Linux ioctl 系统调用是内核用于设备控制的通用接口，用户态程序通过打开设备节点并向驱动传递命令码和参数缓冲区来发起操作。由于每个驱动各自定义命令码并在内核上下文中解析参数，ioctl 处理程序成为内核中范围最广、最不统一的本地攻击面之一。一个未验证参数长度的处理程序可能导致越界读写内核内存，且命令空间缺乏集中化目录。本文提出 Linux IOCTL 普查数据库，这是一个从内核源代码派生的可查询攻击面清单。通过 allmodconfig 构建，编译了 878 个模块（涵盖 169 个子树），并利用 libclang 对内核源码进行单次确定性扫描，恢复了 586 个 ioctl 分发入口点、1,289 个解码后的 _IOC 命令码、3,583 个受控输入接收点以及 1,298 个权限门控。第二次扫描将内核自身的文档化威胁模型编码为可查询列，将无能力门控的 ioctl 表面（即无权限可达性的上界，非实际可达性）与通过硬能力门控排除的部分分离。作者用近期 22 个内核内 ioctl CVE 对普查结果进行了回测，并以开放数据形式发布结构层，采用与配套的 Windows IOCTL 普查相同的模式，使得单一查询可跨两个操作系统。该数据库为安全研究人员提供了系统化映射内核 ioctl 攻击面的工具，有助于识别潜在漏洞并评估权限门控的有效性。

随着AI代理（AI agent）越来越多地在开发者机器上运行不受信任的代码，例如由语言模型生成的shell命令、运行时检索的第三方脚本以及来源不明的工具插件，现有的隔离机制在适配此类工作负载时存在明显不足。容器和微虚拟机增加了特权、镜像管理和启动开销，而临时的进程控制和包装器（如chroot、ulimit）提供的保证较弱且缺乏系统调用级别的精细控制。为此，本文提出了Sandlock——一个轻量级的Linux进程沙箱，其核心设计围绕一个简单的分离原则：静态、输入无关的策略被编译为内核强制执行的规则，而狭义的监管器（supervisor）负责处理运行时依赖的决策和虚拟化效果。这种分离使得Sandlock能够在不依赖root权限、cgroups、镜像或强制命名空间的情况下，强制执行文件系统、网络、IPC和系统调用策略。此外，它还支持动态网络决策、HTTP级别的访问控制、execve参数的TOCTOU安全检查以及可逆的文件系统效果。在测试工作站上，Sandlock增加了约5毫秒的启动开销，并且在测量噪声范围内使Redis的吞吐量达到裸机水平。其管道操作符进一步支持按阶段隔离，以实现数据、网络和不受信任内容能力的分离。Sandlock已开源（https://github.com/multikernel/sandlock）。本文面向系统安全研究人员、AI平台开发者以及需要为AI代理提供轻量级沙箱的安全工程师。

该论文提出了一种自动检测 Linux 内核驱动中引用计数错误（reference counting bugs）的工具 DrvHorn。引用计数是内核实中管理资源（如内存、文件描述符等）生命周期的关键机制，一旦出现错误（如少放、多放或未初始化），可能导致资源泄漏、内存损坏甚至安全漏洞。传统方法如静态分析存在高误报率或难以覆盖复杂路径的问题。DrvHorn 通过将引用计数验证转化为断言检查问题，并利用 Linux 驱动接口（如 open/close 钩子）对内核进行高效建模，同时采用激进程序切片技术降低分析复杂度。作者在 Linux v6.6 内核的所有平台驱动上进行了测试，共发现 545 个引用计数 bug，其中 424 个为以前未知，误报率仅为 29.9%，低于之前研究。针对新发现的 bug，作者向 Linux 内核社区提交了补丁，其中 45 个已被合并。该工具展示了自动化检测复杂内核驱动中资源管理错误的能力，对提升内核安全性具有重要价值。