本文提出了一种面向部署的可解释人工智能辅助 eBPF/XDP 缓解框架，专门针对物联网边缘网关设计。物联网环境由异构、资源受限的设备组成，这些设备安全配置薄弱、服务暴露、日志记录有限、补丁更新困难且生命周期长。传统的基于签名和阈值的控制方法在动态物联网网络中作为独立机制是不够的，而离线人工智能基准性能无法直接转化为实际部署能力。为此，本文设计了一个概念框架和研究路线图，该框架在基于 Linux 的物联网边缘网关上实现资源感知的流级人工智能辅助风险评分、事件级可解释性以及通过 eBPF/XDP 进行的有限缓解。控制器应用可逆、有时间限制的动作，并包含关键设备保护机制，更新数据包级执行状态并记录结构化日志。架构将用户空间的复杂推理和策略控制与内核中简洁的数据包处理决策分离。此外，还定义了未来硬件感知评估路径，涵盖检测质量、资源成本、响应时间、回滚行为以及合法流量保留等方面。本文未报告新的实验结果，但为后续研究和实际部署提供了理论框架。

该论文聚焦于Linux内核扩展程序eBPF的安全迁移问题。eBPF程序被广泛用于网络、可观测性及安全策略执行，但其内核验证器仅检查低级内存安全和终止性，未强制许多高级源级属性，如初始化规则、schema一致性或错误处理。作者识别出六类源级bug，这些bug能够通过编译和内核验证，但会导致数据静默损坏、将先前跟踪的事件泄露至用户空间，或产生错误的执行结果。其中，作者发现了十款开源eBPF程序中此前未报道的信息泄露：这些程序中的环形缓冲区或栈驻留事件记录会将完全可解码的先前跟踪事件（包括用户标识路径和足以恢复每个事件KASLR偏移的内核返回地址）泄露到用户空间。为加固这些被验证器接受的缺陷程序并支持安全迁移，作者提出了Heimdall——一个自动化流水线，利用大语言模型（LLM）将遗留的libbpf C程序翻译为基于Aya Rust的eBPF程序。Heimdall迭代修复编译和内核验证失败，通过静态分析安全引擎拒绝Rust-Aya中不安全的逃逸机制，并借助符号执行和Z3等价性检查逐程序证明翻译后程序与原始程序行为等价。在102个eBPF程序上的实验表明，Heimdall成功生成了96个经形式化验证等价（94.1%）的翻译版本。Heimdall是首个能够自动化地将生产级eBPF程序迁移到内存安全语言，并为每个翻译程序提供形式化保证保持可观测行为的系统。

WOOTdroid 是一种面向 Android 原生系统的全设备在线追踪方案，旨在解决现有系统审计面临的两大问题。第一，现有系统调用追踪器（如 ftrace）在负载较高时无法及时读取事件，导致缓冲区溢出，造成事件静默丢失。第二，Android 中安全相关的应用行为通过 Binder（内核 IPC 机制）进行，而内核看到的 Binder 数据包（parcel）不包含方法名或类型化参数，导致底层事件与高层语义之间存在“语义鸿沟”。现有方案要么修改 Android 框架（难以适配系统更新），要么在用户态插桩追踪应用（易被绕过）。WOOTdroid 不需要 OS 修改或应用插桩，包含两个核心组件：WDSys 和 WDBind。WDSys 是将 eAudit 风格系统调用审计移植到 eBPF 的实现，可在当前 Android 系统上运行，Geekbench 开销不超过 3.6%，且相比 ftrace 可多追踪 33% 的系统调用。WDBind 在内核中捕获 Binder 数据包，并通过 Java 反射提取的框架签名表在进程外解码。作者在运行 Android 16 的 Pixel 9 设备上进行了端到端案例研究，成功重建了十个安全相关的 Binder 事务。该工作为 Android 安全监控提供了低开销、高语义还原度的新途径。