该论文针对 Kubernetes 生态中第三方应用因过度 RBAC 权限而面临的安全威胁展开研究。Kubernetes 采用 RBAC 机制管理资源访问权限，而第三方应用常被授予超出实际所需的最低权限，从而引入安全风险。已有攻击假设攻击者通过容器逃逸攻陷工作节点，但在真实场景中实现难度较大。本文在此基础上提出一种攻击条件更简单的过度权限攻击：攻击者只需攻陷一个 Pod（难度低于攻陷工作节点），即可利用某些过度权限（如创建 Pod、挂载节点文件系统等）进一步控制工作节点、破坏其他 Pod 的可用性或数据机密性。针对此类威胁，当前缺乏有效的自动化检测手段。为此，作者提出 EPScan 方法，通过新颖的 Pod 导向程序分析，综合利用多种技术精确识别每个 Pod 中运行程序的资源访问行为，并与 Pod 配置文件中声明的权限进行比对，最终报告可被滥用于发起过度权限攻击的可利用权限。EPScan 在来自 CNCF 项目的 108 个第三方应用上进行了评估，以 94.6% 的精确率发现了 50 个应用中 106 个 Pod 的未知可被利用过度权限，并已获得 9 个 CVE 编号。该工作填补了 Kubernetes 第三方应用权限自动化检测的空白。