业务逻辑漏洞是软件安全中一个关键且难以检测的问题，它们源于应用程序设计或实现中的错误，使攻击者能够触发非预期的行为。传统的基于模糊测试的动态分析工具在检测内存安全漏洞方面表现出色，但往往无法发现业务逻辑漏洞，因为这些缺陷需要理解特定于应用程序的语义上下文。已有的推测上下文的方法由于依赖启发式和非可移植的语言特性，本质上是脆弱且不完整的。由于业务逻辑漏洞在CWE Top 40中占据27个，是实际中最危险的软件弱点之一，现有工具的盲点令人担忧。本文提出了ANOTA，一种新型的人机协同的sanitizer框架。ANOTA引入了一个轻量级、用户友好的注解系统，使用户能够直接将其领域知识编码为轻量级注解，这些注解定义了应用程序的预期行为。运行时执行监视器观察程序行为，将其与注解定义的策略进行比较，从而识别指示漏洞的偏差。为了评估ANOTA的有效性，作者将其与最先进的模糊测试器结合，与其他针对相同目标的流行漏洞发现方法进行比较。结果表明，ANOTA+FUZZER在有效性上优于其他方法。具体来说，ANOTA+FUZZER成功复现了43个已知漏洞，并在评估期间发现了22个以前未知的漏洞（分配了17个CVE）。这些结果证明，ANOTA为发现传统安全测试技术经常遗漏的复杂业务逻辑缺陷提供了一种实用且有效的方法。