在 Linux 内核安全领域，动态测试工具（如 fuzzing）已加速漏洞发现，但这些工具生成的报告通常只展示触发漏洞时的单一错误行为（如空指针解引用、缓冲区溢出等）。安全分析师依赖该错误推断漏洞的可利用性，进而决定漏洞修复优先级。然而，同一漏洞通过不同路径或在不同上下文中触发，可能表现出多种不同的错误行为，从而影响其利用潜力的评估。仅凭单一报告可能低估漏洞风险。 为解决该问题，本文提出 GREBE（内核模糊测试工具），其核心创新在于对象驱动（object-driven）的内核模糊测试技术。与传统的代码覆盖率驱动的 fuzzing 不同，GREBE 聚焦于有 bug 的代码片段，通过智能变异输入来探索各种上下文和路径，使同一漏洞展现多种错误行为。具体而言，它通过分析漏洞代码访问的内核对象及其状态，生成多样化的测试用例，以触发不同错误表现。 实验在 60 个真实 Linux 内核漏洞上评估 GREBE。结果显示，相比原始报告，GREBE 平均为每个漏洞额外发现超过 2 种错误行为；其中 26 个漏洞被揭示具有更高的利用潜力（即可能被攻击者利用）。此外，研究人员将部分被误判为低风险的漏洞报告给内核厂商，促使厂商紧急应用补丁。 论文的主要贡献在于：1）提出一种新的内核 fuzzing 思路，从单一错误扩展到多错误行为评估；2）设计并实现对象驱动的模糊测试框架；3）通过大规模实验证明该方法能显著提升漏洞利用性评估的准确性。适合内核安全研究人员、漏洞分析师以及 SOC 团队阅读，以改进漏洞优先级排序。

内核去臃肿（Kernel debloating）是一种通过减少内核攻击面来缓解操作系统内核安全问题的实用机制。现有的去臃肿方法通常基于应用程序的动态执行轨迹，移除未被应用程序调用的内核函数。然而，动态轨迹无法保证覆盖全部执行路径，可能导致错误移除必要函数，从而引发系统崩溃或功能缺失。本文提出 Hacksaw，一种基于硬件设备清单的内核去臃肿新机制。Hacksaw 通过确定目标机器上连接的硬件组件以及管理这些组件的设备驱动程序，精确地移除不活动的设备驱动及其关联的内核模块和函数。它采用三种依赖分析方法：调用图分析（call-graph）、驱动模型分析（driver-model）和编译单元分析（compilation-unit），确保移除操作的正确性和完整性。实验评估显示，Hacksaw 平均移除了45%的不活动内核模块和30%的不活动内核函数，同时保证了系统的有效性和兼容性。该方法独特之处在于将内核去臃肿从应用依赖转向硬件依赖，从根源上避免了假阳性问题，为系统安全加固提供了新思路。

这篇论文针对内核驱动测试的痛点——绝大多数驱动因缺乏对应硬件或模拟器而无法被有效测试——提出了一种无需硬件设备和模拟器的语义感知驱动模糊测试方法。当前驱动测试高度依赖物理设备或硬件模拟器，导致覆盖范围严重受限，大量驱动（如Linux内核中数十万驱动）长期未经充分验证，成为内核安全的主要威胁。作者认为，驱动输入不仅来自用户空间，还来自硬件，因此传统的纯用户态模糊测试无法深入驱动核心逻辑。该方法的核心创新在于：通过静态分析提取驱动与硬件交互的语义规范（如寄存器访问顺序、I/O端口范围、DMA描述等），并利用这些语义信息自动生成高保真的合成硬件响应，使得驱动可以在无真实硬件的环境下运行，同时触发深层路径。具体实现包括：1）从驱动源码中推断硬件接口语义；2）构建轻量级虚拟硬件层，按语义规则回放硬件行为；3）结合覆盖引导的模糊测试引擎，驱动多维度输入变异。实验在Linux内核的4821个驱动上评估，相比于依赖模拟器的方法（如QEMU），覆盖了额外67.3%的驱动，并发现12个新bug（含3个已确认的可用性漏洞）。该方法显著降低了驱动测试的准入门槛，可大规模应用于各类操作系统内核的驱动安全检测。

本文针对操作系统内核中 I/O 分离不足导致的安全问题，提出了一种形式化的 I/O 分离模型。该模型基于 I/O 传输授权定义分离策略，与具体硬件无关，能够防止恶意驱动通过操控设备绕过 I/O 隔离。作者在 Dafny 语言中对该模型进行了形式化规约、精化以及在 Wimpy 内核设计中的实例化验证，并自动生成了经过验证的正确汇编代码。通过形式化建模，发现了原 Wimpy 内核中先前未知的设计与实现漏洞。最后，论文概述了该模型在其他 I/O 内核上的适用性。本研究为高可信的 I/O 安全内核开发提供了理论基础和自动化工具，适合操作系统安全、形式化验证领域的研究者阅读。

该论文聚焦于Linux内核扩展程序eBPF的安全迁移问题。eBPF程序被广泛用于网络、可观测性及安全策略执行，但其内核验证器仅检查低级内存安全和终止性，未强制许多高级源级属性，如初始化规则、schema一致性或错误处理。作者识别出六类源级bug，这些bug能够通过编译和内核验证，但会导致数据静默损坏、将先前跟踪的事件泄露至用户空间，或产生错误的执行结果。其中，作者发现了十款开源eBPF程序中此前未报道的信息泄露：这些程序中的环形缓冲区或栈驻留事件记录会将完全可解码的先前跟踪事件（包括用户标识路径和足以恢复每个事件KASLR偏移的内核返回地址）泄露到用户空间。为加固这些被验证器接受的缺陷程序并支持安全迁移，作者提出了Heimdall——一个自动化流水线，利用大语言模型（LLM）将遗留的libbpf C程序翻译为基于Aya Rust的eBPF程序。Heimdall迭代修复编译和内核验证失败，通过静态分析安全引擎拒绝Rust-Aya中不安全的逃逸机制，并借助符号执行和Z3等价性检查逐程序证明翻译后程序与原始程序行为等价。在102个eBPF程序上的实验表明，Heimdall成功生成了96个经形式化验证等价（94.1%）的翻译版本。Heimdall是首个能够自动化地将生产级eBPF程序迁移到内存安全语言，并为每个翻译程序提供形式化保证保持可观测行为的系统。

该论文提出了SHARD，一种细粒度的内核定制与上下文感知加固技术。现代操作系统内核的复杂性导致攻击面不断增大，传统加固方法（如粗粒度的内核模块禁用或通用安全策略）往往难以兼顾安全性和灵活性。SHARD的核心思想是：基于应用程序的内核使用模式，动态生成高度定制的内核变体，仅在应用执行特定操作时激活必要的内核代码路径，从而大幅减少攻击面。具体而言，SHARD通过静态分析识别应用的内核交互模式，结合运行时上下文感知机制，在保持兼容性的前提下，动态切换内核函数的可用性。实验在Linux内核上实现原型，评估显示SHARD能够消除平均70%以上的内核漏洞相关代码，性能开销低于5%。该方法为内核安全提供了一种精细化的加固方向，尤其适用于云环境、容器和物联网等场景，其中内核攻击面削减是核心需求。

内核级漏洞利用攻击持续存在，传统检测方法依赖专家手工设计的监控器，难以应对攻击者利用未监控的低级操作构建的“怪机器”（weird machines）。本文提出 Hi-Res，一个可编程的检测框架，通过系统性地从低级内存操作推导出高级视图，从而区分利用行为与正常行为。Hi-Res 针对给定输入和执行上下文自动生成内核执行指纹，将内存踪迹投影到高分辨率超平面，从中构建行为指纹。其核心假设是低级程序轨迹表现出局部性属性，即特定工作负载独有的上下文敏感内存访问模式。利用这种局部性和具体表示，Hi-Res 能够无需先验程序语义即可对工作集进行经验建模。通过分析动态上下文元组（如系统调用、访问来源位置、分配上下文和调用栈），实验证明这些指纹能可靠区分正常行为与利用行为。在多种内核利用样本上的评估显示，Hi-Res 实现了高检测率与低误报率，验证了局部性作为精确利用检测的稳健信号。该工作为动态安全监控提供了通用的数据驱动框架。

本文提出了一种针对实时操作系统（RTOS）内核的上下文自适应函数级模糊测试方法，名为RTCON。RTOS广泛应用于嵌入式系统和物联网设备，其内核安全性至关重要。传统模糊测试通常以系统调用或整个程序为输入，但RTOS内核具有高度耦合的上下文依赖关系，例如中断处理、任务调度和资源锁定，这使得通用模糊测试难以有效探索内核状态空间。RTCON创新性地在函数级别进行模糊测试，并利用上下文信息（如当前运行任务、中断状态、锁持有情况等）动态调整测试输入和路径选择。具体地，该方法通过静态分析提取函数间的上下文依赖图，并在执行过程中实时监控上下文变化，从而生成更导向的测试用例，提高对临界区、中断服务例程和竞争条件等深层漏洞的覆盖能力。实验在多个主流RTOS内核（如FreeRTOS、Zephyr）上进行，结果表明RTCON在代码覆盖率、漏洞发现数量和测试效率方面显著优于现有通用模糊测试工具，成功发现了多个未知的内存破坏和死锁漏洞。本文的主要贡献包括：定义了RTOS内核模糊测试的上下文自适应问题，提出了函数级测试生成算法，设计并实现了原型工具RTCON，并通过实证验证了其有效性。

论文《DirtyFree: Simplified Data-Oriented Programming in the Linux Kernel》由Yoochan Lee、Hyuk Kwon和Thorsten Holz撰写，关注内核安全领域中的数据导向编程（DOP）技术。DOP是一种通过操控非控制数据（如函数指针、数据指针）来改变程序控制流的内存攻击方法，传统上需要复杂的分析来构造数据平面。本文提出一种简化版DOP实现，称为DirtyFree，其核心思想是利用Linux内核中的UAF（Use-After-Free）漏洞，通过操纵释放后的内存对象中的函数指针，以更少的约束和更简单的步骤实现代码执行。作者设计了一套自动化工具，能够从内核崩溃信息或已知UAF漏洞出发，自动搜索可用的数据平面并生成攻击原语。在实验评估中，DirtyFree成功在多个真实内核漏洞（如CVE-2021-22600、CVE-2022-2586等）上实现了任意代码执行，并证明了其相比传统DOP方法在复杂度上的显著降低。该研究揭示了现有内核防御机制（如CFI、KASLR）在应对数据平面攻击时的局限性。读者对象主要为内核安全研究人员、漏洞挖掘工程师以及操作系统防御开发者。