本文对VMware ESXi的VMKernel访问控制机制进行了首次全面安全分析。VMware ESXi是一款广泛部署的企业级Type-1虚拟机监控器，是现代云基础设施的基石。为强化权限隔离，ESXi在VMKernel中引入了强制访问控制机制。然而，由于VMKernel的专有和闭源特性，其内部访问控制架构在很大程度上仍不透明且未被充分研究。以往的研究主要关注虚拟设备漏洞和虚拟机逃逸，而VMKernel内部的访问控制机制和权限模型几乎未被审视。为填补这一空白，作者提出了一种域控制结构导向的分析方法，用于重建关键内部权限逻辑，并设计了一个结构感知的调试框架以支持细粒度的运行时验证。利用该框架，作者发现了多个关键设计缺陷，包括可写且未受保护的内存控制结构以及可被利用的开发人员预留的系统调用接口。作者演示了三种实际攻击场景，利用这些缺陷绕过沙箱限制、提升权限并获得持久访问。总共发现并向VMware报告了14个漏洞，所有漏洞均已确认并修复，获得了总计42,000美元的漏洞赏金。本文的方法和发现对理解虚拟化平台的安全机制、发现类似闭源系统中的权限提升漏洞具有重要参考价值。

本文聚焦于JavaScript驱动的触发-动作平台（TAPs）的安全问题。TAPs（如IFTTT、Zapier和开源替代Node-RED）允许用户定义跨设备和服务的自动化规则（例如“如果检测到运动，则发送邮件”），但第三方应用（通常以JavaScript形式部署）可引入严重的安全与隐私风险。作者首先对主流TAP进行安全分析，发现IFTTT、Zapier和Node-RED均存在可被利用的漏洞，包括从用户处窃取数据乃至完全接管平台。他们向相关平台报告了问题，并针对Node-RED进行了实证研究以评估影响。为在保持灵活性的同时增强安全性，作者提出了SandTrap——一种新颖的JavaScript监控器。SandTrap结合Node.js的vm模块与基于全结构代理的双向膜（two-sided membranes），实现细粒度的访问控制策略。它还包含策略自动生成机制，辅助开发者配置。作者将SandTrap实例化应用于IFTTT、Zapier和Node-RED，并通过一组基准测试证明其能强制执行多种策略，且运行时开销在可接受范围内。该工作的核心贡献在于提供了一种安全、灵活的方式来集成第三方JavaScript应用，而非依赖平台本身的信任假设。

现代无服务器计算平台（如AWS Lambda、阿里云函数计算）通过将基础设施与函数级开发解耦，实现了快速的应用演进。然而，这种灵活性引入了根本性矛盾：无服务器应用采用分散的函数级权限配置，而云访问控制系统却是集中式的。这种不匹配导致无服务器应用中函数普遍存在风险权限（risky permissions），攻击者可以将多个拥有风险权限的函数串联起来，实现权限提升、账户接管甚至横向移动到其他账户。本文将此类攻击称为风险权限链式攻击（risky permission chaining attack）。为解决该问题，作者提出了一种自动化推理系统，能够检测可被用于链式攻击的风险权限。首先，他们基于攻击者中心化模态抽象（attacker-centric modality abstraction），显式捕获不同函数和账户的独立权限如何合并成真实攻击链。基于该抽象，构建了模态引导的检测工具，能够揭露真实无服务器应用中的可利用权限链。作者在两个主流云平台（AWS和阿里云）上，从官方生产级应用仓库中获取无服务器应用并进行评估。分析结果发现了28个存在漏洞的应用，其中包括5个已确认的CVE、6个负责任漏洞确认以及1个安全奖励。这些发现表明，风险权限链式攻击不仅是理论风险，更是已经在商业无服务器部署中存在的结构性可被利用的威胁，其根源在于分散式无服务器应用与集中式访问控制模型之间的根本不匹配。论文适合云安全研究人员、无服务器平台开发者和安全运维人员阅读。

本文研究了大型语言模型（LLM）作为自主代理时，其工具调用权限控制的安全缺陷。作者指出，当未授权工具出现在代理的上下文窗口中时，即使模型被明确指示禁止调用，在对抗性场景下仍可能被选中。现有基于提示（prompt）的约束方法效果有限，只能将未授权调用率（UIR）降低11-18个百分点，存在显著的残余风险。为此，本文提出了一种受治理的MCP（Model Context Protocol）代理，在工具发现和工具调用两个阶段强制实施基于属性的访问控制（ABAC）：在工具发现阶段，从模型的上下文窗口中移除未授权工具；在工具调用阶段，进行二次检查以阻止任何未授权调用。通过在三个模型（Qwen 2.5 7B、Llama 3.1 8B、Claude Haiku 3.5）上执行150项覆盖四种攻击类别的对抗性任务，实验表明该架构强制方法将未授权调用率降至0%，且中位数延迟增加不超过50毫秒。研究结论认为，在部署的代理系统中，可靠的工具访问控制必须依赖架构强制而非提示工程。本文适合LLM安全研究员、AI代理开发者和系统安全工程师阅读。

本文提出了一种名为 LymphNode 的插件式访问控制方法，用于保护深度神经网络（DNN）模型免受未经授权的访问和攻击。在边缘部署场景中，DNN 模型面临不受限制的 oracle 访问风险，容易遭受模型提取和模型反转攻击。现有的防御手段存在不足：被动水印仅提供事后溯源，主动防御则引入高延迟或需要持续访问敏感的训练数据。LymphNode 作为模型内在的“免疫系统”，采用“默认拒绝”策略：它通过在特征空间中注入通用稀疏通用对抗扰动（GSUAP）来主动中和未授权查询的模型效用，有效阻止梯度估计和数据推断。只有携带隐秘特征域凭证的授权输入才能选择性恢复模型效用。该方法具有高效性：使用少于 100 个样本（训练数据的 1% 以下）即可建立稳健保护，并且具有跨数据集适应性，可使用公共替代数据集进行保护。LymphNode 提供了一种轻量级、可立即部署的防御方案，适用于原始训练数据受限或不可用且对模型保护有高要求的场景。

本研究聚焦于通讯录（地址簿）中存在的相互依赖隐私问题。通讯录不仅包含用户自身的隐私信息，还涉及联系人的隐私数据，如姓名、电话号码、电子邮件地址等。当用户分享或同步通讯录时，可能导致未经同意地泄露联系人的隐私。论文首先系统分析了通讯录隐私问题的类型，包括数据收集、存储、共享等环节中的风险。随后提出了一种基于隐私偏好和细粒度控制的方法，允许用户和其联系人在通讯录数据共享时协商并设置隐私策略。该方法利用密码学技术和交互式协议，确保在共享通讯录信息时，只有获得所有相关方同意的数据才会被披露。实验部分通过用户研究和原型系统评估，证明了该方案在隐私保护、用户体验和性能方面的可行性。主要贡献包括：形式化定义了通讯录的相互依赖隐私问题，设计了去中心化的隐私保护框架，并通过实证研究验证了用户对隐私控制的重视。该工作适合隐私研究者和社交应用开发者阅读。

访问控制是用户安全领域长期存在的挑战，核心难题在于如何让非专业用户轻松、准确地表达资源访问策略。本文提出了一种基于草图的多模态访问控制授权系统（Sketch-based Access Control, SBAC），将手绘草图的直观表达能力与多模态大语言模型（MLLM）的语义理解能力相结合，支持用户通过迭代细化的方式完成策略定义、分析与测试。作者通过一项包含14名参与者的形成性研究，提炼出三项设计需求：①允许用户以自然、非结构化的方式表达初始偏好；②提供可解释的中间反馈以帮助用户发现遗漏或不一致；③支持通过具体场景验证策略行为。基于这些需求，SBAC构建了人机协作三阶段工作流：Specify（指定）阶段，用户用草图、文字或语音混合描述策略意图，MLLM将其解析为结构化的访问控制规则；Analyze（分析）阶段，系统自动检测规则中的冲突、冗余或空窗，并通过对话引导用户澄清歧义；Test（测试）阶段，用户可输入模拟请求，系统展示策略判定结果，帮助验证是否符合预期。在另一次14名用户参与的评估中，参与者使用自身真实的访问控制场景（如家庭文件共享、团队文档权限）对系统进行测试。结果表明，SBAC帮助用户将最初模糊、不完整的偏好逐步转化为更完备、精确的策略——意外暴露了用户未预料到的权限缺口，通过自然语言对话解决了歧义，并通过具体案例验证了策略行为。该研究的核心贡献在于：①首次将草图界面引入访问控制领域，降低了策略编写的认知门槛；②提出了一种人机协同的策略精细化方法论，使非专家也能设计出意图一致的策略；③展示了多模态大模型在安全策略管理中作为“翻译器”的潜力。本文适合安全人机交互、策略管理及大语言模型应用方向的研究者和从业者阅读，尤其对构建更易用的访问控制工具具有启发意义。

该论文针对智能家居环境中的访问控制隐私问题展开研究。用户通常希望对家庭成员的设备访问和数据共享设置精细的权限，但在实际操作中常因繁琐而采用安全性较低的默认配置。为解决这一矛盾，作者提出一种“乐观访问控制”（optimistic access control）策略：允许家庭成员无需事先审批即可获取设备或数据，但所有访问行为都会受到其他家庭成员的监督和事后审查。这种机制借助家庭成员间已有的人际信任，在保持简便性的同时，实现对隐私边界的精细控制。为了评估该概念的可行性和用户接受度，研究者面向604名参与者开展了一系列调查，考察不同设备类型、家庭结构等因素对乐观访问控制偏好的影响。结果显示，相当一部分受访者倾向于采用乐观模式而非现有访问控制方法，且偏好程度因设备类型（如摄像头、智能音箱）和家庭特征（如成员数量、年龄构成）而异。该研究为智能家居隐私设计提供了新的思路，表明在信任型环境中，事后监督机制可以替代复杂的预授权策略，从而在安全与便利之间取得更好平衡。