本文提出了 MGTBench，一个用于评估机器生成文本 (MGT) 检测方法的统一基准测试框架。随着以 ChatGPT 为代表的大型语言模型 (LLM) 在文本分类、情感分析、翻译、问答等 NLP 任务中展现出强大能力，机器生成文本的检测变得日益重要。这些模型能够生成与人类写作难以区分的语言，引发了关于真实性、责任归属和潜在偏见的担忧。然而，现有的 MGT 检测方法在模型架构、数据集和实验设置上各不相同，缺乏全面的评估体系。MGTBench 旨在填补这一空白，通过标准化评估流程，系统比较不同检测方法（包括统计、神经网络和基于水印的方法）在多种 LLM（如 GPT-2、GPT-3、ChatGPT、LLaMA 等）生成文本上的性能。实验覆盖了不同领域、长度和语言的数据集，揭示了当前检测方法在面对强大 LLM 时的局限性，例如对 GPT-3.5 和 GPT-4 的检测准确率显著下降。主要贡献包括：提出了一个统一的评估框架；提供了多种检测算法和生成模型的标准化实现；分析了检测性能与文本长度、语言、领域等因素的关系；为未来研究提供了基准和方向。该工作对于理解 LLM 生成文本的检测挑战具有重要参考价值，适合 NLP 安全研究者、AI 伦理研究者及需要部署文本真实性验证的系统开发者阅读。

该研究提出一种低成本、高效的reward hacking检测方法，针对强化学习（特别是基于人类反馈的强化学习，RLHF）中奖励模型被操纵的问题。核心方法：训练一个小型Transformer编码器，将Terminal-Wrench环境中的轨迹映射到单位球面上的嵌入向量，使得嵌入之间的距离近似于奖励信号与元数据信号之间的L1距离。然后在该嵌入之上训练一个线性探针（linear probe）来检测reward hacking。实验在清理后的测试集上取得了AUC 0.9467和TPR@5%FPR 0.8296的性能，与使用LLM作为评判器（LLM-as-judge）的基线方法（AUC 0.9510，TPR@5%FPR 0.7130）相当，但前者在每轨迹计算成本上低了约四个数量级。此外，作者验证了编码器并非纯粹的“行为阅读器”：如果在线性探针输入时去除自然语言推理部分（即仅使用不含语言特征的嵌入），AUC降至0.6213，表明语言推理能力对检测至关重要。该方法为在部署前或持续监控中高效筛选可疑轨迹提供了实用工具。

本研究针对大型语言模型（LLM）通过托管API部署时面临的模型提取攻击威胁。模型提取攻击中，攻击者通过发送大量查询来窃取或复制目标模型的功能，但单个查询往往与正常用户请求难以区分。现有检测方法多基于单条查询异常评分或纯良性用户与攻击者用户分类场景，缺乏对混合多用户流量中攻击的有效检测。本文提出一种简单有效的检测方法：将传入查询嵌入语义空间，然后利用最大均值差异（MMD）检验其聚合分布是否偏离历史良性流量。具体地，仅通过良性流量之间的比较来设定决策阈值，无需攻击样本。在四种提取场景、十四个攻击者-正常查询对上的实验表明，该方法在三种随机种子下实现了0.3%的良性假阳性率、100.0%的纯攻击者检测率、90.5%的平均攻击者检测率和95.1%的平衡准确率。与PRADA、SEAT、CAP、DATE和边际马氏距离等基线方法相比，该方法效果显著。代码已开源。本文核心贡献在于将模型提取检测视为良性校准的流量窗口分布测试问题，并证明了简单方法在混合多用户环境下的有效性。适合关注LLM安全、模型窃取防御的研究人员和工程师阅读。

Find out how Elastic Security ingests Google Threat Intelligence for continuous detection and uses AI-driven workflows to enrich alerts in real time, from API key to live detections in minutes.

该论文研究了基于输入/输出（I/O）行为的勒索软件检测技术的局限性。作者首先指出，现有检测技术通常假设勒索软件与良性程序在行为上存在显著差异，并通过监控用户空间的I/O行为应用自定义启发式规则进行识别。然而，通过对良性程序和勒索软件的实际行为进行对比分析，发现两者之间的行为界限模糊，勒索软件可以在遵循良性程序行为模式的情况下完成其加密目标。为了验证这一发现，作者提出了一种名为Animagus的模仿型勒索软件攻击方法。Animagus首先从良性程序中学习行为模式，然后生成并编排子进程，以与良性程序相同的行为执行加密任务。作者评估了Animagus对六种最先进的勒索软件检测技术的有效性，结果表明Animagus能够成功规避这些防御。文章还深入分析了现有检测技术失效的原因，以及Animagus与现有勒索软件样本的差异。最后，讨论了潜在的应对措施以及检测工具可以从这项工作中获得的益处。该研究对安全社区理解勒索软件检测的边界和挑战具有重要意义。

本文针对大型语言模型（LLM）面临的提示注入攻击威胁，提出了一种部署感知的评估框架，用于比较多种检测方法在不同部署条件下的表现。现有检测方法通常在有限设定下评估，未反映真实操作约束。作者构建了多模型、多场景的实验框架，涵盖词法、语义、结构以及基于Transformer的检测器，并在多种分布外设置、重复数据划分以及排名和阈值化部署指标下进行评估。论文引入了可解释的结构信号，用于捕捉层次覆盖、系统提示欺骗、角色重定义和规避模式等攻击特征，并评估了这些信号在稀疏模型中以及结合强编码器基线时的贡献。实验结果表明，检测性能高度依赖于部署场景，且对阈值选择敏感，没有任何单一模型在所有设定下表现最优。基于Transformer的模型整体性能最强，结构信号在特定场景下提供了适度但一致的优势，并在更困难的任务中改善了低误报率情况。这些发现揭示了排名性能与部署有效性之间的差距，强调了在实际操作约束下评估提示注入防御的重要性。代码将开源。

Tycoon 2FA bypasses MFA on Entra ID and Google Workspace. We map telemetry fingerprints across both platforms, ship detection rules for both tiers, and contain incidents in under 10 seconds with Elastic Workflows.

以太坊智能合约的重入漏洞曾导致重大经济损失，为此社区开发了多种自动化重入检测器。然而，这些检测器由于检测规则粗糙，频繁产生大量误报，常将受抗重入模式保护的合约误判为存在漏洞。因此，迫切需要开发专门的自动化工具来辅助检测器准确识别抗重入模式。现有代码分析技术虽在特定任务上有潜力，但在识别抗重入模式时仍面临挑战，主要因为抗重入模式的特征复杂多样，且缺乏对这些特征的先验知识。本文提出 AutoAR，一种自动化识别系统，用于探索和识别以太坊合约中常见的抗重入模式。AutoAR 利用专门的图表示 RentPDG，结合数据过滤方法，从大量合约中有效捕获与抗重入相关的语义。基于提取的 RentPDG，AutoAR 采用集成图自编码器和聚类技术的识别模型，专门用于精确识别抗重入模式。实验结果表明，AutoAR 能以 89% 的准确率辅助现有检测器识别 12 种常见抗重入模式；集成到检测流程后，误报率降低超过 85%。该工作为智能合约安全分析提供了新的思路，有望提升重入漏洞检测的精度，减少人工审计负担。

该论文提出了一种针对勒索软件检测的实用多阶段方法，旨在解决现有检测方案在监控文件系统活动时产生的I/O开销问题。作者首先分析了勒索软件的行为特征，即大量加密操作导致高频率的I/O事件。为了在检测准确性与系统性能之间取得平衡，他们设计了一个两阶段检测框架：第一阶段利用轻量级行为检测器快速筛选可疑进程，第二阶段对可疑进程进行深度分析，使用更复杂的特征如文件熵变化和加密模式识别。实验在真实环境下的数据集上进行，包括多种勒索软件家族和良性软件。结果表明，该方法在中等系统负载下几乎不引入额外性能开销，在高负载下也仅产生可接受的开销，同时实现了高检测率和低误报率。论文的关键贡献在于提出了一种兼顾实时性和资源效率的检测架构，适合部署在资源受限的端点或服务器上。

本文提出了一种名为 ERW-Radar 的适应性检测系统，旨在应对日益复杂的逃避型勒索软件。这类勒索软件通过模仿良性程序或减弱加密过程中的恶意行为来规避传统杀毒软件和检测系统，导致现有防御手段效果有限。作者通过大量观察发现，逃避型勒索软件在加密过程中 I/O 行为表现出独特的重复性，而这种重复性在良性程序中很少出现。此外，利用 2 检验和字节流概率分布可以有效区分加密文件与良性修改文件。基于这些发现，ERW-Radar 系统实现了三个关键创新：1）一种上下文关联机制，用于检测恶意行为；2）一种细粒度内容分析机制，用于识别加密文件；3）自适应机制，以在准确性和效率之间获得更好的平衡。实验结果表明，ERW-Radar 对逃避型勒索软件的检测准确率达到 96.18%，误报率为 5.36%，CPU 和内存的平均开销分别为 5.09% 和 3.80%。该系统为勒索软件检测领域提供了新的思路，尤其适用于对抗具有逃避能力的变种。

Elastic Security is the first security vendor to ship an interactive UI in AI tools. Triage alerts, hunt threats, correlate attack chains, and open cases, all from inside your AI conversation.

This research analyzes the Linux kernel privilege escalation vulnerabilities Copy Fail and DirtyFrag, which exploit subtle page cache corruption bugs to create reliable paths to root access. Additionally, Elastic Security Labs is releasing detection logic for these vulnerabilities.

This article shows how a customized Elastic Security ES|QL detection rule can identify web server probing and fuzzing activity in Traefik logs and automatically block the attacking IP via Cloudflare.

本文提出了一种名为Hopper的横向移动检测系统。在企业网络攻击中，攻击者常在初始入侵后通过横向移动访问更多内部机器。Hopper利用企业常见的登录日志，构建内部机器之间的登录活动图，然后识别异常的登录序列。为了理解每个登录的上下文，Hopper使用推理算法识别每个登录所属的移动路径以及执行路径登录的因果用户。结合推理算法、检测规则和新的异常评分算法，Hopper能够高亮最可能反映横向移动的登录路径。在包含超过7.8亿次内部登录的15个月企业数据集上，Hopper在300多个真实攻击场景（包括一次红队攻击）中达到了94.5%的检测率，平均每天产生少于9个警报。相比之下，为了检测相同数量的攻击，先前最先进的系统需要产生近8倍的误报。

该论文首次系统评估了现代安全日志标准的检测效能。针对当前日志标准（CIM、OCSF、ECS）在捕获关键攻击指标方面的相对有效性缺乏实证研究的问题，作者提出了一种基于自动化安全利用遥测收集（SETC）框架的新型评估方法。SETC 在容器化环境中系统生成可重现的利用场景，收集多种日志标准下的丰富遥测数据。通过涉及50种不同远程代码执行漏洞的详细实验，作者量化了每种日志标准的检测效能，指标包括遥测完整性和利用可检测性。研究结果识别了关键差距，并揭示了不同日志标准在捕获攻击指标能力上的显著差异。该工作贡献包括：一种可扩展且可重现的利用遥测分析评估方法，以及为安全从业者提供基于证据的日志标准采纳指导。

REF3076 uses a trojanized Logitech installer to deploy TCLBANKER, a Brazilian banking trojan with environment-gated payloads, WPF fraud overlays, and self-propagating WhatsApp and Outlook worm modules.

该论文提出了一种名为 NetRadar 的新型检测系统，专门针对地毯式轰炸 DDoS 攻击（Carpet Bombing DDoS）。地毯式轰炸 DDoS 是一种分布式拒绝服务攻击，攻击者通过大量 IP 地址和端口同时向目标发送低流量请求，使得传统基于流量阈值的检测方法难以有效识别。现有检测方法通常依赖于单个网络节点的观测，但地毯式轰炸攻击的流量分散且隐蔽，容易绕过防御。NetRadar 的核心思想是利用多节点网络感知和时域-空域关联分析，通过在网络中的多个监测点收集流量数据，并基于时序和空间相关性来聚合异常信号。该方法能够从海量背景流量中提取出分散的攻击流量片段，从而准确识别攻击。实验基于真实网络流量和模拟攻击场景，结果表明 NetRadar 在低误报率下实现了高检测率，尤其能够应对攻击者将流量均匀分散到大量源 IP 和源端口的策略。该工作为应对日益复杂的大规模 DDoS 攻击提供了新的思路，对 ISP 和大型企业网络的防御具有实际参考价值。

本文针对商用深度学习服务中的对抗样本检测问题，提出了一种名为“建设性噪声”的新型防御方法。该方法通过向输入数据添加精心设计的噪声，使得正常样本和对抗样本在模型内部表示上产生可区分的差异，从而有效检测出对抗扰动。核心思路是利用噪声的构造性来对抗攻击者的破坏性噪声，通过设计一个噪声生成网络，使其输出与模型决策边界对齐，增强正常样本的鲁棒性同时放大对抗样本的异常特征。实验在多个商用DNN服务（如云端分类API）和标准数据集上进行，结果表明该方法能在保持较低误报率的前提下，显著提升对抗样本的检测率，且对多种攻击算法（如FGSM、PGD、C&W）具有泛化能力。主要贡献包括：1) 提出一种无需修改原始模型的新型检测框架；2) 设计了噪声构造与融合机制；3) 在真实商用场景中验证了有效性。适合从事AI安全、对抗机器学习防御的工程师与研究人员阅读。

Elastic Workflows is generally available in 9.4, bringing production-ready security automation with deeper case management integration, human-in-the-loop support, natural language authoring, and more.

Elastic Security v9.4 introduces Entity Analytics Watchlists, a way to codify what your team already knows about high-risk entities and feed that context directly into risk scoring, without custom pipelines or detection engineering overhead

Introducing AI-generated hunting leads, proactive, environment-aware threat hypotheses powered by Elastic Entity analytics and integrated AI reasoning.

Most entity analytics systems are confidently wrong. They track users who do not exist, generate risk scores built on noise, and call it behavioral analytics. Learn why the entities records you don't create matter as much as the ones you do and how a confidence-tiered model changes the game.

Elastic Security now lets analysts describe a threat behavior in plain language and receive a complete, validated Elasticsearch ES|QL detection rule in return, no query expertise required.

Conversational Entity Analytics delivers Entity Analytics features as rich inline attachments and Canvas previews into Agent Builder, so you don’t have to leave the conversation.

Elastic Security 9.4 introduces skills, modular AI capabilities that teach the Elastic AI Agent how to detect, investigate, and hunt like a specialist. This is how they work, and why they matter for the SOC.

Learn how to perform distributed, real-time Digital Forensics and Incident Response (DFIR) using Osquery and Elastic to investigate threats at scale without relying on disk imaging.

本文针对持续集成（CI）服务平台上日益猖獗的非法加密货币挖矿行为（称为 Cijacking）进行了系统研究。与以往浏览器端挖矿劫持不同，Cijacking 将挖矿活动伪装成正常的 CI 作业，如容器镜像构建和测试，使得检测更加困难。研究者通过分析攻击者必须指定的关键挖矿信息（如钱包地址和矿池域名），从 GitHub 仓库和 CI 平台日志中恢复了攻击痕迹，共发现 1,974 个 Cijacking 实例，涉及 12 种不同加密货币、30 个攻击活动，波及 11 个主流 CI 平台。研究还揭示了攻击策略随平台防护措施演化的过程、挖矿作业的持续时间（长达 33 个月）及其生命周期，并估算出攻击者每月收益超过 2 万美元。为应对这一威胁，作者提出了一种名为 Cijitter 的创新防御技术，通过在 CI 工作流执行中策略性地注入延迟，不成比例地惩罚需要在时间约束下完成一系列任务的挖矿作业。实验评估表明，Cijitter 能显著压缩矿工收益至无利可图，同时对正常 CI 作业性能影响极小（94.3% 的 CI 作业延迟增加低于 10%）。该研究为 DevSecOps 社区提供了重要的威胁情报和实用缓解方案。

How we built an open-source, drop-in CI template that uses signal extraction and LLM reasoning to catch CI/CD abuse in GitHub Actions, GitLab CI, and Azure DevOps pipelines.

本文介绍了一个名为 MGTEVAL 的可扩展平台，用于系统评估机器生成文本（MGT）检测器。尽管 MGT 检测领域取得了快速进展，但现有的评估工作往往因数据集、预处理方法、攻击方式和评估指标的碎片化，导致结果难以比较和复现。MGTEVAL 将评估流程组织为四个核心组件：数据集构建、数据集攻击、检测器训练和性能评估。该平台支持通过可配置的大语言模型（LLM）生成 MGT 来构建自定义基准测试，对测试集应用 12 种文本攻击，通过统一接口训练检测器，并报告检测器的有效性、鲁棒性和效率。平台提供命令行和 Web 两种交互界面，用户无需修改代码即可进行便捷的实验。论文的主要贡献在于提供了一个标准化、模块化的评估框架，有助于推动 MGT 检测领域的可复现研究和公平比较。适合从事生成文本检测、对抗样本分析以及 LLM 安全评估的研究人员和工程师阅读。