研究人员、处理器设计验证工程师以及关注RISC-V生态系统的安全从业者阅读。

该论文提出了 NeuroStrike，一种针对对齐大型语言模型（LLM）的新型攻击框架。作者发现，当前的安全对齐技术（如监督微调和基于人类反馈的强化学习）会在模型中引入稀疏的“安全神经元”，这些神经元负责检测和抑制有害输入。NeuroStrike 利用这一根本性漏洞，通过在前馈激活分析中识别这些安全神经元，并在推理过程中将其剪枝，从而禁用安全机制。在白盒设置中，该方法只需移除目标层中不到 0.6% 的神经元，即可在 20 多个开源 LLM 上达到平均 76.9% 的攻击成功率（ASR）。此外，NeuroStrike 还扩展到多模态 LLM，在 unsafe 图像输入上实现了 100% ASR。在黑盒设置中，作者提出了首个 LLM 分析攻击，利用安全神经元的可迁移性，在开源代理模型上训练对抗性提示生成器，然后部署到黑盒及专有模型上。实验表明，该黑盒攻击在 5 个黑盒模型（包括 Google Gemini 系列）上平均 ASR 为 63.7%。安全神经元在架构间有效迁移，使 11 个微调模型和 5 个蒸馏模型的 ASR 分别提升至 78.5% 和 77.7%。该工作揭示了当前对齐技术的脆弱性，并强调了安全神经元的可迁移性带来的广泛威胁。

该论文提出了一种名为ADGFUZZ的模糊测试方法，专门针对机器人车辆（如无人车、无人机）的软件安全测试。机器人车辆通常依赖复杂的任务依赖关系（如传感器、执行器、控制逻辑之间的时序与数据耦合），传统模糊测试难以有效覆盖这些依赖路径。ADGFUZZ通过静态分析提取程序中的赋值依赖关系（assignment dependency），构建依赖图，并利用该图指导输入变异，优先触发涉及多组件交互的深层漏洞。实验在多个真实机器人车辆固件（如ArduPilot、PX4）上进行，结果表明ADGFUZZ相比现有工具（如AFL、Fuzzing架构）能显著提高代码覆盖率和漏洞发现效率，并挖掘出多个未知安全缺陷。该方法的核心贡献在于将依赖关系建模引入CPS模糊测试，将测试导向关键交互路径，降低了盲目变异的开销。

随着大语言模型（LLM）驱动的自主智能体越来越多地相互交互、协作和委托任务，工业界关于智能体系统治理的指南强调用户需要对其智能体保持全面控制，以减轻恶意智能体可能造成的损害。现有的一些智能体系统设计方案虽然涉及智能体身份、授权和委托，但大多停留在理论层面，缺乏具体的实现和评估，更重要的是它们没有提供用户可控的智能体管理机制。为了填补这一空白，本文提出了 SAGA（Scalable Security Architecture for Governing Agentic systems），一个可扩展的安全架构，旨在为智能体系统提供用户监督。该架构中，用户在一个中心化的 Provider 处注册其智能体，Provider 维护智能体的联系信息、用户定义的访问控制策略，并帮助智能体在智能体间通信中强制执行这些策略。SAGA 引入了一种基于密码学的访问控制令牌派生机制，提供对智能体与其他智能体交互的细粒度控制，并具有形式化安全保证。作者在多种智能体任务场景下对 SAGA 进行了评估，使用了位于不同地理位置的智能体以及多种端侧和云端 LLM，结果表明在广泛条件下，SAGA 带来的性能开销极小，且不影响底层任务效用。该架构能够实现安全可信的自主智能体部署，加速敏感环境中该技术的负责任采用。

该论文提出 ProtocolGuard，一种结合大语言模型（LLM）引导的静态分析与动态验证的方法，用于检测协议实现中的违规行为（protocol non-compliance bugs）。协议实现中的违规错误（如状态机状态错误、消息格式错误、序列错误）可能导致严重的安全漏洞。传统方法依赖手动编写的规则或模型检查，但面对复杂协议扩展性差且误报率高。ProtocolGuard 利用 LLM 从协议规范文档中自动推断出协议的行为模型（如状态机、消息序列规则），然后将该模型转换为静态分析中的约束，并生成用于动态验证的测试用例。具体来说，LLM 首先解析自然语言描述的协议规范，提取关键的状态转换和消息格式约束；然后，静态分析阶段在源代码上检查这些约束是否被违反，并标记可疑位置；最后，动态验证通过构造特定输入触发可疑路径，确认是否存在实际违规。实验在多个真实协议实现（如 TLS 1.3、SSH、QUIC 等）上进行评估，结果表明 ProtocolGuard 能够发现若干已知和未知的违规错误，且误报率低于现有方法。该工作首次将 LLM 用于协议违规检测的完整流程，提升了自动化程度和检测覆盖面。读者无需阅读原文，即可理解该方法的核心思路：借助 LLM 从文本规范中学习协议规则，辅以动静结合分析实现高精度检测。

本研究聚焦于大语言模型（LLM）代理中的工具选择机制面临的提示注入攻击威胁。LLM代理通常通过调用外部工具来扩展其能力，例如搜索引擎、计算器或数据库查询。工具选择是代理根据用户指令和上下文自动决定调用哪个工具的关键步骤。研究者发现，攻击者可以通过精心构造的提示，操纵代理选择恶意工具或绕过安全限制，从而引发数据泄露、权限滥用等风险。论文系统性地分析了这类攻击的原理，提出了一种基于对抗性提示的威胁模型，并设计了多组实验验证攻击的可行性和影响。实验表明，当前主流LLM代理（如基于GPT-4、LLaMA等）的工具选择模块在面临针对性提示注入时表现出脆弱性。作者进一步讨论了防御策略，包括输入净化、上下文隔离和工具使用权限最小化等。该研究揭示了LLM代理安全性的新维度，为开发更健壮的代理系统提供了理论基础和实用建议。适合AI安全研究员、LLM应用开发者及安全工程师阅读。

本文针对大语言模型（LLM）的“越狱”攻击机制展开因果分析研究。现有研究主要通过对潜在表示的探测来分析越狱提示，但往往忽略了可解释提示特征与越狱发生之间的因果关系。为此，作者提出了Causal Analyst框架，将LLM集成到数据驱动的因果发现中，以识别越狱的直接原因，并将其分别用于攻击与防御。该框架首先构建了一个包含35k次越狱尝试的数据集，涵盖7个LLM、100个攻击模板和50个有害查询，并人工标注了37个可读的提示特征。随后，通过联合训练基于LLM的提示编码和基于图神经网络的因果图学习，重建了从提示特征到越狱响应的因果通路。分析发现，“正面角色”（Positive Character）和“任务步骤数”（Number of Task Steps）等特定特征是越狱的直接因果驱动因素。基于这些因果洞察，作者开发了两个应用：一是“越狱增强器”，通过针对性地增强因果特征显著提升了在公开基准上的攻击成功率；二是“护栏顾问”，利用学到的因果图从混淆查询中提取真正的恶意意图。大量实验包括基线对比和因果结构验证证实了因果分析的鲁棒性，并证明其优于非因果方法。本文表明，从因果角度分析越狱特征是提升LLM可靠性的有效且可解释的途径。代码已开源。

本文提出一种针对微调大语言模型（LLM）的成员推理攻击（MIA）新框架ICP-MIA。现有黑盒MIA方法多依赖置信度分数或词元似然，但这些信号与样本内在属性（如难度、稀疏性）纠缠，导致泛化差、信噪比低。作者从训练动态理论出发，发现优化过程中存在收益递减现象：当模型收敛时，成员样本剩余损失降低潜力极小，而非成员样本仍有显著优化空间。将此“优化间隙”作为成员信号，并在黑盒场景下通过上下文探测（In-Context Probing）无训练地估计该间隙。提出两种探测策略：基于参考数据（利用语义相似的公开样本）和自扰动（通过掩码或生成）。在三个任务和多种LLM上的实验表明，ICP-MIA在低假阳性率下显著优于以往黑盒MIA方法。论文还分析了参考数据对齐、模型类型、PEFT配置和训练计划对攻击效果的影响。该工作为审计部署LLM的隐私风险提供了实用且理论基础的框架。

该论文提出了PrivCode，这是首个专门为代码数据集设计的差分隐私（DP）合成器，旨在解决大型语言模型（LLM）在代码生成时微调私有数据集可能引发的隐私泄露问题。传统的DP方法在代码数据上面临语法依赖强和隐私-效用权衡的挑战。PrivCode采用两阶段框架：第一阶段“隐私净化”，利用DP-SGD训练模型生成符合差分隐私的合成代码，并通过引入语法信息保留代码结构；第二阶段“效用提升”，在合成的无隐私代码上微调更大的预训练LLM，以缓解DP带来的效用损失。在四个LLM和四个基准测试上的实验表明，PrivCode在各种任务下生成的代码具有更高的效用，同时在不同隐私预算下能保护敏感数据。该研究为代码领域的隐私保护生成提供了新的方法论，适合对差分隐私、代码生成和LLM隐私保护感兴趣的研究者阅读。

该论文提出了一种名为PortRush的硬件模糊测试框架，旨在检测由写端口竞争引发的微架构侧信道漏洞。写端口竞争是现代超标量处理器中多个执行单元同时尝试写入同一物理端口时产生的资源冲突现象，这种竞争可能导致时序差异，进而被攻击者利用来窃取敏感信息。PortRush通过自动化生成针对写端口竞争的高效测试用例，利用硬件性能计数器实时监控微架构事件，从而触发并识别潜在的信息泄露路径。该框架结合了静态分析和动态模糊测试技术，能够系统地探索处理器微架构中的竞争条件，并自动确认漏洞的可利用性。实验在多种主流处理器（如Intel Core和AMD Ryzen系列）上进行，成功发现了多个之前未知的写端口竞争侧信道漏洞，证明了该方法的有效性。PortRush的贡献在于提出了一种新的自动化检测手段，填补了针对写端口竞争这一特定侧信道攻击类型在安全测试工具方面的空白，为处理器安全评估提供了重要支持。

本文提出了一种名为ChameleoScan的新型检测框架，旨在利用大语言模型（LLM）驱动的UI探索技术，识别和检测iOS平台上的变色龙应用（Chameleon Apps）。变色龙应用是一类在应用商店审核期间表现正常，但安装后通过更新、远程配置或特定用户交互触发恶意行为的应用。这类应用能够绕过传统的静态分析和动态沙箱检测，对iOS用户的数据安全和隐私构成严重威胁。ChameleoScan的核心思想是结合LLM的语义理解能力和自动化的UI探索，模拟真实用户的操作行为，以触发应用在受限环境下的潜伏恶意逻辑。具体而言，该框架首先通过静态分析提取应用的基本信息，然后利用LLM解析UI界面中的文字、按钮和交互元素，生成拟人化的探索路径。在动态执行过程中，ChameleoScan能够自适应地调整探索策略，例如点击隐藏菜单、输入特定数据或触发延时加载的模块。实验结果表明，ChameleoScan在检测真实世界的变色龙应用时取得了高准确率和低误报率，并发现了多个此前未被公开报道的恶意样本。该工作不仅揭示了iOS变色龙应用的实现机制和对抗检测的技巧，也为移动安全社区提供了一套可复现的自动化分析工具。

本文针对LLM集成应用系统（LLM-integrated app systems）中的安全威胁，提出了一种名为ACE（Abstract-Concrete-Execute）的安全架构。这类系统通过系统LLM调用第三方应用，采用交错规划和执行阶段来响应用户查询，然而恶意应用可能破坏规划完整性、执行可用性或泄露隐私。作者首先识别了影响规划完整性以及执行完整性和可用性的新攻击，并针对现有解决方案IsolateGPT进行了攻击演示。ACE架构将规划阶段解耦为两步：首先仅基于可信信息生成抽象执行计划，然后利用已安装的系统应用将抽象计划映射为具体计划。通过静态分析验证生成计划满足用户指定的安全信息流约束。执行阶段，ACE在应用间实施数据和能力屏障，确保执行遵循可信抽象计划。实验表明，ACE能够防御InjecAgent和Agent Security Bench基准中的间接提示注入攻击以及作者新引入的攻击。在LangChain基准的Tool Usage套件上评估了实用性。该架构代表了利用系统安全原则加固基于LLM系统的显著进展。

本文提出了一种针对实时操作系统（RTOS）内核的上下文自适应函数级模糊测试方法，名为RTCON。RTOS广泛应用于嵌入式系统和物联网设备，其内核安全性至关重要。传统模糊测试通常以系统调用或整个程序为输入，但RTOS内核具有高度耦合的上下文依赖关系，例如中断处理、任务调度和资源锁定，这使得通用模糊测试难以有效探索内核状态空间。RTCON创新性地在函数级别进行模糊测试，并利用上下文信息（如当前运行任务、中断状态、锁持有情况等）动态调整测试输入和路径选择。具体地，该方法通过静态分析提取函数间的上下文依赖图，并在执行过程中实时监控上下文变化，从而生成更导向的测试用例，提高对临界区、中断服务例程和竞争条件等深层漏洞的覆盖能力。实验在多个主流RTOS内核（如FreeRTOS、Zephyr）上进行，结果表明RTCON在代码覆盖率、漏洞发现数量和测试效率方面显著优于现有通用模糊测试工具，成功发现了多个未知的内存破坏和死锁漏洞。本文的主要贡献包括：定义了RTOS内核模糊测试的上下文自适应问题，提出了函数级测试生成算法，设计并实现了原型工具RTCON，并通过实证验证了其有效性。

本文提出 FirmAgent，一种融合模糊测试与大型语言模型（LLM）智能体的方法，用于自动化发现物联网（IoT）固件中的安全漏洞。研究背景是：IoT 设备数量激增，其固件普遍存在内存破坏、逻辑缺陷等漏洞，而传统模糊测试在固件平台上面临代码覆盖率低、种子生成盲目等挑战。FirmAgent 核心思路是让 LLM 智能体理解固件结构（如二进制文件解析、文件系统识别）后，动态指导模糊测试的种子生成与变异策略。具体而言，智能体先通过静态分析提取固件关键函数、协议处理逻辑等信息，再结合运行时覆盖率反馈，生成更可能触发深层路径的测试用例。实验在多个真实 IoT 固件（如路由器、摄像头）上进行，与 AFL、LibFuzzer 等基线工具对比，FirmAgent 在漏洞发现数量、代码覆盖率及触发崩溃效率上均有显著提升，成功挖掘出多个未公开的零日漏洞。主要贡献包括：1）首次系统性将 LLM 智能体与模糊测试结合用于固件安全；2）提出智能体引导的种子生成机制；3）构建专用数据集并公开评估结果。本文适合固件安全研究人员、AI 辅助漏洞挖掘开发者阅读。

本文提出了一种针对大语言模型（LLM）及其防护栏（Guardrails）的双重越狱攻击框架DualBreach。现有研究主要关注单一越狱，即仅针对LLM本身，而忽略了防护栏的防御作用，导致在防护栏保护的LLM上攻击成功率受限。DualBreach采用目标驱动初始化（TDI）策略动态构造初始提示词，并结合多目标优化（MTO）方法，利用近似梯度同时调整提示词以适应防护栏和LLM，从而在减少查询次数的同时实现高双重越狱成功率。针对黑盒防护栏，DualBreach或使用强大的开源防护栏，或通过训练代理模型模拟目标黑盒防护栏，将其纳入MTO过程。在多个数据集上的实验表明，DualBreach在查询次数更少的情况下，于所有设置中均取得显著更高的双重越狱成功率。具体而言，在GPT-4配合Llama-Guard-3保护的场景下，DualBreach的平均双重越狱成功率达93.67%，而其他方法的最佳成功率仅为88.33%；每次成功双重越狱平均仅需1.77次查询。为防御此类攻击，作者还提出了一种基于XGBoost的集成防御机制EGuard，融合多个防护栏的优势，性能优于Llama-Guard-3。本研究对理解LLM安全防御的薄弱环节、开发更鲁棒的防护措施具有重要参考价值。

该论文研究了如何利用大语言模型（LLM）自动为代码添加注释，以确定可信执行环境（TEE）的边界。在TEE开发中，正确识别和标记边界代码至关重要，但传统上依赖人工手动注释，不仅耗时且容易出错。作者提出了一种自动化框架，通过微调LLM来理解代码语义，自动生成符合TEE规范的安全注释。实验在多个开源TEE项目上进行，评估了注释的准确性和完整性。结果表明，该方法能显著减少人工标注工作量，同时保持较高的正确率，为TEE的自动化安全分析提供了新思路。

本文系统性地探讨了大语言模型（LLM）在安全研究中引入的独特挑战。作者识别出九个常见陷阱，这些陷阱涵盖从数据收集、预训练、微调到提示工程和评估的整个计算流程，可能损害研究的有效性。为了评估这些陷阱的普遍性，作者分析了2023至2024年间发表在顶级安全与软件工程会议（如IEEE S&P、USENIX Security、ICSE等）上的72篇经同行评审的论文。结果发现每篇论文至少包含一个陷阱，且每个陷阱在多篇论文中出现，但仅有15.7%的陷阱被作者明确讨论，表明大多数陷阱未被研究者意识到。为进一步理解这些陷阱的实际影响，作者开展了四项实证案例研究，展示了单个陷阱如何误导评估结果、夸大性能或损害可复现性。例如，不恰当的基线选择或数据泄露会导致虚假的性能提升。基于发现，作者提出了一系列可操作指南，包括在论文中明确报告数据分割、参数设置、评估指标和随机种子，以及使用标准化测试集和鲁棒性检查。该研究为LLM安全研究的可复现性和严谨性提供了重要警示，适合从事LLM安全研究的研究人员、审稿人和从业者阅读。

本文提出 Prεεmpt 系统，旨在解决用户向大语言模型（LLM）提供包含敏感信息的提示（prompt）时可能导致的隐私泄露问题。现有方法通常需要修改 LLM 的内部结构或训练过程，而 Prεεmpt 采用一种非侵入式的方法，通过三个核心步骤实现敏感信息的净化：首先，识别提示中需要保护的敏感部分（如个人身份信息、密钥等）；其次，将这些敏感部分替换为不具含义的占位符（如随机 token 序列）；然后，将替换后的提示发送给 LLM 执行原始任务（如文本生成、翻译等）；最后，从 LLM 的输出中，利用占位符与原始敏感信息的映射关系，自动将占位符替换回真实内容，从而在保证任务完成的同时避免 LLM 直接接触敏感数据。该方法不依赖 LLM 的内部修改，适用于任何通过 API 调用的黑盒模型。论文通过实验验证了 Prεεmpt 在多个任务（如翻译、摘要、问答）上的有效性，在保护隐私的前提下保持了较高的任务准确率，且额外开销较低。本文的主要贡献在于提出了一种实用、轻量级且与模型无关的 prompt 隐私净化框架。

本文提出了一种基于大语言模型（LLM）驱动的模糊测试框架，用于检测可编程逻辑控制器（PLC）中的逻辑指令漏洞。PLC是工业控制系统（ICS）的核心组件，其固件中的逻辑指令漏洞可能导致错误输出或安全风险。传统的模糊测试方法在生成有效的测试用例方面存在局限性，而LLM凭借其代码理解和生成能力，可以辅助生成更符合PLC指令集规范的测试用例。该框架利用LLM分析PLC的指令手册和固件代码，自动生成覆盖边界条件和异常路径的测试输入。实验结果表明，该方法能够有效发现多个真实PLC固件中的逻辑指令错误，包括未定义行为、不正确的结果以及潜在的拒绝服务漏洞。该研究为工业控制系统的安全性评估提供了新的自动化手段，降低了人工分析成本，并展示了LLM在嵌入式系统安全测试中的应用潜力。

本文针对低秩适配（LoRA）模型在开源社区（如Hugging Face）中广泛使用所带来的安全挑战展开研究。LoRA作为一种高效的大语言模型微调方法，其适配器文件可被轻易分享和传播，但这也为恶意攻击者提供了植入后门的机会。现有后门攻击方法在LoRA场景下面临三个主要问题：依赖原始训练数据（通常不可获取）、未考虑LoRA特有的结构属性、以及高虚假触发率（False Trigger Rate, FTR）导致隐蔽性差。为此，作者提出了一种因果引导去毒后门攻击框架（CBA），该框架无需访问原始训练数据即可实施攻击。CBA的核心创新包括两点：一是基于覆盖引导的数据生成流水线，通过行为探索合成与任务对齐的输入；二是因果引导的去毒策略，通过保留任务关键神经元来合并中毒适配器和干净适配器。与以往方法不同，CBA允许攻击者在后训练阶段通过因果影响权重分配来控制攻击强度，无需重复训练。在六个LoRA模型上的实验表明，CBA在实现高攻击成功率的同时，将FTR相比基线方法降低了50-70%。此外，该方法对现有先进的后门防御方法表现出增强的抵抗力，凸显了其隐蔽性和鲁棒性。本文的研究揭示了开源LoRA模型生态中存在的严重安全隐患，提醒社区关注此类新型后门攻击的威胁。

本研究聚焦于大型语言模型（LLM）在静态分析任务中的安全漏洞。研究者发现，LLM在分析代码时可能被恶意利用，通过精心构造的代码注释或变量命名等表面特征（即“偏见”），诱导模型输出错误的分析结果。例如，攻击者可以在代码中嵌入看似无害的注释，使LLM忽略真实的安全缺陷，或误报不存在的漏洞。论文提出了一种名为“劫持静态分析”（Hijacking Static Analysis）的攻击方法，利用LLM对编码惯例和自然语言模式的依赖，在保持代码语法正确的前提下，注入误导性信息。实验在多个主流LLM（如GPT-4、CodeLlama）上进行，以代码漏洞检测任务为例，展示了攻击成功率超过80%。作者还分析了防御可能性，提出通过对抗性训练和输入净化来缓解此类威胁。该工作揭示了LLM在代码分析中面临的新型安全风险，强调了在可信执行环境之外部署LLM时需要谨慎对待模型输出的可靠性。

本文提出了一种名为 HyperMirage 的新型混合虚拟 CPU 模糊测试方法，旨在解决传统模糊测试在虚拟化环境中状态覆盖不足的问题。该方法通过直接操纵虚拟CPU的内部状态（如寄存器、内存映射和特权级），结合符号执行和覆盖率引导的变异策略，显著提升了对虚拟化执行路径的探索效率。实验在QEMU、KVM和Bhyve等主流虚拟化平台上进行，结果显示HyperMirage相比现有工具（如Hypercube和TriforceAFL）在代码覆盖率和漏洞发现数量上均有大幅提升，共发现20个先前未知的虚拟化实现漏洞，其中12个被认定为安全关键。论文详细描述了状态快照与恢复机制、混合执行引擎的设计以及针对虚拟CPU特定指令集的模糊策略。该研究属于学术界对虚拟化安全测试方法的创新，适合虚拟化平台开发者、安全研究员和漏洞挖掘专家阅读。

本文系统地研究了中文大型语言模型（LLM）服务中内容审查政策的实现方式。研究团队设计并实现了一个自动化测试框架，通过向多个主流中文LLM服务（如百度文心一言、阿里巴巴通义千问等）发送精心构造的提示词，评估它们对敏感话题（如政治、历史、社会事件等）的响应一致性。实验发现，不同服务在审查的严格程度、触发审查的关键词模式、以及拒绝回答的措辞上存在显著差异。部分服务会直接拒绝回答，另一些则提供符合官方立场的回答，还有服务会给出模糊或转移话题的回复。论文进一步分析了审查政策的文本依据，并讨论了这种不一致性对用户信息获取和言论自由的影响。研究贡献在于首次大规模、多维度地刻画了中国LLM服务的审查实现现状，为理解AI时代的信息控制提供了实证数据。

本文提出了一种针对多源数据LLM应用的新型提示注入攻击方法ObliInjection。在现实场景中，LLM的输入数据往往来自多个不同来源，每个来源贡献一个输入段，攻击者仅能控制其中部分段，且通常不知道各段在输入中的排列顺序。现有的提示注入攻击要么假设整个输入数据来自单一攻击者控制的来源，要么忽略多源数据中段顺序的不确定性，因此在多源场景下成功率有限。ObliInjection通过两项关键技术创新解决这一挑战：一是“顺序无关损失”（order-oblivious loss），该损失函数量化了无论干净段和污染段如何排列，LLM完成攻击者选定任务的可能性；二是“顺序GCG算法”（orderGCG），专门设计用于最小化顺序无关损失并优化污染段的内容。实验涵盖了三个不同应用领域的数据集和十二种LLM，结果表明即使只污染输入中6-100个段中的一个，ObliInjection也能高效实施攻击。论文提供了代码和数据开源链接。本研究揭示了多源数据LLM应用中一个被忽视的安全漏洞，对LLM安全防护具有重要参考价值。

本文研究了针对开源大语言模型（LLMs）的成员推理攻击（Membership Inference Attack, MIA），即判断特定数据样本是否被用于模型训练。与现有基于模型输出（如loss、logits）的MIA方法不同，作者提出利用模型内部的神经激活（neural activations）来区分成员和非成员样本。具体地，他们设计了一种攻击方法，通过提取目标模型在特定层上的激活值，并训练一个二元分类器（如逻辑回归或MLP）来预测成员关系。实验在多个开源LLM（如GPT-2、LLaMA、OPT等）和多种数据集（如新闻、医疗、代码）上进行，结果表明基于激活的方法显著优于输出基方法，在低假阳性率下取得高召回率。此外，作者分析了不同模型层、不同样本长度对攻击性能的影响，并探讨了防御措施（如差分隐私训练、激活剪枝）的有效性。该研究揭示了LLM内部状态泄露训练数据的风险，为模型隐私评估提供了新工具。

随着大型语言模型（LLM）的快速发展，利用其生成钓鱼内容的恶意行为日益普遍。攻击者可以利用LLM生成语法正确、主题定制的钓鱼邮件，这使得传统基于语义特征的检测方法难以有效识别。现有LLM检测方法存在计算成本高、依赖底层模型性能等问题，不适用于大规模部署。为此，本文提出了一种名为Paladin的新型防御范式。Paladin通过在原始LLM中嵌入触发-标签（trigger-tag）关联，采用多种插入策略，将普通LLM改造为“仪表化”模型。当仪表化模型生成与钓鱼相关的内容时，会自动包含可检测的隐式或显式标签，从而使得安全系统能够轻松识别钓鱼邮件。研究考虑了四种不同的场景（基于隐式/显式触发器和标签的组合），并从隐蔽性、有效性和鲁棒性三个关键维度评估了该方法。实验结果表明，Paladin在所有场景下的检测准确率均超过90%，优于现有基线方法。该方法为防御LLM生成的钓鱼内容提供了一种新的思路，具有低开销、高准确率的潜力。

本文研究了大型语言模型（LLM）推理过程中键值缓存（KV-cache）带来的隐私风险。KV-cache是LLM中用于加速自回归解码的关键组件，它会存储中间注意力层的键和值张量。作者发现，KV-cache中可能残留用户输入的敏感信息，例如个人身份、医疗记录或金融数据。通过分析KV-cache的数据生命周期，攻击者若获得缓存访问权限（如通过共享内存、侧信道攻击或模型托管环境中的越权访问），可重建部分用户输入，导致隐私泄露。论文提出了一种基于差分隐私的缓存扰动机制，在KV-cache写入内存前添加精心设计的噪声，使得攻击者无法准确恢复原始数据，同时最小化对推理质量和性能的影响。实验在多个主流LLM（如LLaMA、GPT类模型）上验证了方法的有效性：隐私保护强度可调节，且模型困惑度下降不超过2%，推理延迟增加小于5%。此外，论文还讨论了与现有内存加密和访问控制技术的互补性。该研究首次系统性地披露了KV-cache作为LLM隐私攻击面的可能性，并提供了实用的防御思路。

本研究对大型语言模型（LLM）中的内容审核机制进行了全球范围的系统性分析。论文首先指出现有LLM部署时通常内置了内容过滤器以阻止有害或不当内容，但这些过滤器的有效性和一致性在全球不同地区因语言、文化、法律和监管环境的差异而存在显著不确定性。作者收集了多个主流LLM（如GPT-4、Claude、Llama等）的公开API和开源模型，设计了一套涵盖仇恨言论、敏感政治话题、暴力、色情等类别的多语言测试提示集，覆盖英语、中文、阿拉伯语、俄语、西班牙语等10种主要语言。通过自动化测试和人工评估相结合的方式，报告了不同模型在不同语言下对同一内容管制的差异——某些语言（如英语）的内容过滤极为严格，而其他语言（如低资源语种）则几乎无限制。进一步地，论文还揭示了特定区域（如中国大陆）的模型版本在政治敏感话题上存在额外的本地化审核规则，体现了“套娃式”的审核层级。实验表明，许多LLM的内容审核并非基于统一价值观，而是受到部署地区法律和社会规范的深刻影响，甚至出现“Ba Sing Se”（《降世神通》中虚构的乌托邦城市，寓意掩盖真相）式的表面和谐。该研究的核心贡献在于首次在大规模、多语言、多模型背景下量化了LLM内容审核的地理不均匀性，并提出了威胁分类法（taxonomy）来表征不同级别的审核力度。对于安全从业者而言，本文揭示了通过语言或区域转变绕过内容过滤的潜在攻击面，并强调了在全球化部署中维护一致性审核策略的挑战。

大语言模型（LLM）已广泛应用于自然语言理解与生成、具身智能及科学发现等领域。随着计算需求增长，这些模型越来越多地以云服务形式部署，用户通过互联网访问。然而，这种部署模式引入了一种新的威胁：通过无限推理进行的拒绝服务（DoS）攻击。攻击者精心设计输入，诱使模型进入超长甚至无限生成循环，从而耗尽后端计算资源，降低或拒绝合法用户的服务。为缓解风险，许多LLM提供商采用闭源黑盒设置以隐藏模型内部结构。本文提出ThinkTrap，一种新颖的输入空间优化框架，即使在黑盒环境下也能对LLM服务实施DoS攻击。其核心思想是首先将离散词元映射到连续嵌入空间，然后利用输入稀疏性在低维子空间中进行高效的黑盒优化，以识别能够引发多个先进LLM产生超长或非终止生成的对抗性提示，以最小词元开销实现DoS。作者在多个商业闭源LLM服务上评估了该攻击，结果表明，即使远低于这些平台通常限制的请求频率（如每分钟10次），攻击也能将服务吞吐量降至原始容量的1%，甚至在某些情况下导致完全服务失败。

本文研究了在池化工具（Pool-of-Tools）赋能的 LLM agent 中存在的跨工具资源窃取和污染攻击。作者提出了一种名为“Les Dissonances”的攻击框架，利用 LLM agent 在工具选择与调用过程中的语义不匹配和安全漏洞，实现恶意工具对系统内其他工具的干扰和控制。具体攻击向量包括：通过注入伪装成合法工具的恶意工具来劫持 agent 的决策流程；利用工具间的数据依赖关系进行信息窃取；以及通过操纵工具输出污染 agent 的后续推理。作者设计并实现了一个 Chord agent 和测试 agent 来演示攻击效果，并在多种 LLM 代理场景中验证了攻击的可行性和严重性。实验结果表明，攻击者可以成功窃取敏感数据、篡改工具行为，甚至导致 agent 执行恶意操作。该工作揭示了当前 LLM agent 工具集成机制中的安全盲区，为构建安全可靠的 agent 系统提供了重要警示。适合 LLM 安全研究员、AI 系统开发者以及关注 agent 安全的蓝队人员阅读。

本文针对软件逆向工程（RE）领域，提出了一个全新的研究视角：人类专家与大型语言模型（LLM）协同工作的有效性。尽管LLM在代码理解和生成方面展现出潜力，但在复杂的逆向工程任务中，人类直觉与机器自动化的结合尚未被系统研究。本研究设计了一系列实验，邀请具有不同经验水平的逆向工程师参与，要求他们在使用LLM辅助（如GPT-4）和传统工具两种条件下完成二进制逆向任务。通过量化分析任务完成时间、准确率、认知负荷以及用户反馈，作者揭示了人机协作中的关键挑战与机遇：LLM可以加速模式识别和代码注释生成，但在处理高度混淆或架构特定细节时容易出错，需要人类进行验证和修正。实验表明，有效的协同需要工程师具备足够的领域知识以批判性地评估LLM输出，而LLM则需提供可解释的推理过程。该研究还提出了一个初步的协作框架，指导如何设计更好的LLM辅助逆向工具。

该论文提出LLMBisect，一种基于大语言模型（LLM）的自动化Bug二分定位比较分析流水线。传统的Bug二分定位依赖人工查看代码或手动执行测试，效率低下且容易出错。LLMBisect通过将Bug描述、代码差异和测试结果输入LLM，让模型推断出导致回归的提交。论文比较了多种LLM（如GPT-4、LLaMA、Claude等）在真实软件项目Bug定位任务上的表现，并设计了一套统一的评价指标（如准确率、平均定位步数）。实验结果表明，GPT-4在大多数场景下表现最佳，平均定位准确率超过85%，而更小的开源模型（如LLaMA-13B）经过微调后也能达到接近的效果。此外，论文分析了LLM在推理过程中的错误模式（如过度自信、误判依赖关系），并提出了改进提示词工程的方法。主要贡献包括：首次系统评估LLM在Bug二分定位任务上的能力，提出可复现的流水线架构，以及开源相关代码与数据集。该工作为自动化软件调试和DevOps流程提供了新的思路。

该论文提出了一种针对DOM-XSS（文档对象模型跨站脚本）漏洞的自动化检测方法。核心思路是将网页交互模糊测试与URL组件合成相结合。具体而言，方法首先通过模糊测试生成各种用户交互事件（如点击、输入、滚动等），触发网页中的JavaScript逻辑；同时，系统会动态合成包含恶意payload的URL组件（如哈希、查询参数等），并注入到页面中，以观察是否触发执行。实验在真实世界的网站集上验证了该方法的有效性，发现多个未知的DOM-XSS漏洞，并与现有工具进行了对比。该方法不需要访问页面源代码，仅通过黑盒测试即可检测，适合大规模自动化扫描。主要贡献包括：1）设计了一种兼顾交互覆盖和URL变异的模糊测试策略；2）提出了一种基于执行上下文追踪的漏洞判定机制；3）在真实环境下展示了较高的检出率和较低的误报率。

Firefox browsers

Sign in to Cloud

Sign Up for Free Cloud Tier

iOS 26.4.2 and iPadOS 26.4.2

iOS 18.7.8 and iPadOS 18.7.8

iOS 18.7.7 and iPadOS 18.7.7

iOS 26.4 and iPadOS 26.4

Background Security Improvements for iOS, iPadOS, and macOS

iOS 16.7.15 and iPadOS 16.7.15

iOS 15.8.7 and iPadOS 15.8.7

iOS 26.3 and iPadOS 26.3

iOS 18.7.5 and iPadOS 18.7.5

iOS 26.2 and iPadOS 26.2

iOS 18.7.3 and iPadOS 18.7.3

Compressor 4.11.1

iOS 18.7.2 and iPadOS 18.7.2

iOS 26.1 and iPadOS 26.1

iOS 26.0.1 and iPadOS 26.0.1

iOS 18.7.1 and iPadOS 18.7.1

iOS 26 and iPadOS 26

iOS 18.7 and iPadOS 18.7

iOS 16.7.12 and iPadOS 16.7.12

iOS 15.8.5 and iPadOS 15.8.5

iOS 18.6.2 and iPadOS 18.6.2

Android Code Search

Android Devices

Secure an Android device

Android 16 QPR2

Mobile network security

MFSA 2026-18Security Vulnerabilities fixed in Focus for iOS 148.2

MFSA 2026-12Security Vulnerabilities fixed in Firefox for iOS 147.4

MFSA 2026-09Security Vulnerabilities fixed in Firefox for iOS 147.2.1

The Beta channel is being updated to OS version 16640.29.0 (Browser version 148.0.7778.158) for most ChromeOS devices.If you find new issues, please let us know one of the following ways:File a bugVisit our ChromeOS communitiesGeneral: Chromebook Help CommunityBeta Specific: ChromeOS Beta Help CommunityReport an issue or send feedback on ChromeInterested in switching channels? Find out how.Andy Wu

 Hi, everyone! We've just released Chrome 148 (148.0.7778.120) for Android. It'll become available on Google Play over the next few days. This release includes stability and performance improvements. You can see a full list of the changes in the Git log. If you find a new issue, please let us know by filing a bug.Android releases contain the same security fixes as their corresponding Desktop relea

Hi everyone! We've just released Chrome Beta 148 (148.0.7778.120) for Android. It's now available on Google Play.You can see a partial list of the changes in the Git log. For details on new features, check out the Chromium blog, and for details on web platform updates, check here.If you find a new issue, please let us know by filing a bug.Chrome Release TeamGoogle Chrome

## Summary This report explains a Token Injection vulnerability in vLLM’s multimodal processing. Unauthenticated, text-only prompts that spell special tokens are interpreted as control. Image and video placeholder sequences supplied without matching data cause vLLM to index into empty grids during input-position computation, raising an unhandled IndexError and terminating the worker or degrading a

### Summary Two endpoints in AVideo call `isSSRFSafeURL()` to validate user-supplied URLs, then fetch them using bare `file_get_contents()` **without disabling PHP's automatic redirect following**. An attacker can supply a URL pointing to a server they control that returns a 302 redirect to an internal/cloud-metadata address (e.g., `http://169.254.169.254/latest/meta-data/`). Since `isSSRFSafeURL

## Summary The unauthenticated `plugin/Scheduler/downloadICS.php` endpoint passes attacker-controlled `title`, `description`, and `joinURL` parameters into `Scheduler::downloadICS()`, which builds an ICS calendar file via the `ICS` helper class. `ICS::escape_string()` (`objects/ICS.php:167-169`) only escapes `,` and `;` and does NOT neutralize CR/LF, so attacker CRLF bytes inside a property value

authd 0.6.0 contains [a bug](https://github.com/canonical/authd/issues/1482) which can lead to an incorrect primary group ID. It affects users whose primary group ID (i.e. the GID in the user record) differs from their UID. There are two ways which can lead to this: 1. The user was created with authd &2 continue fi if [ "$OLD_GID" = "$GID" ]; then continue # user not aff

## Summary `objects/sendEmail.json.php` exposes two branches depending on whether `contactForm=1` is submitted. When the parameter is omitted, the endpoint sets `$sendTo` to an attacker-supplied email and, for unauthenticated callers, uses the site's own contact email as the message `From:`/`Reply-To:`. The endpoint is explicitly allow-listed as a "public write action" in `objects/functionsSecuri

A security vulnerability has been detected in D-Link DI-8100 16.07.26A1. Affected by this vulnerability is the function url_rule_asp of the file /url_rule.asp of the component POST Parameter Handler. Such manipulation leads to buffer overflow. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used.

### Summary A stored Cross-Site Scripting (XSS) vulnerability in `getgrav/grav` allows publisher-level accounts to execute arbitrary JavaScript. The issue arises from a blacklist bypass in the `detectXss()` function when handling unquoted HTML event attributes. ### Details The `detectXss()` function relies on a blacklist pattern to filter malicious attributes. The specific regex pattern used to m

# Bug Report: Registration Privilege Escalation via Missing Server-Side Validation of groups/access ## Summary The `Login::register()` method in the Login plugin accepts attacker-controlled `groups` and `access` fields from the registration POST data without server-side validation. When registration is enabled and `groups` or `access` are included in the configured allowed fields list, an unauth

### Summary A Stored Cross-Site Scripting (XSS) vulnerability exists in the Grav CMS Form plugin's select field template. Taxonomy tag and category values are rendered with the Twig `|raw` filter in the admin panel, bypassing the global autoescape protection. An editor-level user can inject arbitrary JavaScript that executes in any administrator's browser session when they view or edit any page i

### Summary An authenticated user with administrative privileges can achieve Remote Code Execution (RCE) by uploading a specially crafted ZIP file through the "Direct Install" tool. While the system attempts to block direct .php file uploads, it fails to inspect the contents of uploaded ZIP archives. Once a malicious plugin is extracted, it can execute arbitrary PHP code or drop a persistent web s

A pre-hijacking issue was discovered with the OAuth2 autolinking by [Alardiians](https://github.com/Alardiians). In some situations, if an attacker knows the email address of the victim they can create and link an **unverified** PocketBase user in advance by authenticating with one of the OAuth2 app providers, e.g. "A". When the victim gets invited or decides to sign up to your app on their own w

### Summary Fides deployments that enable both subject identity verification and duplicate privacy request detection are affected by a vulnerability in which an administrator can approve a privacy request whose identity was never verified. For erasure policies, this can result in unauthorized deletion of a data subject's records across every integration configured in the affected deployment. A r

### Impact The `SessionMiddleware` accepts a client-supplied `X-Admin-Token` HTTP request header and uses its raw string value as the authenticated `userID` when no Kratos session cookie is present. An unauthenticated attacker who knows or can guess a target user's Kratos identity UUID can issue requests as that user. Where the target user is an organisation `admin` or `owner`, this gives the atta

### Summary An unauthenticated Server-Side Request Forgery (SSRF) vulnerability in the `/cors` endpoint allows any remote attacker to force the MagicMirror² server to perform arbitrary HTTP requests to internal networks, cloud metadata services, and localhost services. The endpoint also expands environment variable placeholders (`**VAR_NAME**`), enabling exfiltration of server-side secrets. ###

### Summary `src/utils/urlSafety.ts` exposes `isPublicHttpUrl` / `assertPublicHttpUrl`, used to gate the MCP `fetchWebContent` tool against private-network targets. The check has two defects that together allow **non-blind SSRF with the response body returned to the caller**: 1. **Bracketed IPv6 literals are never recognized.** Node's WHATWG `URL.hostname` keeps the surrounding `[…]` for IPv6 lit

**Description:** Stored Cross-Site Scripting (XSS) occurs when user-supplied input is persisted by the application and later rendered in another user's browser without proper sanitization or contextual output encoding. When the vulnerable sink is a high-traffic surface such as a public forum thread, the payload executes in the browser of every user who visits the page, maximizing both reach and im

**Issue Details:** YAFNET's only admin authorization gate is `PageSecurityCheckAttribute`, implemented as a `ResultFilterAttribute` that runs *after* the page handler completes rather than before it. No other gate exists. Any admin `OnPost…` handler therefore executes its side effects before the filter rewrites the response to a `302` to `/Info/4`. The most impactful abuse is `/Admin/RunSql`, whos

**Description:** Stored (second-order) Cross-Site Scripting (XSS) occurs when attacker-controlled input is persisted through one component of an application and later rendered, without proper sanitization or contextual output encoding, by a completely different component — often one that implicitly trusts the stored data. Because the dangerous sink is typically a privileged administrative interfac

## Summary **Description** A Cross-Site Scripting (CWE-79) vulnerability in Go Fiber allows a remote attacker to inject arbitrary HTML/JavaScript by supplying `Accept: text/html` on any request whose handler passes attacker-influenced data to the AutoFormat() feature. This affects `github.com/gofiber/fiber/v3` (`DefaultRes.AutoFormat`) through version 3.1.0 and `github.com/gofiber/fiber/v2` (`Ct

## Summary `Mage_ProductAlert_AddController::stockAction()` reads the uenc query parameter and passes it directly to `$this->_redirectUrl($backUrl)` without calling `$this->_isUrlInternal()` When the supplied `product_id` does not match any catalog product, the server issues an unvalidated HTTP 302 redirect to whatever URL was provided as `uenc`. ## Vulnerable path: ```php // app/code/core/Mage/

### Impact _What kind of vulnerability is it? Who is impacted?_ A path traversal vulnerability in MinIO's `ReadMultiple` internode storage-REST endpoint allows a caller holding the cluster root JWT to read files from outside the configured drive roots, bounded only by the MinIO process UID. Distributed-erasure (multi-node) MinIO deployments are impacted. Single-node standalone deployments do no

### Summary The incomplete SSRF fix in Admidio's `fetch_metadata.php` validates the resolved IP address but passes the original hostname-based URL to `curl_init()`, leaving a DNS rebinding TOCTOU window that allows redirecting requests to internal IPs. ### Affected Package - **Ecosystem:** Other - **Package:** admidio - **Affected versions:** = commit f6b7a966abe4d75e9f707d665d7b4b5570e3185a #

### Impact Users who use Azure AD remote write with OAuth authentication are impacted. The `client_secret` field in the Azure AD remote write OAuth configuration (`storage/remote/azuread`) was typed as `string` instead of `Secret`. Prometheus redacts fields of type `Secret` when serving the configuration via the `/-/config` HTTP API endpoint. Because the field was a plain string, the Azure OAuth

Firewall for AI

Yup, that is for real.

本文针对大型语言模型（LLM）的越狱攻击防御展开研究，重点重访了近期提出的JBShield防御机制。JBShield通过检测两种概念信号（毒性概念和越狱概念）来识别恶意提示，在部分设置下声称攻击成功率为0%。然而，本文设计了一种新的自适应攻击方法JB-GCG，它修改了贪婪坐标梯度（GCG）攻击的目标函数，结合了两个项：一是通过计算拒绝方向与隐藏状态表示的余弦相似度来抑制拒绝方向，二是利用JBShield自身的毒性概念分数进行正则化。在Llama-3-8B模型上的五种配置中，JB-GCG实现了平均46.2%的攻击成功率，最强设置下达到53.4%。攻击对JBShield的增强版本JBShield-M同样有效，成功率高达30.7%。实验表明，该攻击在多次重新校准后依然有效，确认了漏洞是结构性的而非校准特定。进一步分析发现，越狱表示的余弦相似度特征在拒绝方向指纹空间中占据了一个独特区域，既不属于无害提示也不属于有害提示。基于此，作者提出了表示轨迹验证（RTV）新防御方法，利用多层拒绝方向指纹进行马氏距离异常检测，对提出的攻击实现了0.99的AUROC。最后，作者设计了针对RTV的完全白盒自适应攻击，最佳攻击在计算成本增加13倍的情况下仅达到7%的成功率。结果表明，非自适应检测的强性能并不意味着在自适应威胁模型下具有鲁棒性，多层表示一致性比单层概念相似性更适合作为越狱检测的基础。

形式化验证是确保软件正确性和安全性的最高保证，但将其应用于大规模、不断演变的系统仍面临重大挑战。尽管大语言模型（LLM）在自动证明生成方面展现出潜力，但由于无法处理复杂的跨模块依赖关系或代码库及验证工具链的变化，它们在实际应用中常常失败。本文识别出根本问题在于语义-结构鸿沟：LLM基于语义代码模式进行操作，而形式化验证受刚性结构依赖约束，这种脱节导致脆弱且不可持续的证明。为弥合这一鸿沟，作者提出了一种自适应性验证的新范式，并实现了KVerus——一个面向基于Verus的Rust验证的检索增强系统，能够适应不断演变的软件环境。KVerus构建了包含代码元数据、引理语义和工具链细节的动态知识库，通过结合依赖感知的程序分析、语义引理索引和错误驱动的自我精化，它能够导航复杂的跨文件依赖来合成证明，并在面对常见的演化变化时自动修复证明。在三个单文件基准测试中，KVerus验证了80.2%的任务，优于当前最先进的AutoVerus（56.9%），并且在破坏性的Verus更新下退化更少。在三个具有跨文件依赖的仓库级基准测试中，KVerus实现了51.0%的成功率，而多轮提示基线仅为4.5%。最后，在Asterinas Rust操作系统内核中，KVerus生成了被上游接受的证明，验证了内存管理模块中23个先前未验证的函数（占证明代码的21.0%）。KVerus标志着向使现代安全关键软件的形式化验证成为可扩展且可持续实践迈出的重要一步。

随着大型语言模型（LLM）代理的兴起，其通过集成工具调用、技能和外部知识，显著提升了自动化能力，但也引入了新的安全风险。其中，提示注入攻击（Prompt Injection）已成为主要威胁：攻击者将恶意指令嵌入代理工作流中，劫持代理行为。然而，现有基准测试和防御机制存在根本性局限——它们假设代理在完全指定的用户指令下工作，攻击是直接且与上下文无关的。这种假设无法反映真实部署场景，其中代理行为通常依赖动态的上下文信息（如多轮对话、环境状态），且攻击者可自适应地调整攻击策略。为弥补这一缺口，本文首先提出AgentLure基准，涵盖四个代理领域（如代码执行、网页导航等）和八个攻击向量，覆盖多种攻击面。评估表明，现有防御在上下文感知攻击下表现不佳。进而，本文提出ARGUS防御机制，通过构建影响溯源图（Influence Provenance Graph）来追踪不可信上下文如何传播至代理决策，并在执行前验证决策是否基于可信证据。具体而言，ARGUS对代理的每个动作进行审计，分析其输入来源（用户指令、工具输出、外部知识等），通过溯源图判定决策是否被不受信上下文污染。实验结果显示，ARGUS将攻击成功率降低至3.8%，同时保持87.5%的任务效用，显著优于现有防御，且能抵御自适应白盒攻击。这项工作为安全部署LLM代理提供了关键理论框架和实用方法。

随着大语言模型驱动的智能体（LLM agents）被部署到复杂的现实世界任务中，它们面临一类日益增长的攻击：利用扩展的用户-智能体-环境交互，在单轮对话中难以实现的恶意目标。这类“长程威胁”对关键领域智能体的安全部署构成重大风险。本文提出MAGE（Memory As Guardrail Enforcement），一种新颖的防御框架，旨在抵御广泛的长程威胁。受系统安全中“影子堆栈”抽象的启发，MAGE维护一个专用的、以安全为中心的智能体记忆模块，该模块在智能体完整执行轨迹中提取并保留安全关键的上下文，利用这种影子内存预先评估待执行动作的风险。大量评估表明，MAGE在各种长程威胁的检测准确率上显著优于现有防御，能对大多数攻击实现早期检测，且对智能体效用引入的额外开销可忽略不计。据我们所知，MAGE是首个利用智能体记忆方法来检测和缓解长程威胁的框架，为这一关键挑战建立了新范式，并为未来研究开辟了有前景的方向。

本文研究多轮交互场景下LLM智能体的隐私保护问题。现有基于度量差分隐私的提示清洗器将每次服务调用视为独立发布，但攻击者可通过跨轮联合观测恢复隐私属性，导致隐私随发布次数增加而衰减。作者指出这种退化是根本性的：当隐私属性是计算图的根节点时，对衍生值的独立加噪会将该根节点的区分度放大最多达到衍生函数的Lipschitz常数L，对于医疗和金融工作流中的非线性函数，L可能远超名义隐私参数。为此，提出RootGuard方法：对根值（原始隐私属性）仅进行一次加噪，后续所有计算均基于已加噪的根值确定性执行。根据后处理定理，隐私保证仅依赖于初始根清洗，与攻击者的函数或轮次无关，衍生值以零边际成本继承隐私。RootGuard还利用结构领域知识（如从身高体重计算BMI，或已知目标函数）在根节点间分配预算，改善隐私-效用权衡。在最坏情况下，攻击者迫使t轮查询会使总预算B = t·ε，RootGuard将更大的总预算分配到多个根上，而独立加噪每轮消耗ε并给攻击者t个观测值以通过MAP重构。这形成了“双重不对称”：更多轮次有利于RootGuard而削弱独立加噪。在8个NHANES医疗诊断模板上，ε=0.1时RootGuard比独立加噪的目标误差低2.3-3.0倍（7.6% vs 17.1% wMAPE at B=(2k+1)ε）。在MAP重构下，更多查询会增强对独立加噪的攻击，而RootGuard保持不变。

该论文针对大型语言模型（LLM）在恶意软件分析中的应用进行了实证研究，重点评估检索增强生成（RAG）技术对解释质量的影响。研究背景是：安全分析师常借助LLM来自动总结和解释恶意软件行为，而RAG被认为可以通过注入外部安全知识来提升解释质量。作者以VirusTotal报告作为结构化输入，在多个LLM上对比了有无RAG时的解释效果。实验发现，RAG在大多数情况下反而降低了解释质量，具体表现为：引入分散注意力的弱相关上下文、增加叙述噪声或生成泛泛的写实性描述。这表明，当结构化安全证据已经足够时，RAG会产生反效果。作者因此提出，恶意软件解释本质上是信号提取任务，而非知识检索问题，并基于此给出了安全开发工作流的设计建议。该研究挑战了RAG在安全关键型管道中的普遍适用性，为未来设计更可靠的LLM辅助分析工具提供了重要参考。

本文提出了一个名为EvoPoC的知识驱动智能体系统，用于端到端的DeFi智能合约漏洞检测与利用合成。核心思路是将利用合成视为结构化推理问题，而非代码生成任务，因此需要协议语义、失败根因和利用原语的知识。EvoPoC将知识组织为层次知识图谱（HKG），作为LLM引导的多跳推理的结构化记忆。为验证利用可行性，系统采用两阶段验证框架：通过SMT求解检查利用路径可达性，通过资产级状态模拟检查利润可实现性，确保生成的PoC满足逻辑和经济可行性约束。在88个真实DeFi攻击和72个审计项目（2573个合约）上评估，检测召回率达98%，F1分数0.9，利用成功率（ESR）96.6%，复现了85个历史漏洞，恢复超过1.162亿美元。EvoPoC在ESR上超越最先进的模糊测试工具Verite和ItyFuzz达5倍，在可恢复价值上超越300倍；相比基于LLM的利用生成器A1，分别超越2倍和8.5倍。在漏洞赏金评估中，EvoPoC发现了16个确认的0-day漏洞，帮助保护超过7060万美元，并获得2900美元赏金。

# Summary **Description** An Improper Neutralization of Special Elements Used in a Template Engine (CWE-1336) vulnerability in Jdbi allows arbitrary command execution when an application using `jdbi3-freemarker` permits attacker-influenced text to reach `FreemarkerEngine.parse()` as template source. This affects `org.jdbi:jdbi3-freemarker` through version 3.52.1. The developer opts into FreeMar

Dear Grav Security Team, A security vulnerability was discovered in Grav CMS that allows authenticated attackers to read arbitrary files from the server through XML External Entity (XXE) injection. Vulnerability Summary | Field | Details | |-------|---------| | Vulnerability Type | XML External Entity (XXE) Injection | | Severity | High (CVSS 7.5) | | Affected Versions | Grav CMS ]> &xxe;

## Summary The validator-mode sandbox executor (`src/gep/validator/sandboxExecutor.js`) places `npm` and `npx` in its hard executable allowlist. Because `npm install ` and `npx -y -p ` execute arbitrary code by design (preinstall/install/postinstall lifecycle scripts and remote-package bin entries), and because validator nodes consume `validation_commands` strings from unsigned Hub responses wit

CrowdStrike Named a Leader in Frost & Sullivan 2026 Radar for Cloud-Native Application Protection Platforms

CrowdStrike Expands Real-Time Cloud Detection and Response to Google Cloud

CrowdStrike Falcon Cloud Security Delivered 264% ROI Through Unified Cloud Protection

Security & Identity

SAP on Google Cloud

Inside Google Cloud

Google Cloud Next & Events

Google Cloud Consulting

Transform with Google Cloud

Threat IntelligenceNorth Korea-Nexus Threat Actor Compromises Widely Used Axios NPM Package in Supply Chain AttackBy Google Threat Intelligence Group • 16-minute read

Threat IntelligenceRansomware Under Pressure: Tactics, Techniques, and Procedures in a Shifting Threat LandscapeBy Google Threat Intelligence Group • 53-minute read

Google Cloud Products

Cloud & Application Security

From Scanner to Stealer: Inside the trivy-action Supply Chain Compromise

Next-Gen Identity Security

CrowdStrike FalconID Brings Phishing-Resistant MFA to Falcon Next-Gen Identity Security

A malicious version of the PyTorch Lightning package published on the Python Package Index (PyPI) delivers a credential-stealing payload targeting browsers, environment files, and cloud services. [...]

A new version of the CloudZ remote access tool (RAT) is deploying a previously unseen malicious plugin called Pheno that hijacks the Microsoft Phone Link connection to steal sensitive codes from mobile devices. [...]

The North Korean hacker group APT37 has been delivering an Android version of a backdoor called BirdCall in a supply-chain attack through a video game platform. [...]

本文研究了无服务器应用（Serverless Applications）中由于权限配置灵活性导致的 "权限链攻击" 风险。作者识别出两种新型攻击模式："Permission Overlord Attack"（权限霸主攻击）和 "Permission Broker Attack"（权限代理攻击），前者利用过度授权的角色通过链式调用获取敏感资源，后者利用中间函数作为 "权限经纪人" 突破访问控制。为了系统性地发现此类漏洞，作者开发了静态分析工具 FLAKE，该工具通过构建调用链和权限传播图，检测无服务器应用配置中的不合理权限组合。在真实世界的无服务器应用（包含超过 10 万个函数）上进行评估，FLAKE 成功发现了 1,106 个实例中存在的潜在权限链攻击，涉及 5 个流行云平台（AWS Lambda、Google Cloud Functions、Azure Functions 等）。实验证明该工具误报率低且可扩展。论文指出，当前的 Serverless 安全最佳实践（如最小权限原则）不足以防御这类串联攻击，需要更细粒度的跨函数权限审计机制。

本论文研究了全球最大即时通讯平台 WhatsApp 的电话号码枚举漏洞。WhatsApp 拥有超过 35 亿活跃用户（截至 2025 年初），其通讯录同步机制允许用户通过手机号查询联系人是否注册。该机制虽为合法功能，但本质上为攻击者提供了枚举有效手机号的能力。作者通过大规模实验证明，WhatsApp 的速率限制措施存在严重不足，能够以每小时超过 1 亿次的速率进行探测而不被阻止。研究发现，2021 年 Facebook 数据泄露中披露的近一半电话号码在 WhatsApp 上仍处于活跃状态，凸显了数据泄露的长期风险。此外，作者还进行了用户普查，揭示了即使消息内容经过端到端加密，元数据（如用户活跃状态和关联设备）仍可能被大规模收集。更关键的是，发现了不同设备或电话号码之间重复使用 X25519 公钥的现象，这可能是由于不安全的自定义实现或欺诈活动导致。论文最后描述了与 WhatsApp 团队的协作修复过程，确认了速率限制问题已得到解决。该研究适合安全研究人员、隐私倡导者及即时通讯平台开发者阅读。

该论文针对恶意域名检测中普遍存在的误报（False Positive）问题，提出了“良性指标（Indicator of Benignity, IoB）”这一新概念。传统检测方法依赖恶意指标（Indicator of Compromise, IoC），但容易将正常域名误判为恶意，导致安全运营负担加重。论文从工业界视角系统分析了误报产生的原因，包括域名解析行为、注册信息、内容特征等多维度因素。为此，作者设计了一个基于灰名单和信誉评分的域名信誉系统，通过综合评估域名的良性特征（如长期稳定的解析记录、合法注册信息、无恶意内容等）来降低误报率。实验基于大规模真实网络流量数据，验证了该方法能有效减少误报，同时保持对真正恶意域名的检测能力。论文还讨论了误报对安全运营流程的影响，并提出了将IoB集成到现有检测框架的可行方案。适合安全运营分析师、威胁情报研究人员阅读。

该论文对 JSON Web Token（JWT）实现的安全性进行了系统评估。JWT 被广泛应用于分布式系统中的身份认证和授权，但已知存在多种安全漏洞。作者首先收集了来自 GitHub、Maven、npm 和 Go 生态系统的 43 个 JWT 实现库，包括 22 个 Java 库、11 个 Node.js 库和 10 个 Go 库。接着，他们设计并实现了自动化模糊测试工具 JWT-Fuzzer，该工具能够生成包含 12 种已知 JWT 攻击类型的测试用例，例如签名旁路（将算法改为 'none'）、密钥混淆（如从 RSA 切换到 HS256 并滥用公钥作为 HMAC 密钥）、弱密钥破解（使用已知弱密钥或暴力破解短密钥）、令牌伪造（利用算法混淆或密钥泄露）等。JWT-Fuzzer 对每个库执行黑盒测试，分析其是否容易受到这些攻击。实验结果显示，43 个库中的 35 个（约 81%）存在至少一种安全漏洞。最普遍的漏洞是密钥混淆（28 个库受影响）和弱密钥（12 个库）。此外，作者还发现一些库在签名验证中存在逻辑错误或实现偏差。论文还讨论了漏洞的成因，包括不规范的标准实现、文档不清晰以及开发者对安全性的忽视。最后，作者向相关维护者报告了漏洞，并提出了改进建议。该研究旨在提高 JWT 生态系统的整体安全性。

本文提出名为 LOKI 的系统，旨在主动发现在线诈骗网站。现有检测系统虽能准确判断网站是否欺诈，但获取候选扫描网站的途径存在瓶颈：依赖用户报告被动且滞后，主动搜索引擎查询覆盖低且难以泛化。LOKI 通过挖掘“有毒”搜索查询（即返回高比例欺诈网站的查询）来主动发现诈骗站点。其核心是一种基于学习特权信息（LUPI）的关键词评分模型，结合从搜索引擎结果页面（SERP）中提取的特征蒸馏技术。作者在 10 个主要诈骗类别（如购物诈骗、宠物诈骗等）上验证，相比启发式和数据驱动基线，发现效率平均提升 20.58 倍。仅使用 1663 个已知诈骗站点作为种子，LOKI 找到了 52493 个新诈骗网站。系统还能泛化到未见过的诈骗类别，凸显其在发现新兴威胁方面的实用性。该研究为主动威胁狩猎提供了新思路，适合安全运维、威胁情报和反欺诈团队关注。

本文提出了一种针对基于摄像头的自主目标跟踪系统（如无人机、机器人等）的新型物理攻击方法——FlyTrap。该类系统通常依赖视觉目标跟踪算法（如SiamRPN、DiMP等）来锁定并跟随目标。攻击者通过精心设计物理世界中的对抗性图案（例如在衣服上打印特定纹理），使得跟踪算法将攻击者误判为原始目标，从而诱使受害者系统远离原始目标并跟随攻击者移动，实现“距离拉取”效果。论文作者系统性地分析了主流目标跟踪模型在物理对抗样本下的脆弱性，并提出了一个可转移的攻击框架，该框架不依赖攻击者对受害系统内部知识的完全掌握。实验部分在真实无人机平台和仿真环境中验证了攻击的有效性，展示了高成功率（超过80%）和对不同跟踪模型的迁移性。此外，论文还讨论了潜在的防御措施，如基于运动一致性的异常检测和输入预处理。该研究揭示了自主跟踪系统在物理世界中的安全盲区，对无人机、自动驾驶、安防监控等领域具有重要警示意义。

该论文研究了SIP（会话初始协议）中的语义歧义问题，并展示了如何利用这些歧义实现呼叫者ID和短信欺骗。作者通过分析SIP协议中多个字段的解析不一致性，发现了不同网络设备（如SIP服务器、媒体网关、终端）对同一SIP消息的不同解释方式，从而导致身份认证绕过。论文提出了SIPConfusion攻击方法，能够伪造主叫号码和短信内容，绕过运营商的安全检查。实验评估表明，该攻击在多个主流电信网络中有效，影响了VoIP和短信服务的信任基础。研究揭示了协议设计中的语义鸿沟和实现差异是安全漏洞的根源，对电信行业的安全性提出了重要警示。适合安全研究人员、电信网络运营者和协议设计者阅读。

本文对资源公钥基础设施（RPKI）架构的复杂性进行了首次系统性分析，并提出了向后兼容的改进设计iRPKI。RPKI是BGP安全的关键机制，但其现有设计大量重用传统PKI组件（如X.509 EE证书、ASN.1编码、基于XML的仓库协议），导致过多的密码学验证、冗余元数据以及存储和处理效率低下。作者通过实验量化了这些问题：在RPKI依赖方（Relying Party）中，超过70%的验证时间消耗在证书解析和签名验证上，其中大部分是不必要的。基于此，他们设计了iRPKI，该方案消除了EE证书和ROA签名，合并了撤销与完整性对象，用Protobuf替代冗长编码，并重构了仓库元数据以实现更高效的访问。在Routinator验证器中的实现表明，iRPKI将处理速度提升了20倍，带宽需求降低了18倍，缓存内存占用减少了8倍，同时消除了导致至少10个已知漏洞的缺陷类别。iRPKI显著提升了RPKI在互联网规模部署的可行性，尤其在资源受限环境中，且可增量部署而不影响现有操作。本文适合网络运营者、安全研究人员及关注BGP安全的基础设施设计者阅读。

本文提出了 HoneySat，这是首个高交互卫星蜜罐框架，能够逼真地模拟真实的 CubeSat（一种小型卫星）。卫星是GPS等关键服务的基础，过去常因架构复杂和依赖安全模糊性而被认为安全，但技术进步使这些假设过时，卫星安全成为关注焦点。然而，目前缺乏有效收集针对卫星的对手技术数据的方法，阻碍了安全情报的生成和有效对策的开发。HoneySat 旨在填补这一空白。作者通过两项评估验证其有效性：一是调查了负责在轨卫星的经验丰富的SmallSat操作员，90%认为HoneySat提供了真实且引人入胜的模拟；二是将HoneySat部署在互联网上，成功诱骗了真实的人类对手，收集了22次针对卫星的特定交互。此外，与一家航空航天公司合作进行硬件在环操作，HoneySat成功与在轨运行的小型卫星任务通信，证明了其鲁棒性。该框架有助于收集卫星对抗技术数据，为开发防御措施提供基础。

该论文研究在公共互联网上观察到私有或保留IP地址（如RFC 1918地址）的现象。作者通过大规模网络扫描和被动监测，发现大量私有IP地址在公网中可见并被路由，这可能是由于设备配置错误、NAT穿透技术或恶意活动导致。论文提出了一个分类框架，将观察到的私有IP地址分为不同类别（如由于配置错误、隧道协议或BGP劫持）。通过分析多个数据源（包括Darknet、BGP路由表、DNS数据等），他们量化了该现象的普遍性和影响，并讨论了潜在的安全风险，例如内部网络暴露、绕过防火墙、IP欺骗攻击等。主要贡献包括：首次系统性地测量公网私有IP的可见性；揭示了数千个被路由的私有IP前缀；提供了对网络运营商和安全社区的建议以缓解此类问题。该研究适合网络运维、安全监测和研究人员阅读。

该论文提出了PhishLang，一个基于MobileBERT的实时、全客户端钓鱼检测框架。传统钓鱼检测方法通常依赖服务器端分析或黑名单，存在延迟、隐私泄露和无法检测新钓鱼站点的问题。PhishLang通过在客户端设备上直接运行轻量级MobileBERT模型，实现对URL和网页内容的实时分析，无需网络请求，保护用户隐私。框架通过优化模型大小和推理速度，能够在移动设备上高效运行，同时保持高检测准确率。实验结果表明，PhishLang在真实世界数据集上达到了99.2%的准确率和0.7%的误报率，推理时间低于10毫秒。此外，该框架支持可解释性，通过注意力机制提供分类依据。主要贡献包括：首次将MobileBERT应用于客户端钓鱼检测、设计高效的模型压缩与蒸馏策略、以及在多个基准测试上的全面评估。该研究为移动端安全防护提供了轻量级、隐私保护的解决方案。

该论文研究了RPKI（资源公钥基础设施）中发布点（Publication Point）的可达性问题。RPKI通过路由起源授权（ROA）来防止路由劫持，但其有效性依赖于发布点的可靠可达性。作者发现发布点存在多种基础设施层面的威胁，包括DNS解析失败、BGP路由泄漏、CDN配置错误等，导致部分发布点无法被依赖方（Relying Party）访问，进而影响路由安全验证。通过大规模测量，论文揭示了这些威胁的普遍性和严重性，并提出了改进发布点可达性的建议。

该论文《Action Required: A Mixed-Methods Study of Security Practices in GitHub Actions》针对持续集成/持续部署（CI/CD）工作流中的安全问题，特别是GitHub Actions的安全实践进行了深入研究。研究采用混合方法：首先通过大规模实证分析，扫描公开仓库中GitHub Actions的使用模式，识别常见的不安全配置，例如硬编码密钥、不当的权限管理、未验证的外部输入等；其次，对开发者进行半结构化访谈，了解其安全意识、决策动机和面临的挑战。研究发现，许多安全问题的根源在于文档不清晰、缺乏默认安全的设计以及开发者对安全风险的认知不足。论文基于这些发现，提出了一套改进GitHub Actions安全性的建议，包括改进官方文档、提供安全模板、以及引入自动化安全检查工具。该研究为CI/CD安全领域提供了实证数据和人因分析，有助于平台维护者和安全团队理解实际中的安全薄弱环节。

该论文提出了一种名为DualStrike的新型攻击方法，能够对市面上常见的商用键盘实现高精度、实时的按键窃听与注入。研究团队通过分析键盘在按键过程中产生的电磁辐射或声学信号，利用深度学习模型从侧信道信号中恢复按键内容，并进一步实现按键注入（即模拟按键操作）。核心创新在于双通道融合机制：同时利用电磁和声学两种侧信道，显著提高了按键识别的准确率和鲁棒性，即使在多任务环境下也能保持实时性。实验在多种键盘型号上进行，验证了攻击的有效性和隐蔽性。该研究揭示了当前商用键盘在物理安全层面的严重缺陷，对涉及敏感信息输入的场景（如密码输入、金融交易等）构成直接威胁。

本文针对联邦学习中的成员推断攻击提出了一种统一的防御框架。成员推断攻击旨在判断某个特定数据样本是否被用于训练模型，严重威胁用户隐私。现有防御方法存在计算开销大或可用性-隐私权衡不佳的问题。作者提出通过知识蒸馏和贡献感知聚合来协同防御：首先，服务器利用全局模型对客户端更新进行蒸馏，生成软标签指导本地训练，减少过拟合从而降低成员推断风险；其次，引入贡献感知聚合机制，根据客户端数据质量动态调整聚合权重，使聚合器对异常更新更鲁棒。实验在多个基准数据集（如CIFAR-10、MNIST）上验证，结果表明该方法在保持模型可用性的同时，显著降低了成员推断攻击的成功率（AUC下降超过10%），且计算开销低于现有对抗训练方法。该框架无需修改客户端训练过程，易于部署。

本文针对当前广泛使用的参数高效微调（PEFT）范式在推理阶段存在的隐私泄露风险，提出了一种名为 CryptPEFT 的隐私保护推理方案。在现有 PEFT 流程中，用户输入和微调后的轻量适配器（adapter）可能包含敏感信息，而直接应用多方计算（MPC）等密码学技术会导致计算和通信开销巨大，因为骨干网络（backbone）与适配器之间存在固有的双向通信。为此，CryptPEFT 创新性地设计了一种单向通信（OWC）架构，将加密计算完全限制在适配器一侧，从而显著降低开销。为了在单向通信约束下保持模型效用，作者探索了 OWC 兼容的适配器设计空间，并引入自动化架构搜索算法以优化隐私推理效率与模型性能之间的权衡。实验基于 Vision Transformer 骨干网络在多个图像分类数据集上进行，结果表明 CryptPEFT 相比现有基线方法实现了显著加速：在模拟广域网（WAN）和局域网（LAN）环境下分别达到 20.62 倍至 291.48 倍的推理速度提升。在 CIFAR-100 数据集上，CryptPEFT 在仅 2.26 秒的推理延迟下达到了 85.47% 的准确率。该工作为基于 PEFT 的推理提供了一种高效且隐私保护的解决方案，适合关注隐私计算、高效推理的机器学习与安全研究人员阅读。

该论文针对金融交易中的欺诈检测问题，提出了一种基于双人博弈的鲁棒检测框架。传统欺诈检测模型通常面临对抗性样本攻击和概念漂移的挑战，导致检测性能下降。作者将欺诈检测建模为检测器与攻击者之间的动态博弈过程：检测器试图识别欺诈交易，而攻击者不断调整策略以逃避检测。通过引入博弈论中的纳什均衡概念，论文设计了一种交替优化算法，使检测器在对抗环境中持续提升鲁棒性。实验在多个真实交易数据集上进行，结果表明所提方法在保持高检测率的同时，显著降低了攻击成功率，优于现有基线模型。该工作为金融安全领域提供了新的理论视角和实用工具。

本文提出了一种名为 WhiteCloak 的协议，旨在解决联邦学习安全聚合场景下匿名恶意客户端的问责问题。在安全聚合中，客户端数据通过加密手段聚合，保护了用户隐私，但也使得恶意客户端可以匿名破坏模型而不被追责。WhiteCloak 通过一种可验证的匿名身份绑定机制，在聚合过程中为每个客户端生成唯一但匿名的凭证，使得服务器在聚合后能够识别并排除恶意客户端，同时不泄露其真实身份。该协议结合了密码学承诺、零知识证明和可追溯签名，实现了隐私保护与问责性的平衡。实验表明，WhiteCloak 在额外计算开销可接受的前提下，有效提升了联邦学习系统的安全性。

该论文深入剖析了 ESXi Hypervisor 中 VMKernel 的访问控制机制。VMKernel 是 ESXi 的核心内核，负责管理虚拟机、内存、硬件资源等，其访问控制的安全性对虚拟化环境至关重要。然而，VMKernel 的访问控制细节长期以来缺乏系统性研究。作者首先通过逆向工程分析了 VMKernel 的系统调用接口和内部权限检查逻辑，揭示了其基于 capability 和 role 的混合访问控制模型。研究发现，VMKernel 中存在多种访问控制决策点，包括用户态到内核态的转换、内核模块加载、硬件资源分配等场景。论文提出了一个名为 VMKACMA 的自动化分析工具，能够系统性地提取和建模访问控制规则，并检测潜在的权限提升漏洞。通过在多个 ESXi 版本上进行实验，作者发现了若干权限分配不当和缺失检查的问题，包括某些 privileged system call 可以被普通用户态进程调用，以及部分内核模块未正确校验调用者权限。这些缺陷可能导致虚拟机逃逸或主机控制权泄露。该工作为虚拟化平台的安全审计提供了方法论支持，并公开了相关测试数据集。

本文研究了容器隔离中的去同步风险（Desynchronization Risks），即容器运行环境与宿主机之间在时间、状态或资源视图上出现不一致，可能导致安全隔离失效或性能降级。作者首先系统分析了容器运行时（如runc、crun）与宿主机内核、cgroup、namespace等机制之间的同步点，识别出三类典型去同步场景：时钟漂移导致的定时器失准、cgroup统计更新延迟引发的资源超限、以及namespace切换时的竞态条件。针对这些风险，提出了一套分层的缓解策略：在运行时层引入同步检查点，在内核层优化cgroup事件推送机制，并在应用层提供可选的同步代理库。实验基于Docker和Kata Containers环境，测试了CPU、内存、网络I/O等负载下的去同步概率与影响，结果表明所提方法能将高危去同步事件的概率降低至1%以下，性能开销控制在5%以内。该研究对于云原生环境下的安全运行时设计与容器加固具有重要参考价值。

该论文深入研究了RPKI（资源公钥基础设施）中标记为“无效”的前缀背后的隐藏原因和潜在安全风险。RPKI旨在通过验证BGP路由的起源授权来增强互联网路由安全性，但实际部署中大量前缀被标记为无效，其原因和后果尚未得到充分理解。作者通过大规模测量和案例分析，系统性地分类了RPKI无效前缀的成因，包括：配置错误、ROA（路由起源授权）过期、覆盖范围不完整、以及故意伪造等。论文进一步评估了这些无效前缀被实际路由的可能性，发现大量无效前缀仍被全球BGP路由器接受和传播，揭示了RPKI验证机制与实际路由决策之间的差距。实验表明，攻击者可以利用这些漏洞实施前缀劫持、流量拦截等攻击。最后，作者提出了改进RPKI部署和验证策略的建议，以降低无效前缀带来的安全风险。该研究对网络运营商、安全研究人员和RPKI标准制定者具有重要参考价值。