该论文研究了去中心化自治组织（DAO）中反富豪投票机制的有效性问题。在典型的DAO治理中，投票权与代币持有量成正比，这导致少数大户集中控制权，从而引发基于代币控制的治理攻击。社区因此转向反富豪投票机制，如二次投票（QV），旨在通过赋予每个代币次线性投票权来削弱大户的影响力。然而，论文通过建立包含区块链现实摩擦（如按钱包拆分和投票成本、固定设置成本、最小余额要求）的链上投票成本模型，证明在无许可区块链上，任何仅从钱包余额派生投票权的规则都无法成功防止Sybil攻击。具体地，论文证明：无论采用何种成本方案，只要任意大小的钱包具有非零投票权，Sybil攻击者通过将代币拆分到多个钱包即可实现至少与代币持有量成正比的投票权增长。对于实际提出的用于抑制治理权力的凹函数规则（单调递增、有限且正值），最优策略下的投票权在代币持有量上渐近线性。将模型应用于真实DAO（ENS、Compound、Uniswap、Arbitrum、ZKsync）的数据，发现攻击成本远低于风险资产价值。作者重放了这五个DAO最近十个最终提案的投票过程，在线性、二次、对数和幂（β=0.25）投票规则下，测得二次投票的Sybil放大因子在1172倍至4039倍之间，而在更陡峭的幂规则下超过229000倍。因此，论文从根本上质疑了当前主流反富豪机制的有效性，对DAO治理安全设计具有重要理论指导意义。

后量子密码（PQC）就绪已成为关键基础设施面临的紧迫挑战，但现有障碍更多来自密码可见性不足、依赖关系复杂和治理碎片化，而非算法本身的缺失。本文以欧洲一家关键服务提供商为匿名案例，详细描述了其采用“先发现后迁移”策略推进PQC就绪的实践经验。该组织首先利用自动化工具对全网络进行密码资产清点，建立基于证据的基线，包括算法类型、密钥长度、使用场景、生命周期等。发现阶段揭示了三大系统性挑战：1）密码资产所有权高度分散，各部门缺乏统一管理；2）遗留系统与现代环境中的证据质量参差不齐，部分老旧系统文档缺失；3）严重依赖第三方供应商的密码路线图，可控性低。为将这些发现转化为可操作的风险缓解措施，组织设计了一套结构化的暴露登记册（exposure register），将资产关键性、机密数据保密期限（如需要保持机密超过10年的数据更易受“先收获后解密”攻击）、以及迁移可行性三个维度结合，对密码资产进行优先级排序。作者由此提出核心论点：PQC发现不应仅被视为技术清点工作，而应上升为一种治理能力——它能够稳定组织关于密码使用的知识，将模糊的不确定性转化为可衡量的责任主体，从而支撑基于风险的决策和跨团队协调。案例表明，即使不立即启动算法替换，建立系统的发现与暴露优先级框架也能显著提升组织的密码敏捷性。本文适合安全架构师、CISO、网络风险管理者和政策制定者阅读，为大型机构应对后量子过渡提供了可复用的治理方法论和实操经验。

该论文提出了一种通过分析链上投票行为来检测去中心化自治组织（DAO）内部党派社区形成的方法，以预判组织分裂（分叉）事件。作者从治理智能合约中提取投票事件，构建投票者矩阵编码参与模式，并通过成对相异性分析量化地址之间的意识形态分歧。利用多维尺度分析（MDS）可视化关系，结合轮廓系数优化的k-means聚类识别党派社区。以Nouns DAO为案例（该协议经历过多次分叉），研究表明将在分叉中分裂的地址在实际分叉事件前数月就已聚类在一起。对从合约部署到第一次大分叉的330个提案的分析显示，90%的分叉地址在最后44个提案中聚类，而随机数据中仅为47%。结果表明，通过链上治理分析可以检测并可视化党派社区，在组织分裂前提供早期预警。

本文提出一个将网络安全治理框架（如NIST CSF）转化为可操作的缓解决策的系统。核心挑战在于治理框架虽能评估组织成熟度，但无法直接指导在资源约束下对防御策略进行选择和优先级排序。该方法首先将CSF成熟度评估映射到MITRE ATT&CK缓解能力，使组织安全态势与以攻击者为中心的防御规划直接集成。为了处理对手行为的复杂性，采用可变阶马尔可夫模型（VOMM）在观察到的ATT&CK技术序列上训练，以在深度强化学习（DRL）环境中实现可扩展的对手模拟。通过集束搜索重构可能的攻击路径和防御响应，然后在明确预算约束下联合优化缓解措施的选择。该环境支持并发对手和现实缓解成本。实验在多种奖励设定和配置下表明，该方法能产生稳定的策略、有意义的成本-风险权衡以及与组织成熟度一致的可解释缓解计划。研究证明了攻击者感知的DRL能够生成基于实际框架和威胁行为的、资源受限的实用防御策略。

随着大语言模型（LLM）驱动的自主智能体越来越多地相互交互、协作和委托任务，工业界关于智能体系统治理的指南强调用户需要对其智能体保持全面控制，以减轻恶意智能体可能造成的损害。现有的一些智能体系统设计方案虽然涉及智能体身份、授权和委托，但大多停留在理论层面，缺乏具体的实现和评估，更重要的是它们没有提供用户可控的智能体管理机制。为了填补这一空白，本文提出了 SAGA（Scalable Security Architecture for Governing Agentic systems），一个可扩展的安全架构，旨在为智能体系统提供用户监督。该架构中，用户在一个中心化的 Provider 处注册其智能体，Provider 维护智能体的联系信息、用户定义的访问控制策略，并帮助智能体在智能体间通信中强制执行这些策略。SAGA 引入了一种基于密码学的访问控制令牌派生机制，提供对智能体与其他智能体交互的细粒度控制，并具有形式化安全保证。作者在多种智能体任务场景下对 SAGA 进行了评估，使用了位于不同地理位置的智能体以及多种端侧和云端 LLM，结果表明在广泛条件下，SAGA 带来的性能开销极小，且不影响底层任务效用。该架构能够实现安全可信的自主智能体部署，加速敏感环境中该技术的负责任采用。