本文针对现有策略描述语言在表达能力上的不足，提出了一种基于逻辑编程（特别是Datalog）的策略描述语言，旨在支持多层防御（Defense-in-Depth）架构中的细粒度授权。研究背景指出，由于信息系统漏洞难以彻底消除，必须依赖多层防御策略，而每层防御的有效性取决于访问控制的精细程度。现有访问控制模型虽然丰富，但相应的策略语言往往无法准确表达模型的约束条件，尤其是涉及应用程序进程动态状态等复杂决策因素。作者设计的语言允许将多种运行时条件（如进程状态、时间、上下文等）作为决策数据纳入授权规则，从而突破了传统策略语言表达能力的限制。该语言以Datalog实现，利用其逻辑编程特性来支持规则推导与冲突解决。为验证实用性，作者将语言应用于SELinux策略的建模与表达，SELinux是操作系统层面实现多层防御的关键组件。实验从有效性和表达力两个维度进行评估：有效性指语言能否正确表达SELinux原生策略的所有约束；表达力指语言能否以更简洁或更灵活的方式描述相同策略。结果表明，所提语言能够完整覆盖SELinux策略语义，并且在某些场景下提供了更自然的表达能力。本研究的贡献在于：1) 提出了一种形式化且可扩展的策略描述框架，解决了细粒度授权语言的表达缺口；2) 借助Datalog的递归和推理能力，增强了策略的可维护性与自动化分析潜力；3) 通过实际系统（SELinux）的案例证实了方法的可用性。本文适合安全策略研究人员、访问控制模型设计者以及操作系统安全工程师阅读。

TOMOYO Linux 是一种基于应用程序执行状态（即历史记录和意图）的新型强制访问控制（MAC）方法。传统的访问控制机制仅根据主体（应用程序）与客体（文件）的组合来授予访问权限，忽略了应用程序的意图以及授权可能带来的潜在影响。本文提出了一种新颖的方法，通过记录每个应用程序的执行历史（例如，它从哪个父进程派生、曾访问过哪些资源等）来推断其“意图”，并在此基础上实施更精细的权限管理。系统管理员可以定义策略，允许或拒绝基于应用上下文的行为，从而有效降低恶意访问和操作失误的风险。论文详细阐述了 TOMOYO Linux 的设计原理、实现架构（作为 Linux 安全模块 LSM 的扩展）、以及策略描述语言。实验评估表明，该方法在提供增强安全性的同时，对系统性能的影响极小。该研究适合操作系统安全、访问控制策略设计及 Linux 安全加固领域的研究人员和工程师阅读。

本文提出 AgileOS，一个旨在为 GPU 服务提供操作系统级保护层的系统。现代 GPU 应用越来越多地与存储系统、网络设备、供应商库和 GPU 驻留服务交互，而不仅仅是执行隔离的计算内核。这种转变要求对 GPU 服务提供类似操作系统的保护，即服务元数据、设备队列、内存映射 I/O 区域和库内部状态不应直接暴露给不可信的应用内核。然而，当前的 CUDA 编程模型默认赋予应用对其 CUDA 上下文、设备指针、运行时句柄、模块加载路径和内核启动的直接所有权，迫使受保护的 GPU 服务构建自己的临时接口和隔离机制。AgileOS 在库边界对 CUDA 进行虚拟化：应用程序链接客户端 CUDA 运行时、驱动和选定的库垫片，而受信任的运行时工作线程拥有真实的 CUDA 上下文并中介所有支持的操作。为了保护服务状态和模块接口，AgileOS 定义了一种 GPU 内存管理模型，将用户分配与受保护的模块/MMIO 范围分离，通过 PTX 注入实现指针验证和内存访问保护。AgileOS 模块化且灵活，支持多种受保护服务和现有库如 cuFFT 和 PyTorch。原型包括客户端拦截器、工作线程 CUDA 处理器、虚拟化 CUDA 对象表、受保护的 AgileOS 模块、分离用户分配与保护区域的 GPU 内存管理器、选定的可信库适配器以及 PTX 级内核内存保护。本文适合 GPU 安全研究人员、系统架构师和云服务提供商阅读。

这篇论文针对大型语言模型（LLM）代理从简单的请求-响应助手向长期运行的软件参与者演进的趋势，提出了一种名为Agent libOS的运行时系统。长期运行的LLM代理需要在模型调用之间维护状态、分叉子任务、等待外部事件、请求人类授权、动态生成工具并执行可能产生副作用的操作，这些行为必须能够被恢复和审计。然而，现有的代理架构通常将工具分发作为信任边界，缺乏足够的安全隔离和权限控制机制。受库操作系统（Library-OS）启发，Agent libOS运行在传统主机操作系统之上，但不实现硬件驱动、内核隔离或POSIX兼容操作系统。它引入了AgentProcess的概念，将每个代理视为一个可调度的执行主体，拥有进程标识、父子关系、生命周期状态、从AgentImage派生的工具表、类型化对象内存、显式能力（capabilities）、人类队列、检查点、事件和审计记录。其核心设计原则是：工具作为类似libc的包装器，而运行时原语（如文件系统访问、对象访问、睡眠、人类批准、JIT工具注册和外部副作用）则作为权限边界，在显式能力和策略下进行检查。论文详细描述了设计、威胁模型、基于Python的原型实现以及面向安全的评估。当前原型实现了异步调度、命名空间本地对象内存、运行时集成的人类批准、一次性权限授予、每进程工作目录、shell和镜像注册原语、通过libOS系统调用代理实现的Deno/TypeScript JIT工具、文件系统/对象桥接工具、可注入的资源提供者子系统和123个回归测试。Agent libOS并不旨在提高规划器的准确性，而是展示了一个运行时基底，使得长期运行的LLM代理可以被调度、授权、恢复和审计，而无需将工具分发视为信任边界。该工作为构建安全、可控的自主代理系统提供了系统级解决方案，尤其适用于需要长时间运行、权限分离和审计追踪的场景。

本文提出了一种名为 BOUNDARY FLOW 的 LLVM 插桩框架，旨在解决传统覆盖率引导的内核模糊测试（如 syzkaller）仅依赖边覆盖率（trace-pc）而无法区分仅参数值不同的执行路径的问题。例如，copy_from_user() 函数的不同 size 参数会命中相同的基本块，但安全影响截然不同。BOUNDARY FLOW 扩展了 Linux KCOV，在函数入口和返回处捕获结构化的数据流信息：入口处记录 <PC, arg_idx, arg_size, ptr, offsets[]>，返回处记录 <PC, ret_size, ptr, offsets[]>。复合类型通过 DWARF DICompositeType 元数据自动分解，无需任何源代码注释。该框架通过独立的内核设备 /sys/kernel/debug/kcov_dataflow 提供无锁的每任务环形缓冲区，与现有 KCOV 和 syzkaller 基础设施无冲突。其双重用途包括：模糊测试器获得状态感知反馈以引导涉及值依赖的状态转换的变异；安全分析师获得确定性参数记录，无需 printk 或 kprobe 开销即可进行根因分析。此外，一个后编译流水线（rustc, opt, llc）支持 Rust 内核模块插桩，无需修改 rustc，这是目前唯一能在 -O2 DWARF 省略情况下捕获 Rust 函数参数的运行时方法。在五种漏洞类别（OOB、UAF、double-free、10 层深度链传播、Rust FFI、Rust for Linux Modules）上进行了评估，插桩路径的开销低于 3%。

本文提出一种基于清单（manifest）的安全框架，用于在企业级软件系统中实现受限的权限提升委派。大型企业软件通常以低权限服务账户运行以遵循最小权限原则，但仍需少数特权组件（如具有提升所有权、权限或能力的可执行文件）执行窄范围操作。这导致维护期间的安全与运营冲突：自动化补丁工具若无完整管理员权限则无法安全更新特权组件，而手动干预又增加运维负担。作者设计的核心是一个最小化的特权中介（mediator），该中介验证加密保护的元数据（manifest），允许无特权进程仅提升厂商批准的文件。系统通过文件描述符绑定的验证与提升有效缓解了TOCTOU（检查时间到使用时间）攻击，支持离线密钥轮换与撤销，并通过原子替换实现零宕机自更新。该框架已作为大型企业数据库系统（同时服务云部署和本地部署）的生产环境组件部署。实验表明，该系统在保证安全性的同时，显著降低了特权操作的手动干预需求。适合系统安全研究员、DevSecOps工程师及企业软件架构师阅读。

论文《Patchlings: Safety-Preserving Flash-Based Hotpatching for Automotive Microcontrollers》针对现代汽车软件更新周期长、安全法规合规要求高的问题，提出了一种全新的热补丁框架。传统更新方法需要数月重新验证以满足ISO 26262等安全标准，而现有实时嵌入式系统的热补丁方案缺乏对汽车领域特殊需求的支持，例如法规合规性、安全验证以及基于闪存的就地执行（XIP）架构。Patchlings是首个专为汽车系统设计的、兼顾安全合规与持久性的热补丁框架，旨在从根本上缩短漏洞和缺陷的平均修复时间（MTTM）。作者在汽车级硬件平台NXP S32K148EVB上实现了完整原型，并分别在FreeRTOS和Zephyr操作系统上进行了评估。实验结果表明，该框架具有低且确定性的开销（补丁应用时延迟仅3.3微秒），固件体积增加极小（最低6.34%），并能成功修补多种真实CVE漏洞，证明其现实适用性和有效性。该研究填补了热补丁技术在汽车领域应用的空白，为汽车网络安全应急响应提供了新思路。

随着AI代理（AI agent）越来越多地在开发者机器上运行不受信任的代码，例如由语言模型生成的shell命令、运行时检索的第三方脚本以及来源不明的工具插件，现有的隔离机制在适配此类工作负载时存在明显不足。容器和微虚拟机增加了特权、镜像管理和启动开销，而临时的进程控制和包装器（如chroot、ulimit）提供的保证较弱且缺乏系统调用级别的精细控制。为此，本文提出了Sandlock——一个轻量级的Linux进程沙箱，其核心设计围绕一个简单的分离原则：静态、输入无关的策略被编译为内核强制执行的规则，而狭义的监管器（supervisor）负责处理运行时依赖的决策和虚拟化效果。这种分离使得Sandlock能够在不依赖root权限、cgroups、镜像或强制命名空间的情况下，强制执行文件系统、网络、IPC和系统调用策略。此外，它还支持动态网络决策、HTTP级别的访问控制、execve参数的TOCTOU安全检查以及可逆的文件系统效果。在测试工作站上，Sandlock增加了约5毫秒的启动开销，并且在测量噪声范围内使Redis的吞吐量达到裸机水平。其管道操作符进一步支持按阶段隔离，以实现数据、网络和不受信任内容能力的分离。Sandlock已开源（https://github.com/multikernel/sandlock）。本文面向系统安全研究人员、AI平台开发者以及需要为AI代理提供轻量级沙箱的安全工程师。