本文针对人工智能模型水印（model watermarking）面临的核心挑战——模型提取攻击（model extraction attack），提出了一种基于排练（rehearsal）的水印嵌入框架，以增强水印鲁棒性。模型水印通过嵌入独特知识使模型产生特有行为特征来保护知识产权，但攻击者可利用模型预测输出训练替代模型（surrogate model）非法复制原模型功能。现有水印通常在面对模型提取攻击时容易失效。本文方法通过模拟提取过程，使用一个模拟被盗模型（simulated stolen model）在触发集（trigger set）上的损失作为训练信号，对目标模型中的水印知识进行微调。该过程鼓励水印以提升可迁移性（transferability）的方式嵌入，从而增加水印在盗用模型中持续存在且可被检测的机会。在多种设置下的综合实验表明，所提方法显著提升了水印在对抗模型提取攻击及后续水印移除攻击（watermark removal attack）时的鲁棒性。本研究适用于AI安全领域研究人员及模型开发者，为模型版权保护提供了新思路。

该论文针对大型语言模型（LLM）面临的后门攻击威胁，提出了一种基于共享内部机制的未知后门移除方法。后门攻击会使模型在干净输入下表现正常，但遇到特定触发器时输出攻击者指定的有害内容。由于防御者通常不了解后门类型或内部机制，移除未知后门极具挑战性。论文首先通过实验证明，不同后门在同一攻击目标下会引发相似的激活模式变化。基于这一发现，作者设计了一种简单而有效的防御策略：主动向模型中植入一个已知触发器的虚拟后门（dummy backdoor），然后通过与干净响应配对的虚拟触发器输入进行微调来移除该虚拟后门。由于虚拟后门与未知后门共享内部机制，移除虚拟后门的同时也会削弱未知后门的效果。论文在三个模型家族上针对三种后门攻击类型进行了评估，结果表明该方法显著降低了未知后门的攻击成功率，同时保持了模型实用性，在防御有效性和效用保留方面均优于现有代表性防御方法。该方法为LLM后门防御提供了新思路，利用防御者可控的后门作为代理来缓解未知后门威胁。

该论文研究AI加速漏洞发现对互联系统安全的影响，提出一个结合排队论与网络理论的模型。模型将企业环境表示为加权依赖图，包含漏洞池动态补充、有限修复容量、分类降级、利用窗口压缩以及动态传播机制。通过数学推导给出了漏洞积压的稳定性条件，并建立了积压量与级联风险之间的动态耦合关系。仿真实验表明，当可操作的漏洞发现速率超过修复吞吐量时，积压会迅速增长，系统性风险非线性上升。在枢纽节点主导的拓扑中，网络分段比单纯提升修复速度更能有效减少传播性危害，而最佳防御策略是结合修复自动化与降低网络耦合。论文贡献在于理论化地分析了AI加速漏洞发现对修复管道的冲击，并提出了量化评估与防御策略的框架。适合安全研究员、风险管理工程师以及负责漏洞管理与网络架构的团队阅读。

本文针对未来可能达成的国际人工智能协议，提出了一种用于AI数据中心验证的基础架构方法。核心目标是确保所有进出AI集群的数据均被加密承诺，使得秘密窃取未公开工作负载的结果变得不可行。方法是在集群与外部世界之间的所有信息承载线路上部署网络分接头（passive optical fibre splitters），计算所有数据的哈希值。审计员可以事后挑战哈希对应的原像数据，并将其发送至隐私保护的验证设施进行合规检查。为了解决事后哈希验证无法处理的隐蔽信道问题，论文设计了一种“安全网关设备”（Secure Gateway Device），其架构消除了对验证者和被验证者双方均信任的处理器的依赖，利用被动光纤分路器和抛币协议（coin-flip protocols）生成随机数。该设备负责消除模拟侧信道、时序侧信道以及网络协议头中的隐写术等隐蔽信道。论文评估了开发成本，预计演示设备的开发成本相当于一个小型工程师团队数月的工作量，物料清单相对较小。该研究为AI数据中心的透明度和可信验证提供了新思路，适合关注AI治理、安全基础设施和隐私保护的研究者和工程师阅读。

本文是一篇关于6G赋能信息物理系统（CPS）安全的综述论文。6G网络将连接数十亿CPS设备（如自动驾驶汽车、智能电网、工业机器人和远程手术设备），这些设备运行在超可靠低延迟切片上，使得远程入侵与物理伤害之间的时间差缩短至毫秒级，传统边界防火墙和集中式安全运营中心无法满足需求。论文将6G CPS安全重新定义为一种闭环、AI原生流水线，在MEC层进行感知，利用分钟级的呼叫详细记录（CDR）进行基线学习，以及亚毫秒级的RAN/O-RAN遥测数据用于延迟关键路径；通过压缩深度模型在本地决策，通过SDN、NFV和O-RAN控制器实现网络范围的缓解，并通过联邦学习（FL）和数字孪生（DT）回放进行重训练。论文形式化定义了每个切片在感知、检测和缓解阶段的有界延迟契约，并在切片相关的尾部百分位数（对安全关键的URLLC切片为p99）上强制执行。系统性地整理了128篇同行评审研究（2017-2026），遵循PRISMA 2020协议，主要贡献包括：(i) 将6G/CPS威胁面映射到MITRE ATT&CK和CDR可观测特征空间；(ii) 统一了跨12个数据集以及统计、图和Transformer模型的边缘异常检测和DDoS分类；(iii) 将SDN/NFV/O-RAN原语综合成一个闭环参考架构；(iv) 将FL、大语言模型（LLM）、DT、后量子密码（PQC）、零信任架构（ZTA）和可解释AI视为跨领域使能因素而非独立支柱；(v) 将开放问题归纳为数据、延迟、信任、标准化和评估五个方向。适合安全架构师、网络运营商及6G安全研究人员阅读。

该论文研究了AI推理验证中的关键问题：在GPU浮点运算的非确定性环境下，如何实现比特精确的推理结果验证，而无需牺牲性能。现有方法依赖近似匹配，这可能被隐蔽对手利用未验证的自由度进行攻击，如通过隐写术、未报告的软件修改或隐藏的批处理元素执行恶意计算。作者分析了现代推理引擎（如vLLM、Hugging Face Transformers）在未设置确定性标志的情况下，通过提供正确的重计算所需信息且后端不调用原子函数，实际输出具有确定性但非不变性。他们提出一种仅通过软件仿真的方法，在多种NVIDIA GPU变体上实现了大语言模型推理的逐位精确重计算，无需相同硬件。实验表明，累积舍入误差可作为推理所用软件和硬件设置的审计签名，而非验证性的约束。该方法为AI治理中的隐蔽恶意行为检测提供了新途径，尤其适用于验证模型推理的完整性和一致性。

论文《AdvScene: Rethinking Adversarial Patch Evaluation Through Scene Robustness》重新审视了对抗补丁（adversarial patch）的评估方法。对抗补丁是附着在真实物体上的物理图案，旨在误导AI视觉系统（如目标检测器）。现有评估主要基于固定图像基准或可控仿真器，但前者缺乏场景多样性，后者无法反映真实场景的复杂性。作者提出“场景鲁棒性”（scene robustness）概念，指补丁部署后在真实环境中随视角、距离和场景条件变化仍保持有效的能力。为此，他们设计了AdvScene框架，一种基于场景重建的评估方法。核心挑战在于：攻击通常仅在单一锚定视角下定义，而评估需要跨视角保真地表示补丁。作者将其形式化为约束提升问题，提出“对抗补丁到场景嵌入”（APSE）方法，通过解决跨视角歧义、保留攻击关键外观、施加局部性、目标表面附着和跨视角一致性约束，实现补丁在场景中的准确嵌入。使用真实世界物理数据验证，并对现有对抗补丁进行全面评估。结果表明，AdvScene揭示了攻击有效性随场景变化的显著差异，而现有图像中心或仿真基评估无法捕获这些差异。本文适合AI安全研究人员、对抗性攻击防御开发者及计算机视觉鲁棒性研究者阅读。

该论文提出了 Honeyval，一个针对基于大型语言模型（LLM）的 HTTP 蜜罐的全面评估框架。蜜罐是一种模拟真实系统组件的诱饵，用于防御网络攻击。近年来，LLM 越来越多地被用作蜜罐的模拟后端，使防御者能够构建高交互蜜罐，同时降低系统安全风险。然而，LLM 驱动的蜜罐开发缺乏统一的评估框架。现有评估方法通常包括在固定命令上测量响应相似性、手动测试或实际部署，但这些方法难以扩展、不可重复、无法代表实际攻击，也无法适应不同的攻击者和蜜罐配置。Honeyval 通过以下方式克服了这些局限性：将蜜罐基于 16 个后端应用程序，使用 AI 黑客代理作为攻击者，采用两个控制任务来监控代理和蜜罐在不同定制下的能力，并为攻击者定义清晰可验证的利用目标。利用 Honeyval，作者对近期成本高效的 LLM 作为 HTTP 蜜罐进行了广泛评估。实验显示，LLM 驱动的蜜罐能够显著延长与攻击者的交互时间，远远超过基于规则的基线蜜罐，并且即使使用前沿模型也很难被检测到，同时平均保持了对抗主动攻击者的成本优势。此外，作者还实验了不同的反制蜜罐配置，观察到了独特的权衡，例如更长的交互时间以增加被检测的风险。该工作为 LLM 蜜罐的开发和标准化评估提供了重要基础。

该论文提出“指涉安全性”（referential security）作为人工智能评估的新范式。当前AI系统（尤其是大语言模型）持续更新，但公开的模型名称保持不变，而底层权重、提示词、检索机制、滥用分类器、推理设置和服务基础设施却可能未经通知地修改。这导致传统安全性评估常常仅针对表面的标签，而非实际可识别且可区分的系统，使得评估结果难以追溯、复现和验证。为解决这一问题，作者将安全的根本问题从“模型是否安全”拓展为“后续方能否确切确定某项安全声明针对的是哪个系统”，从而将模型身份转变为可经验验证的属性，并将指涉稳定性与其所支撑的实质性安全主张分离开来。该框架为当前实践中处理不佳的三个关键工作流提供了可操作性：可复现的评估（reproducible evaluation）、纵向审计有效性（longitudinal audit validity）以及跨提供商等效性（cross-provider equivalence）。通过将评估锚定在可验证的工件上，该方法确保安全审计和监管发现能够在动态系统的整个运行生命周期中保持其实证效用。论文适合关注AI安全评估、模型溯源、审计可复现性以及监管合规的研究人员、安全工程师和政策制定者阅读。

该论文首次对苹果的私有云计算（Private Cloud Compute, PCC）系统进行了逆向工程分析，旨在评估其隐私保护声明的可信度。PCC是苹果为在移动设备上集成AI而设计的隐私优先计算架构，其核心宣称包括不存储用户数据、用户输入与账户不可关联。尽管苹果公开了大部分系统规范，但编译后的二进制文件缺乏符号、不可重现构建，导致规范与实际部署之间存在潜在差异。此外，底层模型和查询接口未公开，限制了学术评估。研究者通过逆向工程移动设备上的PCC实现，成功打开了非公开接口，允许在本地设备上执行自定义PCC查询，并独立对PCC模型进行了基准测试。他们发现当前实现中存在一些与隐私承诺的偏差，例如某些日志行为可能暴露用户交互信息。该研究还公开了PCC基准测试框架，为后续隐私评估提供了工具。主要贡献包括：首次详细的PCC逆向工程、开放非公开接口、独立模型性能评估以及公开测试框架。适合关注移动AI隐私、苹果安全架构以及云隐私方案验证的研究人员和安全从业者阅读。

本文系统性分析了人工智能安全研究领域中攻防研究失衡的问题。作者通过考察联邦学习、语音识别、成员推断、大型语言模型等子领域的学术论文，发现攻击类研究数量明显多于防御类研究，存在偏斜的攻防论文比例。更重要的是，这种失衡不仅体现在数量上：攻击论文通常在有利条件下进行评估，夸大威胁的实际严重性；而防御论文则面临更为严苛的评判标准，导致许多防御方案难以达到要求。结果导致该领域涌现了大量展示漏洞的文献，而可实际部署的防护措施匮乏。由此，作者主张AI安全研究应当更好地激励防御研究，推动更平衡的学术生态。本文适合AI安全研究者、学术资助机构及政策制定者阅读。

本文聚焦于评估AI智能体在安全关键角色中的基准测试所面临的严重缺陷。作者基于最新实证证据，总结了三大核心挑战：基准漏洞（benchmark vulnerabilities）、时间陈旧性（temporal staleness）和运行时不确定性（runtime uncertainty）。基准漏洞指评估指标可能被游戏化或无法真实反映安全能力；时间陈旧性强调静态基准无法跟上快速演变的威胁环境；运行时不确定性则指智能体在动态部署中的表现难以预测。针对这些挑战，论文提出了构建更健壮、更可信评估框架的实用方向，包括动态基准设计、对抗性测试和持续验证机制。该研究为安全社区正确衡量AI智能体防护能力提供了关键洞察，避免自我欺骗性的评估结果。

时间序列预测（TSF）在众多领域（如金融、气候、工业监控）中发挥着关键作用，但容易受到后门攻击的威胁。然而，针对TSF的后门防御研究仍处于起步阶段，主要面临两大挑战：数据纠缠（data entanglement）导致不同时间序列通道间的信号相互干扰，以及任务形式转变（task-formulation shift）使得后门注入与正常训练难以区分。本文首先系统评估了十三种代表性后门防御方法在TSF全生命周期中的表现，分析其失败模式，发现两个根本问题：1）数据纠缠引发通道级信号稀释，使基于样本过滤或触发器合成的防御方法无法准确定位后门；2）任务形式转变导致训练损失退化，使得中毒窗口与干净窗口在训练阶段变得不可区分。基于这些发现，作者提出一种针对TSF的训练时后门防御方法——TimeGuard。该方法采用通道级池训练（channel-wise pool training）为核心范式，利用时间感知标准初始化高置信度池以缓解信号稀释；同时引入距离正则化损失选择策略，在训练过程中逐步扩展可靠池，缓解损失退化。在多个数据集、预测架构和TSF后门攻击上的广泛实验表明，TimeGuard显著提升了鲁棒性，平均绝对误差（MAE_P）相比领先基线提升1.96倍，同时干净性能MAE_C控制在5%以内。本文为TSF安全防御提供了新的思路和实用方法。

本文是一篇关于人工智能（AI）在网络安全领域应用的综述性研究，重点聚焦于入侵检测场景。文章首先指出，AI因其在模式识别、任务自动化以及降低时间与成本方面的能力，已被广泛应用于多个领域。在网络安全中，AI的整合引起了广泛关注，尤其是在入侵检测、恶意软件分析、钓鱼/垃圾邮件检测等方面。随着AI和网络安全技术的共同演进，新的方法和途径不断涌现。当前趋势包括使用生成式AI、自然语言处理（NLP）、用于隐私保护联合训练的联邦学习，以及确保可解释性和信任的可解释AI（XAI），这些在网络安全中至关重要。本文对当前基于AI的网络安全趋势进行了有趣的回顾，特别关注入侵检测方法，旨在通过基于所采用的AI技术和报告的性能进行对比分析，揭示有意义的见解。文章结构上，首先介绍了AI在网络安全中的总体应用，然后详细讨论了入侵检测系统的分类（如基于网络、主机、异常的检测），并分析了不同AI技术（如机器学习、深度学习、强化学习等）在这些系统中的应用效果。文章还比较了现有研究的性能指标（如准确率、召回率、F1分数等），并指出了当前挑战，如数据不平衡、对抗性攻击、模型可解释性不足等。最后，文章展望了未来研究方向，包括将生成式AI用于数据增强、利用联邦学习实现隐私保护、以及开发更可解释的模型以提高信任度。本文适合网络安全研究人员、AI从业者以及对入侵检测系统感兴趣的读者阅读。

本文提出STRIDE-AI框架，旨在解决传统网络安全方法论在应对生成式AI系统概率性质时的不足。研究背景指出，现有安全标准（如NIST AI RMF）和漏洞分类（如OWASP LLM Top 10）之间存在鸿沟，且多数部署AI的组织缺乏专用安全策略，对抗攻击每年快速增长。STRIDE-AI框架通过以下核心贡献弥合这一差距：首先，定义了一个六阶段评估生命周期，覆盖从资产识别到持续监控的完整流程；其次，将经典STRIDE威胁建模方法适配于AI系统，针对模型反转、数据投毒、提示注入等攻击向量进行威胁识别；最后，通过一个专用Web工具实现框架的自动化操作。为初步验证有效性，作者对一个已部署的LLM聊天机器人进行了黑盒评估，在沙盒案例研究中将攻击成功率从80%降低至15%。该框架主要面向AI安全工程师、风险管理人员及研究社区，提供了一种系统化的生成式AI安全评估方法。

本文提出水印技术应被视为一种监控原语，而非仅用于内容归属。传统上，水印评估侧重于对抗单个样本级别的规避或误报攻击，忽略了在多方参与的场景中，水印信号可能被聚合以推断实体级别信息。作者引入基于观察者的威胁模型，其中观察者可以通过跨输出聚合水印信号来推断实体（如特定用户或设备）的身份或行为模式。实验证明，即使是零比特水印，在多密钥设置下也能实现归属。此外，外部监控可能随着时间的推移从持久、密钥相关的统计结构中自发产生，尽管这取决于水印设计，并且可以通过保留分布或不可检测的方案来缓解。研究揭示了归属与监控之间的根本双用途矛盾，呼吁超越单一样本鲁棒性，考虑聚合和观察者能力来评估水印。

本文针对大型语言模型（LLM）系统中的缓存机制提出了语义缓存投毒攻击。传统的缓存投毒主要针对查询字符串精确匹配，而LLM系统常采用语义缓存来缓存具有相似语义的查询，以提高推理效率并降低成本。作者首次提出语义缓存投毒攻击，攻击者通过构造与合法查询语义相似但包含恶意提示的投毒请求，使得后续正常用户查询命中投毒缓存，从而返回被篡改的响应，可能导致信息泄露、错误响应或拒绝服务。论文设计了多种投毒策略，包括基于嵌入向量的扰动、对抗性样本生成等，并在多个开源LLM和商业API上验证了攻击有效性。实验表明，攻击成功率高达80%以上，且能绕过现有防御措施。为应对该威胁，作者提出了基于输入验证和输出一致性检查的防御框架，包括语义异常检测、缓存命中验证和响应完整性校验。该研究揭示了LLM缓存系统的新攻击面，对AI基础设施安全具有重要意义。

大型语言模型（LLM）因其强大的推理能力被广泛部署于多种场景，但同时也面临被滥用的风险。为了确保模型所有权，通常采用水印技术。然而，现有大多数水印方法仅对模型的输出分布进行表层修改，导致水印容易受扰动或去除。针对这一挑战，本文提出了一种名为冗余思维链（R-CoT）的推理层水印框架，将水印嵌入模型的推理路径中。R-CoT 基于 GRPO（分组相对策略优化）设计了一种双轨迹优化机制，使原生推理路径和水印推理路径能够在共享参数空间内共存，从而将水印内化为一种独特的推理策略。这样一来，水印被嵌入模型稳定的推理路径中，避免了因输出级扰动（如文本后处理、同义词替换等）导致水印失效的问题。实验结果表明，与现有方法相比，R-CoT 在保持高水印有效性的同时具有极强的鲁棒性。在微调等后训练操作下，其真阳性率（TPR）始终保持在 95% 以上，仅出现轻微下降。本文的主要贡献在于：1) 首次在推理层嵌入水印，而非输出层；2) 提出双轨迹优化机制实现水印与原生推理策略的共存；3) 实验证明该方法对微调等操作具有高度鲁棒性。该研究适合 LLM 安全研究人员、模型部署方以及关注知识产权保护的从业者阅读。