该论文对密码库中侧信道漏洞的自动化检测工具进行了系统性评估。侧信道攻击通过分析执行时间、功耗等物理泄露来破解密码实现，开发者通常需要采用恒定时间编程来防御，但人工编写容易出错。目前已有多种自动化检测工具（如静态分析、动态分析、基于LLVM的pass等），但漏洞仍常在密码库中被手动发现。Jancar等人的研究表明开发者很少使用这些工具，但尚未评估这些工具是否本可以检测到那些已知漏洞。本文旨在填补这一空白：作者收集了密码库中实际报告的侧信道漏洞，构建了一个测试基准，并选取多个代表性工具进行测试。实验评估了各工具对不同类型侧信道（如时序、缓存）的检测能力、误报率、覆盖率等。结果显示，现有工具在检测真实世界漏洞方面表现不一，许多漏洞无法被任何单一工具检测到，且存在较高的误报。论文讨论了工具的局限性，并提出了改进方向，例如结合多种分析技术或提高对复杂代码模式的识别。该研究为安全从业者选择和使用自动化检测工具提供了实证依据，并推动了工具研发的进步。

该论文以站点隔离（Site Isolation）实现中的逻辑缺陷为研究核心，提出一种自动化检测方法。站点隔离是现代浏览器（如Chrome）的关键安全机制，用于防止不同来源（origin）的页面相互访问敏感数据，从而缓解Spectre等侧信道攻击。然而，由于实现复杂性，浏览器中可能存在绕过站点隔离的逻辑漏洞，导致隔离失效。论文基于对浏览器站点隔离实现的分析，设计了一种自动化测试框架，通过系统化地生成跨站点交互场景，检测浏览器是否正确实施了隔离策略。该方法可能结合了污点追踪、形式化模型或模糊测试等技术，以识别违反隔离假设的路径。实验评估基于主流浏览器版本，揭示了若干先前未知的逻辑缺陷，并提供了修复建议。该工件发布为NDSS 2026论文的配套材料，便于社区复现和扩展。研究贡献包括：1）首个针对站点隔离逻辑缺陷的自动化检测方案；2）真实的漏洞发现；3）可扩展的测试框架。

该论文针对即时通信应用（如WhatsApp、Signal）中端到端加密的假密钥攻击问题展开研究。这类应用依赖中心化服务器分发公钥，可能被恶意或受攻击的服务器分发伪造密钥，从而实施中间人攻击或身份冒充。虽然现有应用提供了手动密钥验证机制，但用户负担重且实际效果不佳。作者提出了KTACA（密钥透明度与自动客户端审计）方法，实现完全自动化的密钥验证，无需用户干预且易于部署。KTACA融合了两种方法：客户端审计（KTCA）和匿名密钥监控（AKM）。KTCA由客户端记录并审计密钥交换日志，检测密钥变更异常；AKM通过匿名监控公共密钥目录发现伪造密钥分发。单独使用时各有弱点，KTACA结合二者优势，能够自动检测多种假密钥攻击。作者提供了安全性分析，明确每种防御可检测的攻击类型。他们还实现了主动攻击以证明攻击可行性，并开发了所有防御的原型系统，评估了性能与可行性。最后讨论了各防御的优缺点、对客户端和服务器的负载以及部署考虑。该研究提升了自动检测假密钥攻击的能力，对保障用户通信安全有重要意义。