该论文针对安全社区普遍认为SSH蜜罐应通过诱使攻击者登录并打开交互式shell来收集威胁情报的假设提出了质疑。作者部署了11个同时提供交互式和非交互式会话服务的SSH蜜罐，在15天内收集了177,622个经过身份验证的会话，并使用独立的Cowrie数据集进行了验证。结果表明，高达99.23%的会话是非交互式的，交互式会话仅占0.10%。这一模式在第三方数据集中也得到了验证。该发现对蜜罐设计有重要意义：如果蜜罐只关注交互式shell，或以会话长度和命令数量作为成功指标，将遗漏绝大多数经过身份验证的攻击，导致对攻击者登录后行为的错误认知。研究建议蜜罐应同样重视非交互式会话（如自动化工具、SSH隧道等），以全面捕获攻击活动。