本研究对谷歌提出的Topics API进行了公开、可重复的评估。该API旨在替代第三方Cookie，通过浏览器根据用户浏览历史推断出少量兴趣主题，供广告商实现定向广告，同时声称保护用户隐私。此前的研究争议集中在数据集真实性和结果可重复性上：部分研究使用小规模用户数据或合成数据，而谷歌自身的结果基于私有数据集。本文利用迄今为止最大的公开真实浏览历史数据集（1207名用户），对最新版Topics API进行了评估。首先测量了用户兴趣随时间的唯一性和稳定性，发现用户的主题分布具有较高唯一性；其次，通过适应先前隐私研究的方法，评估了Topics是否可用于跨站指纹识别。结果表明，广告商仅需观察到用户主题1次、2次、3次，就分别能以46%、55%、60%的概率在网站上唯一重新识别该用户。这说明Topics并未为所有用户提供同等的隐私保护，部分用户更容易被跟踪。论文呼吁网络参与方发布匿名化分布数据，以促进公开可重复的评估。本研究对隐私政策制定者、浏览器开发者及广告技术从业者具有参考价值。

该论文提出了一种新颖的浏览器扩展指纹识别技术，能够绕过传统时间敏感的检测方法。通过利用浏览器扩展的瞬时修改，攻击者可以持续地识别用户安装的扩展，即使这些扩展在正常浏览过程中不会留下持久痕迹。研究展示了如何通过操纵扩展的API行为或临时注入内容来建立独特的指纹，并在多种浏览器和扩展组合上验证了有效性。实验结果表明，该方法能够以高精度识别扩展，且难以被现有防御机制检测。该工作揭示了浏览器扩展生态中一个新的隐私威胁向量。

本文系统性研究了现代CSS动态特性在无脚本指纹识别中的应用，特别是针对浏览器和电子邮件客户端。作者提出了三种创新技术：基于模糊测试的CSS容器查询利用、基于模板的算术函数利用以及复杂选择器利用，能够高精度推断应用、操作系统和硬件配置。在浏览器端，实验测试了1176种浏览器-操作系统组合，区分准确率达97.95%。在电子邮件端，21个测试的网页、桌面或移动邮件应用中有8个可被成功指纹识别，证实了即使在HTML邮件这种高度受限的环境中，指纹识别仍然可能。为了防御此类攻击，作者提出了两种机制：一是预加载条件资源以消除基于特征的泄露；二是设计邮件代理服务，在保留隐私和邮件完整性的同时保持功能兼容性。本文为隐私保护提供了新的见解和解决方案，强调了针对新兴追踪方法的健壮防御的重要性。

低地球轨道（LEO）巨型星座（如SpaceX的Starlink和Amazon的Kuiper）依赖光学星间链路（ISL）实现自主网格路由，为全球提供低延迟通信、物联网和安全服务。随着星座密度增加和多运营商对等组网，ISL完整性对商业可用性和国家安全至关重要。然而，现有实时安全方法仅关注物理层安全，对网络层及复合攻击存在盲点。本文提出一种跨层轻量级行为指纹框架CLIF，该框架在卫星上融合物理层测量（如信号强度、角度）与网络层数据（如流量统计、路由状态），以低计算开销检测异常。作者构建了覆盖Starlink第一壳层（1584颗卫星）、Kuiper壳层（1156颗卫星）以及多运营商联合对等场景（2740颗卫星）的轨道仿真，注入十种攻击类型（包括欺骗、流量操纵、路由颠覆等）并设置不同严重等级。评估了三种基于每颗卫星的无监督检测器，其中基于马氏距离的检测器在Starlink上达到99.5%的召回率，Kuiper上99.4%，多运营商星座上94.8%，同时保持假阳性率（FPR）低于0.7%。结果表明，跨层特征融合不仅对LEO星座的全面安全保护是必要的，而且在大规模网络中具有高成本效益，同时适合资源受限卫星的严格星上能量预算。该研究的核心贡献在于首次系统性地将物理层与网络层数据结合用于LEO星座攻击检测，并在大规模仿真中验证了其有效性与轻量性。

该论文提出了一种针对大型语言模型（LLM）的实例级指纹识别方法FLIPS。当前LLM的指纹识别技术主要服务于知识产权保护，其设计偏向于对实例级参数（如指令提示、采样配置、量化方式等）变化的鲁棒性，然而这导致无法区分同一模型的不同配置。但AI监管要求合规评估针对的是模型实际部署后的行为，而非模型出处。因此，本文提出监管者导向的实例级指纹识别范式，旨在区分同一LLM的不同配置。FLIPS方法利用生成二进制随机序列中的偏差（pseudo-random sequences），通过分析模型对特定伪随机序列的输出分布，构建唯一的指纹。实验在237个模型实例上进行，封闭集（closed-set）识别准确率达96%，开放集（open-set，部分目标未知）准确率达90%，而适配的LLMmap基线仅为35%。结果表明实例级指纹识别对监管既必要又可行。代码已开源。该研究适合AI安全研究者、模型审计人员及政策制定者阅读。

本文研究了大语言模型（LLM）推理系统的指纹识别问题。作者指出，LLM 的行为不仅取决于模型本身，还受推理系统中各组件（如推理引擎、注意力后端和硬件平台）的影响。不同组件的实现存在细微差异，导致同一模型在不同系统上运行时产生微小的数值偏差。尽管已有工作从理论上证明了这些偏差的存在，但尚未探讨其安全影响。本文首次系统地展示这些偏差具有组件特异性，并能传播到可观测的文本输出，从而使得任何能够查询模型的攻击方都能识别出推理系统。基于此观察，作者提出了一种指纹识别方法，通过分析 LLM 的提示-响应行为来识别推理系统中的组件。实验评估表明，即使在非零温度下运行，该方法也能可靠地识别推理引擎、注意力后端和底层硬件平台。进一步分析表明，彻底防止指纹识别在本质上非常困难，因为需要消除硬件和软件栈之间的数值差异。作为替代，作者提出了部分缓解措施并讨论了其效果。本文的核心贡献在于揭示了LLM推理系统的一个新安全风险，即系统组件的暴露可能被用于模型窃取、对抗攻击或环境探测。研究结果对部署LLM的云服务商和终端用户具有重要警示意义，提示需要关注推理基础设施的隐秘信息泄露问题。

本文是一篇针对大型语言模型（LLM）领域内指纹识别与水印技术的综述论文，旨在统一术语、生命周期阶段和评估目标，为LLM资产保护与溯源建立结构化基础。LLM的研发需要大量数据、算力和专业知识，且正被部署于高风险场景，因此保护LLM相关资产并追踪其来源至关重要。现有工作已在数据集溯源、模型所有权验证和生成内容检测等方面快速扩展，但该领域仍存在碎片化现象：指纹识别与水印的术语使用不一致，方法通常仅在孤立的资产特定场景中研究。为弥补这一差距，论文引入“隐式身份”（implicit identity）作为统一抽象概念，指LLM系统中可验证但不可直接观察的身份信号。区分了两种类型：指纹识别（从内在特性中提取的非侵入式身份）和水印（有意嵌入数据、模型或生成内容中的侵入式身份）。基于此，提出了一个生命周期分类法，将技术按数据集、模型和生成内容三个层面组织，并进一步按验证语义（基于相似性的归因VS基于密钥的验证）细分。最后，建立了一个以可识别性、鲁棒性和可部署性为核心的评估框架，总结了在现实访问和变换场景下的代表性指标。通过统一术语、生命周期阶段和评估目标，该综述为研究LLM身份技术以及开发更可靠的资产保护和溯源机制提供了结构化基础。适合LLM安全研究人员、模型开发者、内容归因系统设计者阅读。

本文提出了一种名为Time-Print的新型时序指纹方法，用于对USB闪存驱动器进行身份验证。文章指出，尽管USB端口在计算机系统中无处不在，尤其在气隙高安全环境中广泛使用，但USB设备面临固件篡改等安全威胁。现有防御措施要么需要用户交互，要么依赖不兼容旧设备的硬件支持，或者使用易被攻击者篡改的设备标识符。Time-Print完全基于软件，无需额外硬件，通过测量从USB驱动器不同位置执行一系列读操作的时间变化来生成独特的时序指纹。该方法利用不同USB设备（甚至同一品牌型号）之间读操作时间的微小差异来实现身份识别。作者对超过40个USB闪存驱动器进行了实验，结果表明：Time-Print能够以超过99.5%的准确率识别已知/未知品牌型号的USB设备；以95%的准确率识别同一品牌型号的已见/未见设备；并以平均98.7%的准确率分类同一品牌型号中的不同设备。该方法的低开销和纯软件特性使其易于部署，特别适用于气隙环境等对安全要求极高的场景。本文对于关心USB设备认证、硬件安全及侧信道攻击防御的安全从业者具有重要参考价值。

本文提出一种基于字符串学（Stringology）的指纹框架（SBF），用于对加密序列进行结构性分析。传统上，加密原语（如流密码、伪随机数生成器PRNG、分组密码模式）产生的序列通过统计随机性测试来评估质量，但这些测试仅验证全局统计特性，无法揭示序列的结构特征与底层生成器的关系。SBF框架将加密输出视为符号字符串，应用基于模式的特征提取方法，捕获子串频率分布、重复模式、熵特性等结构统计量，并将这些特征聚合为指纹向量，以表征不同的序列生成器。实验使用了密码生成序列（CGS）和均匀随机序列（URS）数据集。结果表明，基于字符串学的模式分析能够揭示不同序列源之间可测量的结构签名。虽然这些信号不暗示实际的密码学弱点，但它们为评估加密生成器的结构行为提供了额外的分析视角。本文主要贡献在于提出了一种新的加密序列分析维度，适用于密码学研究人员和安全分析师，尤其是那些关注序列生成器内部结构特征的群体。

本研究探讨了基于 LLM 的浏览器代理在执行网页任务时，其行为模式是否可被网站被动识别以推断底层模型身份。作者针对 14 个前沿 LLM（如 GPT-4、Claude 等）和四种网页环境（包括信息检索和购物任务）进行了实验。通过被动 JavaScript 跟踪器捕获代理的鼠标点击、滚动、键盘输入等交互动作及时间间隔，训练分类器识别模型来源，最高达到 96% F1 分数。研究形式化了这一攻击面：分类器跨模型尺寸和家族具有泛化能力；仅需少量交互轨迹即可训练强分类器；且可在任务早期推断出模型身份。为防御该攻击，作者尝试在动作间注入随机时间延迟，但攻击者可通过在延迟轨迹上重新训练分类器恢复性能。文章公开了实验代码和数据集。该工作揭示了 LLM 浏览器代理的隐私风险：即使不查看模型输出内容，仅凭行为指纹即可泄露模型信息，可能被用于针对特定模型漏洞的定向攻击。对于安全从业者，需关注此类侧信道泄漏对用户代理的隐私威胁。

该论文提出了一种隐私保护的数据库指纹识别机制。针对数据库在共享过程中可能被恶意接收方非法分发或篡改的问题，传统指纹技术往往需要在数据库中添加扰动标记，但这可能泄露用户隐私或降低数据可用性。作者引入差分隐私（DP）概念，设计了一个入门级差分隐私指纹识别机制，通过向数据库注入满足差分隐私的噪声来实现指纹嵌入，从而在保护隐私的同时确保指纹的鲁棒性。论文从理论上分析了隐私预算、指纹鲁棒性与数据库效用三者之间的权衡关系，推导了闭式表达式以指导参数选择。此外，针对同一数据库需要分发给多个接收方的场景，作者提出了一种基于稀疏向量技术（Sparse Vector Technique, SVT）的方案，用于控制累积隐私损失，避免因多次分发导致隐私预算耗尽。实验结果表明，该机制在指纹鲁棒性方面表现优异：即使恶意接收方修改或扭曲超过一半的数据库条目，指纹仍无法被移除或破坏；同时，与多种基线方法相比，该机制在数据库效用（尤其是应用相关的效用指标）上具有明显优势。该研究为需要在数据共享中实现版权保护与隐私兼顾的场景提供了新的解决思路。