该论文对公开披露的漏洞赏金报告中的“对象级授权失效”（BOLA）漏洞进行了首次大规模实证分析。作者从HackerOne平台收集了200份标记为IDOR或不当访问控制的报告（2021-2026年），并应用三标准包含过滤器，最终得到107份已分类的报告。分类采用LLM辅助的模式补全程序，在人类裁决的约束标准下，针对一个六族BOLA分类法进行。在107份分类报告中，84份（78.5%）被确认为有效范围内的BOLA。其中，行为级对象BOLA（定义为对他人对象执行未经授权的状态更改操作）占确认案例的41.7%，与直接对象引用BOLA一同成为数据集中观察到的两个主要族。这表明在实践指南中历史性地未被充分代表的模式。约21.5%的分类报告在严格标准下属于范围外，表明在HackerOne等平台上的标签计数显著夸大了BOLA特定信号。论文报告了各家族、操作类型、授权方向、行业领域、标识符格式和利用机制的分布。关键次要发现包括11.9%的垂直（用户到管理员）权限故障率，以及跨主要平台系统性地利用GraphQL全局ID。这些发现对API安全测试协议、开发者教育和OWASP指南具有直接影响。