该论文提出了一种名为QUACK的框架，旨在自动防御托管语言中的反序列化攻击。反序列化漏洞广泛存在于PHP、Java等语言中，攻击者通过篡改序列化对象，利用现有代码片段（gadgets）形成利用链。QUACK的核心思路是通过静态鸭子类型推断技术，自动计算并限制反序列化过程中允许使用的类集合，从而大幅减少可被攻击者利用的代码量。具体而言，QUACK在程序源码中静态收集所有反序列化后对象被操作的位置（如方法调用、属性访问等），并基于这些操作的类型约束推断出运行时应该允许的类列表，生成对应的过滤规则。作者以PHP语言实现了QUACK原型，并在多个已知CVE的应用以及GitHub上的流行项目上进行了评估。实验结果表明，QUACK能够在不影响应用正常功能的前提下，平均阻止97%的潜在gadget代码（即可被用于构造利用链的代码片段）。此外，作者将QUACK生成的三个修复示例作为pull request提交给原项目开发者，均被合并，证明了其实际可用性。该研究为反序列化防护提供了一种自动化、轻量级的静态分析方案，适合安全开发人员和安全研究员阅读。