本文提出了一个名为PFirewall的智能家居隐私保护系统，旨在解决物联网平台中用户敏感设备数据过度暴露的问题。在现有智能家居平台上，设备一旦绑定，所有数据都会流向上层平台，而其中大部分数据并不触发自动化动作，导致不必要的隐私泄露。PFirewall基于语义感知的数据流控制，自动生成数据最小化策略，仅向平台披露执行自动化所需的最小必要数据。此外，系统提供用户自定义策略接口，允许房主根据个人偏好定制隐私规则。PFirewall透明地干预和调解物联网设备与平台之间的通信，无需修改平台、设备或网关即可实施策略。在实际测试床上的评估结果显示，PFirewall能够在不影响家庭自动化功能的前提下，将发送到平台的数据量减少97%，并有效缓解用户活动推断/跟踪攻击及其他隐私风险。该系统的核心贡献在于结合自动化策略生成与用户自定义规则，实现了可定制的细粒度数据流控制，为智能家居隐私保护提供了实用且高效的解决方案。适合智能家居安全研究人员、物联网隐私工程师以及平台设计者阅读。

该论文通过实地调查和半结构化访谈，深入研究了肯尼亚网吧（cybercafe）中用户和工作人员面临的安全与隐私挑战。研究在肯尼亚的两个城市（内罗毕和基苏木）进行，共调查了200名用户和26名网吧工作人员。主要发现包括：（1）高达80%的用户在创建或输入密码时依赖工作人员代为操作，工作人员因此掌握了大量用户的账户凭证；（2）网吧工作人员经常将用户凭证存储在不安全的电子表格或纸质记录中，甚至通过WhatsApp等聊天工具共享，存在严重的泄露风险；（3）用户普遍缺乏基本的安全意识，例如不验证网站HTTPS证书、不知道公共计算机的键盘记录风险；（4）网吧缺乏正式的安全策略，工作人员也未经培训；（5）用户出于成本、设备可及性等原因被迫使用网吧，缺乏替代选择。论文揭示了资源受限环境下安全设计与实际使用之间的巨大鸿沟，并提出了针对性的设计建议，例如构建无密码身份验证方案、提供临时会话机制等。该研究对于理解发展中国家数字鸿沟中的安全隐私问题具有重要价值。

联邦学习（FL）允许多方协作训练模型而不共享原始数据，但标准方法（如FedAvg）将每个客户端视为黑盒，无法隔离对抗性贡献者、审计每个客户端的影响，或尊重已退出参与者的被遗忘权。本文提出Fed-FBD（联邦功能块多样化），一种模块化联邦架构，将ResNet骨干网络分解为六个功能块（stem、四个残差组和分类头），并维护一个包含N种颜色变体的仓库，每种变体由独立跟踪和贡献者标记的块组装而成。Fed-FBD提供FedAvg所不具备的三种能力：(i) 架构保障的块级隔离，使对抗性或错误标记的客户端无法污染干净的变体；(ii) 设计上的隐私保护，在应用任何隐私机制之前，成员推断优势已与随机猜测无异；(iii) 在亚秒级成本且无需重新训练的情况下，外科手术式地遗忘已退出参与者的贡献。在六个MedMNIST-2D数据集、224x224的PathMNIST和CIFAR-10上的实验表明，在规模足够的数据集上，Fed-FBD以0.3%-3.1%的IID准确率下降换取这些保证，在四个数据集中的三个上，在Dirichlet alpha=1.0时与FedAvg的差距保持在0.8%-4.0%以内，并且所有六种对抗性攻击都被限制在中毒客户端的自身块内，对干净变体的AUC漂移不超过±0.01。

该论文提出 OCELOT，一种用于保护 LLM Agent 隐私的运行时中介系统。LLM Agent 在执行用户任务时，需要读取个人文件、调用工具、与外部服务交互，这可能导致个人身份信息（PII）在多个信任边界间泄露。隐私问题在这里具有三个特性：泄露是累积的（单个无害的输出在多个好奇或共谋的接收者之间积累，最终推断出受保护的秘密）、双向的（恶意观察可注入指令，利用 Agent 自身的推理模型对付用户）、以及任务依赖的（同一字段对某个接收者是必需的，对另一个则是多余的）。现有的每次输出上下文完整性过滤器、信息流控制和后验泄露监控各自解决了部分问题，但都无法在运行时控制基于累积推断的泄露。本文将 Agent 隐私重新定义为后验风险控制，并提出了 OCELOT。其核心机制是“见证验证的解分类”（Witness-Verified Declassification），将判断与信任分离：一个不受信任、本地微调的防御模型检查每个候选输出，并生成结构化证据（标记原子和提议的解分类操作），然后由确定性验证器审计，为所选变体收取认证的最小熵成本，并在防篡改账本上记录接收者信任加权预算，授权最少泄露的有用输出。在多个 Agent 基准测试和最新防御方法的对比中，OCELOT 在更高任务效用下实现了显著更低的泄露，能够抵抗自适应注入、越狱、累积推断和接收者共谋，且仅增加适度开销。论文提供了详细的形式化定义、算法设计和实验评估，适合 LLM 安全研究者和开发 Agent 应用的工程师阅读。

本研究对谷歌提出的Topics API进行了公开、可重复的评估。该API旨在替代第三方Cookie，通过浏览器根据用户浏览历史推断出少量兴趣主题，供广告商实现定向广告，同时声称保护用户隐私。此前的研究争议集中在数据集真实性和结果可重复性上：部分研究使用小规模用户数据或合成数据，而谷歌自身的结果基于私有数据集。本文利用迄今为止最大的公开真实浏览历史数据集（1207名用户），对最新版Topics API进行了评估。首先测量了用户兴趣随时间的唯一性和稳定性，发现用户的主题分布具有较高唯一性；其次，通过适应先前隐私研究的方法，评估了Topics是否可用于跨站指纹识别。结果表明，广告商仅需观察到用户主题1次、2次、3次，就分别能以46%、55%、60%的概率在网站上唯一重新识别该用户。这说明Topics并未为所有用户提供同等的隐私保护，部分用户更容易被跟踪。论文呼吁网络参与方发布匿名化分布数据，以促进公开可重复的评估。本研究对隐私政策制定者、浏览器开发者及广告技术从业者具有参考价值。

本文提出Zapper，一个旨在为智能合约提供数据和身份隐私保护的系统。在区块链环境中，智能合约的执行数据通常对所有节点公开，这导致敏感信息（如交易金额、用户身份）面临泄露风险。Zapper通过集成先进的密码学技术（如零知识证明、同态加密或安全多方计算），实现合约状态的加密存储与计算，同时允许验证者在不泄露具体数据的情况下确认合约的正确执行。此外，Zapper还支持匿名认证机制，隐藏交易参与方的身份，从而增强用户隐私。该工作可能设计了一套新的编程模型或编译器，使开发者能够便捷地编写隐私保护智能合约，并在以太坊等平台上部署。实验评估可能展示了其在计算开销、交易成本和可扩展性方面的权衡。该研究对区块链隐私保护领域具有重要参考价值，尤其适用于金融、供应链和身份管理等对隐私敏感的应用场景。

该论文提出了一种新颖的浏览器扩展指纹识别技术，能够绕过传统时间敏感的检测方法。通过利用浏览器扩展的瞬时修改，攻击者可以持续地识别用户安装的扩展，即使这些扩展在正常浏览过程中不会留下持久痕迹。研究展示了如何通过操纵扩展的API行为或临时注入内容来建立独特的指纹，并在多种浏览器和扩展组合上验证了有效性。实验结果表明，该方法能够以高精度识别扩展，且难以被现有防御机制检测。该工作揭示了浏览器扩展生态中一个新的隐私威胁向量。

本文是一篇系统化知识（SoK）论文，旨在系统梳理全球互联网隐私法规的技术实现与人类影响。研究背景是：随着个人数据被滥用的风险日益凸显，各国陆续出台多项隐私保护法规，其中欧盟的《通用数据保护条例》（GDPR）和加州《消费者隐私法案》（CCPA）受到计算机科学界的广泛研究，而其他许多法规则关注不足。为填补这一空白，作者分析了来自全球的24部隐私法与数据保护法规，涵盖已获大量研究的和相对冷门的法律，并构建了一套关于法律赋予权利和施加义务的分类法。基于该分类法，作者系统化整理了计算机科学领域270篇技术研究论文，这些论文探讨了上述法规的影响以及技术方案如何补充法律保护。最后，作者通过跨学科视角分析研究现状，并提出了计算机科学与法律隐私交叉领域的未来工作建议。本文的核心贡献在于：1）建立了全面的隐私法规权利-义务分类体系；2）系统化梳理了大量相关技术文献，揭示了研究趋势与空白；3）为技术从业者和法律研究者提供了跨学科合作的方向。适合安全工程师、隐私合规人员、政策研究者以及关注隐私技术的计算机科学家阅读。

该论文提出 ANONYCALL，一种在移动网络中实现原生私有通话的框架。当前移动通话中，呼叫方和被叫方的身份（电话号码）对网络运营商和中间节点可见，导致用户隐私泄露。ANONYCALL 旨在通过轻量级密码学协议与信令系统改造，在不改变现有蜂窝网络核心架构的前提下，为通话双方提供身份隐匿和端到端加密保护。该方法利用现有 SIM 卡的安全能力，结合临时身份标识生成与认证机制，避免依赖第三方可信实体。实验在模拟 LTE/5G 网络环境下评估，表明 ANONYCALL 能在几十毫秒内完成呼叫建立，附加延迟在可接受范围内，且对现有网元的改动最小。主要贡献包括：(1) 首个在标准移动网络层次实现原生私有通话的设计；(2) 一套可兼容现有 3GPP 信令流程的隐私保护协议；(3) 原型实现与性能评估，证明其实用性。

本论文研究了基于语言模型的智能体（Agent）在执行复杂任务时生成的执行追踪（execution traces）所引发的程序技能泄露风险。用户通常依赖这些追踪来观察行为、诊断失败和确保问责，但追踪中包含了丰富的程序细节，如工具调用、中间决策和错误恢复逻辑，这些细节可能暴露私有的程序化技能（procedural skills），使得下游方法能够在无需访问模型权重或技能文件的情况下恢复关键公式、阈值和策略。为了量化这一风险并评估保护措施，作者构建了CapTraceBench基准，包含75个专门的长周期任务和7个领域（如金融、医疗等）的154个手工技能。同时，提出了RedAct框架，一个受保护的追踪发布系统，能够定位受保护的关键信息，重写追踪内容同时保留对验证者关键的审计证据，并嵌入行为水印用于下游溯源分析。实验表明，针对多种代表性的追踪重用方法，RedAct能将归一化技能转移（NST）从原始追踪的44.7%-67.1%降低到低于无技能基线的水平，同时保持审计证据的可用性。其行为水印达到了93.6%-100.0%的真实检测率，误报率不超过1.9%。这些结果将公共Agent追踪重新定义为安全接口，并证明选择性编辑能够在不移除审计证据的情况下减少程序能力泄露。

本文首次揭示了在元宇宙/VR 场景中，利用头戴式显示器中原本用于追踪运动的惯性传感器（如加速度计、陀螺仪）来重建用户大脑 EEG 信号，从而窃取超出可视行为范围的隐私信息（如用户正在感知的脑内图像、对视听刺激的神经反应等）。核心思想是：VR 头盔的内置运动传感器能够捕捉到由瞳孔反应引起的细微振动，而瞳孔反应与用户的视觉刺激和脑内感知高度相关。作者设计并实现了 BraVeSpy 系统，通过采集运动传感器数据，利用机器学习模型重建与大脑 EEG 相关的表示，进而推断敏感信息。实验采用多种 VR 设备，结果表明：首次在元宇宙中实现了对不可观察的隐私泄露——以 52.0%-67.2% 的准确率重建脑内感知图像；在推断用户活动相关的敏感信息（如指纹识别网站、应用、流媒体视频）时准确率超过 85.0%；在用户去匿名化、目光移动跟踪和虚拟按键推断上准确率超过 96.0%。该工作揭示了运动传感器作为侧信道的新攻击向量，突破了以往仅能推断可观察行为的限制，对元宇宙隐私安全构成严重威胁。

该论文采用共同设计方法，为约旦智能家居环境中的旁观者隐私保护开发一款移动应用。研究背景是智能家居设备（如智能音箱、摄像头）在家庭中的普及，导致非用户（即旁观者，如家庭成员或访客）的隐私可能被无意侵犯。传统隐私保护方案多聚焦于设备用户本身，忽视了旁观者的权益。为此，研究团队与约旦当地参与者合作，通过一系列共同设计研讨会，识别了旁观者的隐私关切、使用场景以及功能需求。最终设计出一款移动应用原型，允许旁观者通过手机界面控制智能家居设备的隐私相关设置（如临时禁用麦克风/摄像头、查看设备状态）。该应用通过用户中心的设计流程，考虑了文化和社会规范，如性别角色和家庭权力动态。实验评估表明，该应用在提升旁观者隐私意识和控制感方面具有积极效果。主要贡献包括：1）提出并验证了面向旁观者的隐私保护框架；2）提供了在阿拉伯文化背景下实施隐私技术的见解；3）为智能家居隐私设计提供了可迁移的参与式方法。

本文聚焦于操作系统集成的本地AI（On-Device AI）的隐私边界问题。作者指出，当前隐私讨论常将“本地运行”视为隐私保障的充分条件，但这一观点过于狭隘。本地AI助手可能整合邮件、日历、文件、截图、通知和应用程序意图，保留嵌入或摘要，调用工具，发送遥测数据，或将复杂请求路由到云端。本地推理减少了部分暴露风险，但仅回答了“计算发生在何处”的问题，而未能解答“谁可以聚合上下文”、“哪些派生状态被持久化”、“哪些操作被授权”以及“更新如何改变系统权限”等关键问题。为此，论文提出了一个以操作系统为中心的隐私框架，将隐私视为制度性问责问题而非部署属性。框架包括：威胁模型、六部分隐私风险分类学、隐私架构控制以及四级审计评估标准。作者通过对Apple Intelligence/Foundation Models、Android AICore/Gemini Nano和Microsoft Recall三个案例的文档有限比较，展示了审计标准的应用。论文强调，有意义的隐私取决于受限的信息流、有限的权限、可见的用户控制以及跨操作系统生命周期的可审计治理。该研究为系统设计人员、隐私工程师和政策制定者提供了理论指导，适用于智能助手、智能操作系统等场景。

该论文聚焦于医疗语言模型（LMs）的隐私评估问题。现有隐私评估往往只关注训练文本的恢复，而非现实威胁模型下的信息泄露。作者提出了一个临床接地的隐私评估框架，按敌手访问权限的梯度分级（从公开可推断的人口统计数据到泄露的笔记片段），在每个级别测量患者特定文本的逐字记忆和敏感诊断的语义泄露。将框架应用于一个在37.8万份临床笔记上预训练的LM，发现常规就诊元数据（如姓名、出生日期、提供者、诊所、就诊日期）能高概率地触发患者时间线内的逐字记忆和敏感诊断恢复（堕胎 AUROC 0.91，HIV 0.81）。同时，精确匹配的记忆可能夸大了信息披露：36%的记忆化标记来自模板化文档。该工作强调了在纵向临床数据上训练的风险，为医疗LMs的上下文隐私评估提供了实用框架。适合医疗AI安全研究员、隐私工程师和临床数据管理者阅读。

本文系统性地研究了多模态大语言模型（MLLMs）中的隐私风险。与文本大语言模型（LLMs）不同，MLLMs同时处理文本和图像，图像中嵌入的敏感信息可能被模型提取并泄露。作者首先构建了MM-Privacy综合数据集，覆盖多种多模态任务和场景，定义了表露风险（Disclosure Risks）和留存风险（Retention Risks）。然后，他们使用MM-Privacy对多个MLLM进行了系统评估，发现模型在不同任务中均存在泄露敏感信息的问题。此外，论文还揭示了任务不一致性（task inconsistency）在隐私风险中的角色，并强调了制定缓解策略的紧迫性。实验结果表明，MLLMs的隐私风险不容忽视，亟需防护措施以防止数据暴露。该研究为多模态AI的隐私保护提供了基准和方向，适合安全研究人员和AI开发者阅读。

本文是一篇系统化知识综述（SoK），针对移动应用中用户自拍裸照（self-generated nudes）分享行为的安全、隐私与问责问题展开研究。作者首先通过系统文献综述，从10,026篇搜索结果及交叉引用中筛选出相关学术论文，同时调查了主流操作系统功能及52款约会、社交、即时通讯应用中的实际解决方案。在此基础上，本文提出了一个针对“安全色聊（safer sexting）”的威胁模型，涵盖了攻击者类型、隐私泄露、未授权传播等风险。根据威胁模型，作者将所有技术辅助方案/功能划分为多个类别，如：裸照检测（检测是否包含裸体内容）、模糊化处理、可撤销发送、到期自动销毁、水印追踪、同意验证、举报机制等。文章指出，没有任何单一方案能应对所有威胁，不同方案在不同维度上提升安全性。本文还总结了现有方案的不足，例如：检测准确性问题、隐私保护与功能可用性的权衡、以及滥用/规避风险。最后，作者提出了未来研究方向的建议，包括更细粒度的威胁模型、跨平台互操作性、用户隐私与安全增强的平衡等。本文适合安全研究人员、隐私工程师、应用开发者以及政策制定者阅读，旨在为构建更安全的在线性表达环境提供技术路线图。

本文系统性研究了现代CSS动态特性在无脚本指纹识别中的应用，特别是针对浏览器和电子邮件客户端。作者提出了三种创新技术：基于模糊测试的CSS容器查询利用、基于模板的算术函数利用以及复杂选择器利用，能够高精度推断应用、操作系统和硬件配置。在浏览器端，实验测试了1176种浏览器-操作系统组合，区分准确率达97.95%。在电子邮件端，21个测试的网页、桌面或移动邮件应用中有8个可被成功指纹识别，证实了即使在HTML邮件这种高度受限的环境中，指纹识别仍然可能。为了防御此类攻击，作者提出了两种机制：一是预加载条件资源以消除基于特征的泄露；二是设计邮件代理服务，在保留隐私和邮件完整性的同时保持功能兼容性。本文为隐私保护提供了新的见解和解决方案，强调了针对新兴追踪方法的健壮防御的重要性。

本文针对序列模型（如大型语言模型和自回归图像生成器）中的成员推断攻击进行了研究。序列模型在训练过程中往往会记忆训练数据中的敏感信息，并在生成过程中无意泄露这些信息，这带来了严重的法律和隐私风险。然而，现有的隐私审计工具由于假设与序列生成过程的特性不匹配而效果有限。作者提出，有效测量序列模型中的隐私泄露需要利用序列生成过程中固有的样本内相关性。为此，他们改编了最先进的成员推断攻击，通过显式建模序列内的相关性，将现有攻击自然地扩展以适应序列模型的结构。具体地，他们针对自回归序列生成的特点，在攻击中引入了一个能够捕获序列内依赖关系的统计量，从而更准确地判断一个样本是否出现在训练集中。通过案例研究（可能针对语言模型或图像生成模型），实验证明这种改进能够持续提高记忆审计的有效性，且不会增加额外的计算成本。本文的工作为大型序列模型的可靠记忆审计奠定了重要基础，对于理解和缓解序列模型中的隐私泄露风险具有指导意义。

本研究系统性地调查了用户在网页表单提交前，电子邮箱和密码信息被第三方脚本截获的风险。研究团队通过测量网络流量和JavaScript执行，分析了大量网站的数据泄漏行为。结果显示，许多网站在表单提交前就将用户输入（包括电子邮件和密码）发送给第三方，如分析服务、广告平台和数据代理商。研究量化了泄漏的程度和频率，识别了常见的泄漏路径，包括表单自动填充、键盘记录器和数据收集脚本。此外，研究还探讨了隐私法规（如GDPR）对此类实践的约束，并提出了防御建议，如使用更严格的HTTP头、禁用第三方脚本等。该研究为理解网络隐私威胁和设计更安全的表单处理流程提供了重要参考。

该论文对欧洲成人网站中法规强制要求的年龄验证系统进行了首次探索性安全评估。年龄验证作为保护未成年人在线安全的核心监管工具，正被多个司法管辖区强制要求部署于成人内容访问场景。然而，这种监管方向引发了显著的隐私担忧——它将敏感内容访问与身份属性绑定，同时由于年龄验证机制通常外包给第三方提供商，其验证过程的透明度不足，带来了安全风险。研究者从安全而非纯监管视角出发，通过生态系统映射、敌手建模和跨国实证测试（覆盖四个国家），评估了包括文档验证、生物年龄估计、间接信号以及网站流程集成在内的多种机制。结果揭示，在现实的威胁假设下，这些机制存在系统性弱点，例如无法抵御低成本、易获取的攻击。最终，论文提出了缓解当前年龄验证部署中安全与隐私风险的具体指南和设计方向。适合安全研究人员、政策制定者及隐私工程师阅读。

本文提出了一种新型的密码学原语——模糊消息检测（Fuzzy Message Detection, FMD），其核心思想是在远程存储云上实现带有假阳性率的模糊检测，从而保护客户端隐私，不向不可信的云泄露确切的匹配消息。现有的基于公钥的方案需要多个公钥生成单个标记密文，导致公钥证书管理成本过高。为此，论文提出了一种基于身份的高效在线/离线加密方案：所有重计算操作在离线阶段完成（无需知道每条消息的身份），在线阶段只需轻量计算即可快速生成单个标记密文。该方案应用于基于区块链的模糊消息检测系统，并设计了一种新的历史索引方案（基于Dodis的可验证随机函数和Schnorr签名），用于索引交易历史以及访问存储云（存储和检测消息）的顺序，并由每个客户端签名。论文对所提出的在线/离线ID-FMD方案进行了隐私保证和差分隐私需求分析，并在Fibos平台和华为弹性云上实现了系统。主要贡献在于：1）提出了身份基模糊消息检测方法，消除了公钥证书管理开销；2）设计了在线/离线加密框架，将大量计算移至离线；3）结合区块链提供不可篡改的历史索引；4）给出了形式化的隐私分析。适合密码学、隐私保护、分布式系统领域的研究者和工程师阅读。

现有网络交换机普遍采用先进先出（FIFO）或差额轮询（DRR）等调度策略，以提供良好的利用率和公平性，但这些策略会通过时序侧信道泄露客户端流量的多种信息，威胁用户隐私。为解决这一隐私泄露问题，本文提出了一种名为“无差异优先调度”（Indifferent-First Scheduling, IFS）的新型交换机调度机制。IFS的核心特点是：允许客户端选择加入以获取隐私保护（即强隔离性），而对满足于现有调度性能的客户端，则继续保持FIFO或轮询调度带来的高效率和低延迟。这种混合调度机制克服了先前方案（如时分多址TDMA）的主要缺陷——TDMA虽提供强隔离，但会降低所有客户端的利用率和增加延迟。论文分析发现，现代可编程交换机的硬件限制阻碍了IFS在不牺牲隐私保证前提下的实现。然而，作者证明，在最近提出的推入优先输出（PIFO）队列架构中，可以实现具有完全安全性的IFS版本，且能达到线速处理。该研究为网络隐私保护与性能权衡提供了新的设计思路，适合网络研究人员、安全工程师及交换机设计者阅读。

本文研究了基于查询的数据匿名化系统中存在的侧信道攻击问题。数据匿名化是计算机隐私领域的一个长期挑战，一种常见的实践方法是向分析人员提供查询接口，并在每次查询时动态进行匿名化处理。这种方法通常依赖标准数据库后端，并直接向分析人员暴露数据库的查询语义。作者发现，这种设计虽然旨在通过查询级别的匿名化保护隐私，但实际上可能引入侧信道漏洞：攻击者可以通过观察查询结果、响应时间、错误消息等外部信息，推断出数据库中敏感的统计信息或个体记录。论文系统地分析了多种可能的侧信道攻击向量，包括基于结果集大小、基于响应时间差异、基于错误提示等，并形式化地定义了攻击模型。通过实验，作者证明了在流行的匿名化查询系统（如 DataSifter、Diffix 等）中存在可被利用的侧信道，能够以高置信度推断出原始数据的分布、异常值甚至具体记录的存在。此外，论文讨论了现有防御机制的不足，并提出了一些初步的缓解策略，如引入查询结果噪声、统一响应时间、消除错误信息等。该研究揭示了基于查询的匿名化方案在安全性上的薄弱环节，为隐私保护系统设计者提供了重要的警示和改进方向。适合关注数据隐私、侧信道分析、数据库安全的研究人员和安全从业者阅读。

本文是首篇对合成表格数据的重建攻击（即属性推断攻击）进行系统化研究的论文。研究背景是合成数据被广泛宣传为一种隐私保护替代方案，用于发布敏感表格记录，但对其核心对抗威胁——重建攻击（通过合成数据和少量已知准标识符恢复个体隐藏属性值）的研究此前零散且难以比较。作者构建了攻击分类体系，按攻击利用的结构（如分布、关联、记忆）组织攻击；进行了迄今最系统的实证评估，在五个基准数据集上评估了九种合成数据生成（SDG）方法对十四种攻击的抵抗能力；并提出了一组填补分类空白的新攻击，其中CoBP-RA是测得的最强攻击。关键贡献在于引入了解释攻击成功含义的方法论：一个记忆测试，区分重建攻击是利用了总体分布还是对训练记录的记忆；以及一个约化方法，将重建攻击和成员推断攻击置于同一可比尺度。主要发现包括：SDG方法的选择对风险的影响远大于攻击选择；差分隐私（DP）仅在很小的预算（ε≲1）下有效，超过后保护效果趋于平稳，受限于合成器的容量而非噪声；去标识化方法暴露风险最高；大多数重建攻击反映的是分布结构而非记忆，个体风险集中在异常记录上。该攻击和基础设施在2025年美国国家标准与技术研究院（NIST）合作研究周期中，在所有红队中获得第一名，从而得到外部验证。

该论文首次系统性地研究了基于logit的联邦学习（FL）中隐藏的隐私风险。传统的参数化FL通过交换模型权重或梯度来保护数据隐私，而新兴的logit-based FL方法则在公共数据上共享模型输出（logits），从而促进模型异构性、降低通信开销并增强客户隐私。然而，这些方法的隐私风险被严重忽视。本文提出并分析了一种半诚实服务器（对手）通过学习训练过程中的历史logits来窃取客户私有模型的自适应模型窃取攻击（AdaMSA）。作者从理论和实验两方面证明了这一隐私风险的存在，即使在公共数据与私有数据无关的情况下，风险依然存在。为应对这一威胁，他们提出了一种简单而有效的防御策略：在传输logits时添加扰动，方向是使隐私风险最小化同时最大限度保持训练性能。实验结果表明，AdaMSA能够有效窃取模型，而防御策略能在少量影响性能的前提下显著降低隐私泄露。该研究为logit-based FL的安全性提供了重要理论基础和实用解决方案，并提醒社区注意这一被忽视的隐私漏洞。

本文研究了苹果Wi-Fi定位系统（WPS）的隐私安全隐患。WPS是现代移动设备通过附近Wi-Fi接入点（AP）的BSSID来定位自身位置的服务。作者发现，苹果的WPS可被滥用，从而造成全球范围的隐私威胁。他们提出了一种攻击方法，攻击者无需特殊权限，仅利用MAC地址空间中密集区域相对较少的事实，就能在数天内收集全球Wi-Fi BSSID的地理位置快照。通过一年的持续收集，他们获得了超过20亿个BSSID的精确位置。这种大规模数据集在纵向追踪中更具隐私影响，使攻击者能够跟踪设备的移动。虽然大多数Wi-Fi AP长期固定，但许多设备（如便携旅行路由器）设计为可移动。作者通过多个案例研究展示了苹果WPS带来的隐私攻击类型：跟踪进出战区（乌克兰和加沙）的设备、监测自然灾害（毛伊岛火灾）的影响，以及通过远程定位无线AP实现对特定个体的代理追踪。最后，他们向WPS运营商和Wi-Fi AP制造商提出了增强全球数亿用户隐私的建议，并详细说明了负责任的披露过程以及苹果和制造商已实施的缓解措施。

该论文研究了基于低功耗蓝牙（BLE）设备中允许列表（allowlist）机制的侧信道攻击。BLE设备通常使用允许列表来限制连接和扫描响应，仅与已配对的设备通信。然而，攻击者可以通过被动监听BLE信道，观察设备是否响应扫描请求，从而推断设备是否属于某个允许列表中的设备。这种侧信道信息泄漏使得攻击者能够追踪特定BLE设备（如智能门锁、健康手环等）的物理位置或活动模式。论文首先系统地分析了BLE协议栈中允许列表相关的安全漏洞，量化了信息泄漏的程度。接着，提出了一种基于模糊测试的方法来识别易受攻击的设备，并在多种商用BLE设备上验证了攻击的有效性。最后，论文设计并实现了一种轻量级对策，通过随机化扫描响应时间或添加虚假响应来混淆侧信道信息，从而在不影响正常配对功能的前提下，削弱攻击者的追踪能力。实验结果表明，该对策能有效降低攻击的成功率至接近随机水平，且对设备功耗和响应延迟的影响微乎其微。该研究揭示了BLE允许列表机制中被忽视的安全风险，并为物联网设备的安全设计提供了重要指导。

本研究聚焦于自动化应用（如IFTTT、Zapier、SmartThings等）在亲密伴侣暴力（IPV）情境下的可滥用性。随着智能家居设备的普及，伴侣间共同使用的自动化平台可能被一方恶意利用，以实现追踪、骚扰、监视或心理控制。作者通过系统性地分析主流自动化应用的功能与权限模型，设计了一套评估框架，识别出多种攻击场景，例如利用位置触发器追踪伴侣行踪、通过智能家居设备制造恐惧氛围、滥用日志记录进行反向监控等。实验表明，大量自动化应用缺乏足够的访问控制与用户告知机制，攻击者只需较低的技术门槛即可发起攻击。论文的主要贡献在于：(1) 首次系统归纳了自动化应用在IPV中的滥用模式；(2) 提出了针对自动化平台的安全设计改进建议，如细粒度权限、用户行为异常检测、强制通知机制等。研究结果对安全工程师、智能家居厂商及政策制定者具有重要参考价值，有助于防范此类新型家庭隐私威胁。

本文对数据伪造攻击（Data Forging Attacks）在实践中的可行性进行了重新评估。数据伪造攻击是指模型拥有者通过伪造训练数据小批量（mini-batches）来提供虚假的证据，声称模型是在某个数据集上训练的，而实际上是在另一个数据集上训练的。这种攻击破坏了数据治理和审计的可能性，因为恶意的模型拥有者可以声称其模型是从合规数据集训练的，而实际上使用了不合规的数据。然而，本文从实践和理论两个角度深入分析了当前攻击方法的局限性。实践上，现有攻击方法无法生成足够相似的梯度，从而容易被验证者检测。理论上，尽管存在无限多个不同的实数域小批量可以产生相同梯度，但要找到符合实际域（如图像像素值在0-255区间，且标签为one-hot编码）的小批量却非常困难。因此，本文呼吁重新评估已有攻击的实际威胁，并鼓励进一步研究成功的数据伪造攻击的条件。该研究对机器学习模型审计、数据合规和隐私保护有重要意义。适合机器学习安全研究者、数据治理专家和隐私合规从业者阅读。

本文针对语音匿名化系统中个体说话人的再识别风险进行了大规模逐说话人分析。现有评估通常使用等错误率（EER）等平均指标，但这些指标可能掩盖不同个体之间再识别风险的巨大差异。作者采用基于可链接性（linkability）的度量，在最坏场景下对近5000名说话人进行评估，涵盖多种匿名化系统、攻击者架构和对话长度。研究发现，可链接性分数在说话人层面高度极化，但易于识别和难以识别的说话人集合在不同配置下差异显著。进一步分析表明，没有单一因素能够解释说话人的脆弱性，再识别风险源于攻击者、匿名化器和可用语音量之间的交互作用。这些结果挑战了“内在说话人级隐私风险”的概念，并强调评估协议必须明确基于攻击者和匿名化器进行条件设定。实验涉及多种匿名化方法（如语音转换、波形编辑）和攻击者模型（如基于x-vector的说话人识别系统），证实了隐私风险的复杂性和情境依赖性。本文的主要贡献在于：(1) 首次大规模逐说话人分析揭示隐私风险的个体差异和情境依赖性；(2) 证明平均指标不足以评估实际隐私保护效果；(3) 提出评估协议需按攻击者和匿名化器条件化的必要性。适合语音隐私研究人员、安全工程师及隐私保护技术开发者阅读。

本文聚焦于智能体互操作协议（如A2A和MCP）中通信图元数据带来的新威胁。当前协议依赖HTTP(S)传输，虽通过端到端加密保护消息内容，但通信图（哪个智能体何时联系谁、频率如何）完全暴露。在智能体系统中，通信图比传统隐私框架所指出的更危险：端点往往带有能力标签，工作流是结构化且链式的，交互耦合实际动作，因此攻击者不仅能恢复历史关系，还能推断进行中的工作流、正在组装的任务以及即将发生的动作。利用机器速度，攻击者可在工作流完成前采取行动，威胁工作流完整性而非仅隐私。本文首先为智能体通信图建立威胁模型；识别使智能体元数据特别具有揭示性的属性（语义性、前瞻性、驱动性）；定义传输层和引导层的隐私属性，并评估候选传输方案（如SimpleX/SMP、Tor、混合网络）的适配程度；然后以A2A协议为例，展示元数据保护绑定在表达上的可能性，同时揭示协议的身份假设。作者基于真实A2A捕获数据构建生成模型进行实验：仅凭被动元数据（无任何载荷），分类器从工作流开头即可远高于随机地恢复任务类别；而应用所定义的隐私属性后，恢复能力急剧下降至接近随机。此外，本文还衡量了利用泄露采取行动的杠杆效应：在固定预算下，从工作流开头利用元数据泄露的对手，其优势几乎达到全知对手相对于元数据盲对手的优势；而所提属性可有效抑制该优势。本文适合关注智能体安全、隐私、分布式系统威胁建模的研究人员和工程师阅读。

本文针对Web界面中的隐私欺骗模式（Privacy Deceptive Patterns）提出了一种新的威胁模型——AI Grooming，并设计了基于智能体的防御框架DPAgent。隐私欺骗模式通过系统性的设计手法操纵用户泄露个人数据，而现有防御手段分散、静态，且易被大语言模型（LLMs）利用。此外，数据空洞（Data Voids）——即网络生态系统中信息稀缺的区域——为攻击者提供了注入看似良性但实际恶意内容的机会，这些内容会被AI系统抓取和学习，从而放大欺骗性设计和模型异常行为。作者形式化了AI Grooming威胁：攻击者利用数据空洞植入伪装成正常样本的恶意样本，以破坏模型推理并使欺骗性实践正常化。为应对该威胁，DPAgent框架协调四个专有智能体：1）探索智能体：在实时Web环境中主动探索欺骗性UI；2）检测智能体：利用潜在空间净化与防御性提示技术检测欺骗模式；3）修复智能体：自动修复检测到的欺骗界面；4）评估智能体：持续监控防御效果。该框架直接在Web浏览器环境中运行，无需后端修改。实验表明：DPAgent对Groomed样本的检测率达90.98%，在隐私欺骗模式检测任务中取得0.816的微F1分数，达到当前最优；仅访问约10%的基线所需页面即可探索超过80%的模式类型；成功修复77%的检测到的欺骗界面。对485个真实网站的规模研究发现，高达98%的网站包含至少一个隐私欺骗模式，其中超过90%可被DPAgent缓解。用户研究进一步证实DPAgent在保持浏览体验的同时有效降低了隐私风险。本文工作展示了智能体中间人防御在保障Web UI供应链安全、对抗基于数据空洞利用的欺骗性设计与新兴AI威胁方面的潜力。适合安全研究人员、LLM应用开发者以及隐私保护从业者阅读。

欧盟计划于2026年底推出EUDI数字身份钱包，允许用户在设备上存储数字凭证（如官方身份证明的电子表示），并安全、隐私地向网站披露身份属性。然而，用户在做凭证披露决策时可能过度分享，导致隐私泄露风险。本文通过大规模用户与专家调查（研究一）以及评估Credential Assistant工具的有效性（研究二），揭示了以下关键发现：首先，用户普遍存在过度披露行为——例如约20%的用户会将官方身份证明披露给新闻网站，表明用户难以保护隐私，这将严重影响EUDI钱包的可用性，并可能导致隐私侵犯、身份盗用等后果。其次，研究者设计的Credential Assistant工具通过显示专家建议和用户观点，显著降低了用户的凭证披露错误率，从约15%降至约7%。然而，该工具并未完全消除不良决策，尤其是对于敏感属性，可能需要更强有力的干预措施。研究贡献在于系统揭示了数字钱包场景下的凭证披露风险，并提出了一种可行的缓解方案。本文适合隐私研究人员、身份认证系统设计者、政策制定者以及安全从业者阅读，以理解用户行为风险并设计更好的隐私保护机制。

无线网络中的服务发现是设备动态发现并通信的基础过程，对5G、物联网等现代系统至关重要。然而，现有协议在隐私保护、访问控制表达力和效率方面存在局限。PriSrv+ 在 NDSS'24 的 PriSrv 基础上，提出了快速且表达力强的匹配加密 (FEME)，这是首个支持无界属性空间且能表达任意字符串作为属性的匹配加密方案，从而显著增强了服务发现的灵活性与隐私性。与 PriSrv 相比，PriSrv+ 优化了密码学操作，加密速度快 7.62 倍，解密速度快 6.23 倍，密文大小减少 87.33%；同时，服务广播通信成本降低 87.33%，匿名相互认证通信成本降低 86.64%。该协议兼容 mDNS、BLE、Wi-Fi 等主流无线协议，适用于资源受限环境。形式化安全证明确保了 FEME 和 PriSrv+ 的安全性。在多种平台上的评估表明，PriSrv+ 在性能、可扩展性和效率上均优于现有方案。

该论文提出了一种名为PriSrv的隐私增强型服务发现协议，旨在解决无线通信中现有服务发现协议隐私保护不足、易泄露设备敏感信息并引发网络攻击的问题。PriSrv允许服务提供者和客户端在建立连接前指定细粒度的认证策略，通过双层匹配架构实现：外层使用公共属性过滤不匹配的实体，内层利用选择性披露的私有属性进行双向认证。作为核心组件，作者提出了基于匿名凭证的匹配加密原语（ACME），能够单步完成双层匹配，实现双向策略控制、选择性属性披露以及多次会话不可链接性。为实例化ACME，设计了快速匿名凭证方案（FAC），提供常量大小的凭证和高效验证。论文展示了PriSrv与EAP、mDNS、BLE、AirDrop等主流无线框架的互操作性，并给出了详细的形式化安全证明和在台式机、笔记本、智能手机、树莓派等平台上的性能评估。结果表明，PriSrv在主流移动设备上可在1秒内完成安全发现，同时提供增强的隐私保障和高可用性。该研究适合对无线网络安全、隐私增强技术及密码协议感兴趣的学术界和工业界读者。

该论文研究了短租房产（如Airbnb）中房东使用智能设备（如智能音箱、智能门锁、恒温器等）时对房客隐私的考虑。研究通过半结构化访谈（N=24）和一项大规模调查（N=207）收集数据，发现房东虽然出于安全、便利等目的部署智能设备，但往往缺乏对房客隐私的系统性考量。许多房东未能主动告知房客设备的存在、数据收集范围或提供退出机制，即使有部分房东采取了简单措施（如关闭摄像头），但整体上存在“善意却半心半意”的现象。研究还揭示了房东在隐私与利益之间的权衡矛盾，以及技术与法律认知的缺失。主要贡献包括：提出短租场景下房东隐私实践的分类框架，指出当前隐私通知与控制的不足，并为改善房东-房客隐私关系提供设计建议。适合人机交互、隐私安全及短租平台从业者阅读。

该论文通过三项研究（在线调查、拦截式研究、日记研究）深入探讨了Android用户对应用权限的感知与控制行为。研究1（N=103）调查了用户对权限请求的警觉性及权限撤销意愿；研究2（N=61）在真实场景中拦截权限请求并询问用户对其必要性及类型的理解；研究3（N=20）通过7天日记记录用户权限相关互动。结果显示：用户对权限请求的警觉性较低，多数用户忽略权限请求或不清楚权限用途；缺乏清晰的权限说明和上下文信息导致用户难以做出知情决策；用户往往高估其控制能力；部分用户采用规避行为（如拒绝所有请求）而非理性判断。论文贡献了用户权限行为的实证模型，并为改进Android权限界面提出设计建议，如提供更明确的权限用途说明及互动式权限管理工具。

本文研究差分隐私（DP）约束下的多目标子模最大化（MOSM）问题，旨在从敏感数据集中选择一个最多包含 k 个元素的子集，以最大化 d 个单调子模函数的最小值，同时满足 ε-差分隐私。虽然差分隐私单目标子模最大化和非隐私的多目标子模最大化已有大量研究，但据作者所知，本文是首个将差分隐私与多目标子模最大化相结合的工作。作者提出了两种新算法：第一种扩展了经典贪心算法，第二种采用截断技术，两者均集成了差分隐私机制以实现隐私保护，并给出了针对 MOSM 的近似保证。最后，作者在多目标设置下，针对最大覆盖和设施选址两个子模最大化应用进行了数值实验，验证了所提算法的有效性和效率。该工作主要面向对差分隐私、子模优化理论感兴趣的算法研究人员。

随着ChatGPT等公共大语言模型(LLM)的广泛部署，用户提示(prompt)的隐私保护成为关键问题。现有的隐私保护推理方法要么牺牲效用，要么牺牲效率，并且通常需要针对特定模型进行修改，兼容性受限。本文提出SharedRequest，一种模型无关的隐私保护LLM推理框架，将隐私保护从单个提示层面提升到批次层面。核心思想是将原始提示与噪声变体混合以混淆敏感信息，同时将语义等价的指令分组，从而在大型查询批次中摊销推理成本，对LLM响应质量影响极小。该设计独立于LLM架构，无需访问模型参数或修改架构。实验结果表明，与之前的差分隐私基线相比，SharedRequest的效用提升超过20%；与非分批推理相比，其共享提示机制将查询成本降低最多5倍。本文适合关注LLM隐私保护、模型部署效率和安全研究的人员阅读。

本文提出了一种名为 PURGE 的机器遗忘算法，其核心思想基于持续学习（Continual Learning, CL）与机器遗忘（Machine Unlearning, MU）的本质二元性：持续学习旨在学习新任务而不遗忘旧知识，而机器遗忘则旨在擦除特定数据的同时保持模型在保留集上的性能。PURGE 通过借鉴 A-GEM 的梯度投影方法，将遗忘步骤的梯度约束在保留集损失不增加的可行方向内，从而在每次更新时保护保留集性能。在此基础上，PURGE 进一步实现了多层表示擦除：它不仅关注输出层，而是在中间隐藏层将遗忘集样本的激活分布推向保留集分布，从而更彻底地移除信息，避免仅在输出层压制。一个关键设计是“保留混淆目标”（retain-confusion target）：不同于将遗忘集输出推向均匀分布（作者发现均匀分布易被成员推断攻击检测到），PURGE 将遗忘集输出推向模型在保留集上的自然混淆分布，使得遗忘后的模型难以与从头重新训练的模型区分。算法还引入了两个自调节停止准则：保留损失预算和遗忘准确率目标，使算法自动决定何时停止，无需手动调整训练轮数。在 CIFAR-10、MNIST、SVHN、STL10、PathMNIST 五个数据集上的 22 个类别级遗忘任务实验中，PURGE 持续保持了保留集准确率高于 96%，同时成员推断攻击的 AUROC 趋近于理想值 0.5，在隐私-效用前沿上优于梯度上升、KL-均匀分布以及多个已发表基线方法。该方法对于大语言模型中特定数据遗忘场景（如版权内容移除、隐私数据擦除）具有潜在迁移价值。

针对图神经网络（GNN）的现有隐私分析大多继承自非图数据场景的假设，忽略了结构依赖性和随机训练图采样。尤其是节点相关的先验导致仅凭第一类和第二类错误无法充分刻画最佳成员推断测试。为此，本文提出贝叶斯成员隐私（BMP），一种采样感知的节点级成员隐私定义，将节点相关的先验和图采样概率纳入攻击者知识。BMP将成员推断建模为贝叶斯假设检验，并通过后验成员概率量化成员隐私。论文探讨了BMP与现有定义之间的理论关系，并进一步提出一种实用的、采样感知的审计机制来估计BMP参数，作为GNN节点级隐私泄露的度量。在基准图数据集上的实验表明，BMP能提供比全局攻击精度更细粒度的隐私洞见。

本文针对用户向云端LLM发送查询时的隐私泄露问题，提出了一种基于情境完整性（Contextual Integrity, CI）的查询重写方法。现有基于PII类型的脱敏方式忽略上下文，导致两类问题：过度暴露未标注的敏感上下文，或过度移除与回答相关的片段。作者将隐私保护的查询重写重新定义在CI框架下：只有任务必需的字段才应被转发。为此，他们构建了首个任务导向的CI基准测试DelegateCI-Bench，包含3,167个样本，涵盖11个任务和20种任务类型，包括高质量合成数据、基于WildChat的真实用户查询以及一个密集敏感信息的医疗挑战集。在此基础上，他们提出CI引导的强化学习框架，将必需和非必需敏感字段转化为可验证的优化信号，训练查询重写器在保留任务关键信息的同时抑制不必要的敏感披露。实验表明，该学习型重写器在隐私-效用权衡上达到最佳，在设备端基线基础上平均效用提升高达+10.1。该研究为隐私感知的LLM委托提供了新范式。

本文提出 ImageAuditor，一种针对基于图像检索增强生成（IRAG）系统的成员推理攻击（MIA）方法。IRAG 系统利用外部数据库中的参考图像来增强冻结的生成器，支持文本到图像（T2I）和问答（Q&A）任务。由于这些数据库通常不透明且内容来自网络爬取，版权所有者需要审计特定图像是否出现在数据库中。现有的针对单模态文本 RAG 的 MIA 方法无法直接迁移到 IRAG，主要面临两个挑战：一是跨模态检索，无法像文本 RAG 那样通过将目标内容注入查询来强制检索目标图像；二是判别信号提取，IRAG 中的 T2I 生成器输出图像而非文本答案，难以通过问题回答提取成员信号。为克服这些挑战，ImageAuditor 将每个攻击查询分解为检索段和提取段，并分别进行优化。在检索段，提出奖励引导的策略优化（RGPO）方法，通过从奖励排序的候选中更新随机策略来导航跨模态嵌入空间，并具有有限样本最优性保证以平衡探索与利用。在提取段，分析 MIA 评分的分布以协同设计提示策略和评分规则，并为 T2I 和 Q&A 任务推导出特定实例化。通过 K-means 聚类聚合多个查询的信号以做出可靠的成员判断。实验表明，ImageAuditor 在多种 IRAG 系统上仅需每个被审计图像 4 个查询即可达到超过 80% 的 AUROC，并且在各种设置下均表现鲁棒。

该论文提出了QV-net，一种去中心化的自计票二次投票协议，旨在解决现有基于区块链的二次投票（QV）系统中投票隐私缺失的问题。在当前的DAO（去中心化自治组织）投票实践中，QV被广泛用于缓解大额代币持有者的主导作用，但选票以明文形式公开并附带数字签名，严重侵犯了投票者的隐私，可能影响诚实参与。先前的研究虽然使用同态加密等密码学技术对QV选票进行加密，但这些方案均依赖中心化的计票权威机构，不适用于无需可信第三方的DAO场景。QV-net基于自计票（self-tallying）设计，允许所有节点在无需任何可信方的情况下共同完成计票，同时实现最大选票保密性（maximal ballot secrecy），即除了最终的计票结果外，不泄露任何单个选票的详细信息。协议采用分布式密钥生成和零知识证明来确保选票的合法性和完整性，并防止双花或虚假投票。实验分析表明，该方案在计算和通信开销方面具有可行性，能够支持中等规模的DAO选举。该论文的主要贡献包括：首次将自计票概念引入二次投票，提出了一种完全去中心化且保护隐私的QV方案；形式化定义了最大选票保密性的安全模型；通过原型实现验证了协议的效率。适合阅读人群：区块链安全研究者、密码学协议设计者、DAO治理参与者。

该论文提出了一种名为Echelon的跨组织语言模型适应训练架构，旨在解决日益严峻的治理约束问题：在许多部署场景中，设备级模型状态（参数、激活值、优化器状态、每次更新）不能导出到管理边界之外。现有的分布式和联邦学习架构通常假设跨站模型交换，然后再改造隐私机制，这增加了合规复杂性并使审计变得脆弱。Echelon采用“边界优先”的训练架构，将设备级模型状态不导出作为系统不变量。设备在每个边界内本地训练；跨边界的唯一负载是安全聚合的边界级增量以及O(1)的协调元数据，并通过具体的审计接口暴露。将交换限制为聚合值改变了优化问题：系统必须在广域网延迟、异构参与、节点离开和non-IID数据下保持稳定，即使全局层面从未看到每设备更新。Echelon结合了缓冲半异步安全聚合、过时感知加权、参与窗口、近端局部目标和漂移感知外部同步控制器。在2个边界、1B参数LoRA适应的实验中（24.88M token，三个种子），Echelon在固定token、固定字节、固定壁钟时间和固定同步次数预算下，达到了验证损失3.887±0.010，在低通信基线中最佳或并列最佳。在OpenWebText压力测试中，Echelon在各种广域网和non-IID条件下维持2,139-2,176 token/s的吞吐量；Echelon-DA在广域网延迟下相对隐私对等的DiLoCo+SA基线改善了达到目标时间，且在模拟200ms延迟或严重non-IID分区下质量下降不超过2.2%。该工作适合关注跨组织LLM训练隐私合规、联邦学习系统设计的研究人员阅读。

本文研究工具增强型语言代理（tool-augmented language agents）中投机性工具调用（speculative tool calls）带来的隐私泄露问题。这类代理为了隐藏延迟，会在未确定最终执行分支前，提前向外部的工具服务发出可能需要的调用。然而，这些投机调用实际上会泄露用户的原始意图信息——即使代理随后放弃该分支，外部服务已经接收并保留了该信息。作者将这种调用称为“鬼影工具调用”（ghost tool calls），并指出问题的核心是时间性而非授权：任何事后清理、只读限制或访问控制列表都无法撤回已发送给观察者的数据。 为解决此问题，作者提出了投机工具隐私契约（Speculative Tool Privacy Contracts, STPC）——一种运行时抽象，将承诺前的观察行为视为与状态变更并列的一等效果。该抽象允许代理在调用前定义隐私策略，控制何时以及如何向外部服务透露参数或目标。作者实现了一个原型运行时，并在三个语料库上评估了十二种策略（包括后验过滤器、只读限制、访问控制白名单和问题时间策略）。实验表明，投机调度会增加观察者对用户意图的推断能力；后验过滤器、只读限制和访问控制白名单均无法消除这种推断；只有那些在调度前改变或抑制投机调用参数或目标投影的问题时间策略（issue-time policies）才能有效降低推断。 主要贡献：（1）首次明确提出并形式化鬼影工具调用问题；（2）提出投机工具隐私契约作为解决方案；（3）通过实验比较多种策略，证明问题时间策略的必要性。本文适合关注 LLM 代理安全与隐私的研究者和工程师阅读。

该论文研究在不确定需求下的古诺寡头竞争市场中，竞争对手之间通过隐私保护渠道共享信息的激励机制。核心问题是：竞争性供应商是否愿意通过平台披露其私人信号？平台可以采用添加噪声的隐私保护机制，但噪声会降低信息效用。作者首先刻画了信息访问权与参与挂钩的基准设定。在没有外部信号的两企业市场中，无论隐私保护水平如何，企业都拒绝共享。但在 n 企业市场中，即使没有隐私保护，共享也可能发生，因为不参与者会失去对聚合信号的访问权。在此基础上，作者发现仅靠隐私保护不足以激励共享，必须同时存在一个信息量足够的外部信号。此外，拥有更准确私人信号的企业需要更强的隐私保护。论文通过博弈论分析，界定了共享可行域，并揭示了隐私设计与外部信息环境之间的互补关系。主要贡献在于为竞争环境下的隐私保护数据共享提供了理论基础，对平台设计、行业数据池构建等具有指导意义。适合关注数据经济、隐私机制设计的研究者和从业者阅读。

本文提出Unicity执行层（Unicity Execution Layer），作为Unicity框架的一个模块化组件，旨在实现安全的链下交易，同时保持无需信任的双花预防。论文首先建立了形式化安全模型，其中代币所有权由公钥表示，转移需要数字签名。作者证明了三个基本安全属性：（1）无双花——每个代币状态最多只能被花费一次；（2）无阻塞——只有合法所有者才能阻止代币被花费；（3）服务端隐私——Unicity服务无法将不同交易关联到同一代币。针对用户端隐私，引入了广义多公钥签名方案，允许一个秘密生成多个不可链接的公钥，并提供了交互式和非交互式具体实例化，从而实现使用稳定公共身份的私密交易，且密钥管理开销最小。该工作通过形式化方法确保了链下执行的安全性和隐私保护，为扩展区块链吞吐量提供了理论支撑。适合区块链安全研究人员、分布式系统开发者以及关注隐私保护的密码学从业者阅读。

差分隐私（DP）文本合成技术旨在通过生成合成数据来解锁敏感语料库，使其可用于模型训练，同时保护隐私。然而，现有评估基准存在重大局限性：它们使用的任务通常即使不经过训练也能近乎解决，因此强基准性能并不能证明DP合成数据能够替代原始数据访问。为了填补这一评估空白，本文提出了ContinuousBench——一个持续自动更新的基准，用于衡量DP合成文本带来的能力增益。每个季度，ContinuousBench会发布一个全新的训练语料库及对应的问答（QA）数据集，这些数据被设计为：（1）没有语料库则无法解决；（2）在DP下可学习，因为测试知识由数百条独立记录支持。研究人员从训练语料库中生成DP合成数据，并通过标准化的训练和评估工具衡量能力提升。ContinuousBench包含两个赛道：Geminon，一个关于虚构生物的程序生成数据集；以及News，一个持续爬取的公共新闻文章流。实验结果表明，虽然标准基准已近乎饱和，但在ContinuousBench上，非私有合成数据能够从原始语料库中传递大量知识，而最先进的DP合成方法即使在ε=100的高隐私预算下也基本无法做到这一点。这揭示了当前DP合成文本在传递新知识和能力方面的严重不足，对依赖DP合成数据作为数据访问替代方案的研究与实践提出了挑战。

本文研究了机器学习模型在敏感数据训练时可能泄露训练分布群体信息的问题，即分布推断攻击（DIA）。攻击者仅通过黑盒访问模型，即可推断出敏感的人口统计属性（如子群体比例）。现有防御手段如差分隐私和属性遗忘已有相关研究，但公平性约束与分布泄漏之间的关联尚未被探索。本文提出公平微调（Fair Fine-tuning, FFt）方法：在等概率差异（Equalized Odds）约束下，将训练好的模型在互补分布样本上微调。作者给出了完整的理论刻画，证明了紧界：Adv(A, M_f) ≤ Δ_EO · W，其中W量化了根据敏感属性组成区分两个训练分布的程度。还建立了FFt降低对手优势的必要条件，并证明了界的紧性。在六个数据集上进行了评估，涵盖表格数据（ACS Income, COMPAS, German Credit）、图像数据（UTKFaces）和自然语言处理数据（Bias in Bios）。基于重温的FFt一致地将对抗准确率差距降低到检测阈值τ=0.1以下；在ACS Income数据集上，差距从约15%降至4%以下。本文首次提供了连接模型测量的EO差异与DIA游戏中对抗优势的形式化边界，为统一公平性和隐私防御开辟了新途径。适合机器学习安全、隐私保护、公平性研究领域的读者。

本文对可穿戴智能健康设备（WSHD）及其配套应用程序的安全性进行了系统分析。研究背景是WSHD近年来快速发展，但安全风险同步增长，尤其是用户个人健康信息的泄露问题。核心问题是WSHD设备、配套应用及通信渠道中存在的漏洞如何导致隐私泄露。研究方法包括对配套应用进行静态和动态分析，以及在蓝牙低功耗（BLE）通信层进行数据包伪造实验。主要发现：配套应用中存在硬编码的安全密钥、认证令牌和API端点，攻击者利用这些信息可以篡改从应用发送到云端的数据；同时，通过伪造BLE数据包，能够修改WSHD设备上的属性，例如心率读数等。实验证明这些安全风险对用户和制造商都具有严重影响。为缓解风险，作者提出了若干建议，包括在开发过程中实施安全编码规范、对API和BLE通信进行加密认证、定期安全审计等。本研究的贡献在于揭示了WSHD生态系统中多个层面的安全薄弱环节，并为制造商和开发者提供了可操作的加固指南。适合安全研究人员、智能健康设备制造商以及移动应用开发者阅读。

该研究针对移动应用隐私政策生成不准确的问题，提出了一种结合静态代码分析的自动化方法。现有基于问卷的隐私政策生成器依赖于开发者正确回答隐私相关问题，但实际生成的策略往往无法反映应用的真正隐私实践。研究者设计并实现了PrivacyFlash Pro，一个针对iOS应用的隐私政策生成器，它通过静态分析识别代码中的隐私相关签名，包括Plist权限字符串、框架导入、类实例化、授权方法等证据，并将这些签名映射到隐私政策中表达的实践。同时，利用包管理器资源识别第三方库。该方法旨在提高隐私政策生成的准确性和自动化程度，减少开发者负担并提升合规性。适合移动应用开发者、隐私合规人员及安全研究人员阅读。

该论文针对机器学习中的数据最小化（Data Minimization, DM）原则进行了系统研究。组织在训练和部署预测模型时，往往收集大量详细的客户数据，一旦发生数据泄露，将导致隐私暴露风险。政策制定者日益要求遵守数据最小化原则，即仅收集任务相关且必要的数据。然而，目前关于如何部署遵守DM的机器学习模型的研究甚少。本文提出了一种基于数据泛化的垂直数据最小化（Vertical DM, vDM）工作流，通过设计确保在模型训练和部署过程中不收集全分辨率客户数据，从而在发生泄露时减少攻击面，保护客户隐私。作者形式化并研究了在泛化过程中同时最大化数据效用和最小化经验隐私风险的问题，通过引入一组多样化的、与政策一致的对抗场景来量化隐私风险。最后，提出了多种基线vDM算法，以及一种特别有效的算法——隐私感知树（Privacy-aware Tree, PAT），该算法在多个设置下优于所有基线。作者计划将代码作为公开库发布，以推动机器学习中DM标准的建立。该工作为实际应用中DM原则的进一步探索和采用奠定了基础。

该论文通过访谈美国 LGBTQ+ 社区成员，探讨他们如何接收、评估和应用在线安全、隐私与安全建议。研究发现，LGBTQ+ 用户面临着独特的威胁模型，包括针对性骚扰、身份揭露、社交平台歧视等，但现有安全建议往往未考虑这些情境。参与者报告称，他们经常从非正式渠道（如同伴社区、社交媒体）获取建议，而对来自主流安全机构（如政府、大型科技公司）的建议持怀疑态度，因为后者缺乏对 LGBTQ+ 具体需求的关注。论文还指出，用户在日常实践中会调整建议以适应自身情况，例如采用假身份、选择性分享、使用隐私保护工具等，但常常面临可用性与社会压力之间的权衡。研究贡献在于揭示了安全建议设计与边缘群体实际需求之间的鸿沟，并提出了为这类群体设计可采纳、包容性安全建议的指导原则。适合安全策略制定者、用户体验设计者及关注社会计算的研究者阅读。

该论文针对肯尼亚和坦桑尼亚的移动货币（MoMo）服务中用户与代理之间的交互实践展开研究。移动货币作为数字金融服务在非洲普及，为大量无银行账户人群提供了便利，但现有研究多关注其益处，而较少探讨人类利益相关者在交互中面临的具体挑战。研究者通过72次结构化访谈（每个国家36次）发现，用户和代理为了克服生态系统中的限制和困难，设计了一系列变通方案：如代理向用户提供预支或贷款、利用用户-代理关系代替法定身份验证、以及改变预期交易执行流程以提高便利性。这些变通方案实质上修改了移动货币的核心组成部分——用户、代理和交易本身，因而引入了新的风险和挑战，包括隐私泄露、安全漏洞以及监管空白。论文指出，需要重新思考移动货币各个组件的隐私与安全设计，并制定相应的政策和监管控制措施，在保障交互安全的同时确保服务的可用性。本研究为数字金融服务中的人为因素和安全性设计提供了实证依据。

本文研究了机器学习中的“遗忘”（unlearning）问题，即如何从已训练好的模型中移除某个用户数据的影响，以满足如“被遗忘权”等法律和用户需求。针对光滑强凸损失函数下的随机优化场景，前期工作已经提出了一些遗忘算法及其误差界，但遗忘的统计代价——即与从头再训练相比，遗忘算法在泛化误差上的额外成本——尚未明确。本文几乎完全解决了这一问题：作者证明了近似ε-遗忘的额外种群风险（excess population risk）的上界和下界，并且这些界除了一个条件数因子外是紧的。对于单位球上的均值估计，上下界完全匹配。最优遗忘率等于通常的统计误差加上一个遗忘惩罚项，该惩罚项在从头再训练率和随ε/d增长而指数级减小的项之间插值，其中d是模型维度。特别地，当ε远大于d时，所提出的ε-遗忘算法相比从头再训练和差分隐私基线，在精度上呈指数级提升；而当ε小于等于d时，从头再训练是最优的。该工作为理解遗忘的基本统计成本提供了理论基础。

该论文针对美国枪支暴力问题，提出了一种去中心化且端到端加密的全国枪支注册系统设计。背景是美国国会正在考虑建立自愿性的全国枪支登记制度，但面临政治争议和数据隐私挑战。论文将立法提案中的高层愿景转化为具体技术需求，并设计了一个密码学协议来满足这些需求。协议可视为由本地管理的端到端加密数据库构成的去中心化系统，采用结构化加密、安全多方计算和秘密共享等多种密码学原语作为基础构建块。作者给出了形式化的安全定义，并证明了协议满足该安全定义。他们实现了该协议，并在美国部署规模下进行了性能评估，实验结果表明，去中心化且端到端加密的全国枪支注册系统不仅在理论上是可能的，而且在实践中也是可行的。论文主要贡献在于：1) 提出了首个针对此类敏感数据登记系统的实际密码学解决方案；2) 进行了严谨的安全性证明；3) 通过大规模实验验证了性能可行性。适合密码学研究者、隐私保护工程师以及参与政策制定的安全专家阅读。

本文通过在线调查探究用户对Google账户第三方应用访问的安全与隐私感知。研究分为两部分：第一部分调查432名用户，发现89%记得使用过至少一次Google单点登录（SSO），52%记得授权过至少一个第三方应用。第二部分重新招募214名参与者，检查其实际授权的应用和SSO，结果发现86%在至少一个服务上使用了Google SSO，67%有至少一个授权第三方应用。参与者最担心个人信息（如电子邮件地址和公开信息）被访问，但对日历、邮件或云存储等更广泛（且可能更具侵入性）的访问权限却不太在意。研究认为这种差异部分源于用户对与Google集成的应用产生信任转移，形成隐含的合作伙伴关系。最后，本文提出改进Google当前第三方应用管理工具的设计机会，例如跟踪最近访问、因应用闲置而自动撤销权限、以及提供更细粒度的权限控制。

该论文研究LTE网络中的视频识别攻击，旨在通过分析加密的LTE流量特征（如数据包大小、时间模式等）来推断用户正在观看的视频内容。尽管LTE通信使用加密协议保护用户数据，但流量分析仍可能泄露隐私。作者提出了一种实用的攻击方法，能够从基站到用户设备的加密流量中识别视频流，并利用机器学习模型匹配已知视频数据库，实现了较高的识别准确率。实验表明，该攻击在真实LTE网络环境中有效，且不需要破解加密或接入核心网络，仅需被动监听无线链路。论文还讨论了影响攻击效果的因素，如视频编码、网络缓存等。主要贡献在于证明了现有LTE隐私保护措施在面对高级流量分析时的脆弱性，并呼吁加强流量混淆或填充等防御机制。

本文提出了一种针对通用数据保护条例（GDPR）合规的视觉监控系统，通过将全部推理过程限制在边缘设备上，从根本上解决了云推理中原始图像数据暴露于外部服务所带来的隐私风险。该系统采用隐私保护设计原则，选取YOLOv5n-seg模型编译到Hailo-8L AI加速器上，在Raspberry Pi 5上实现实时目标检测，推理后立即丢弃原始像素缓冲区。一个带状态的触发引擎会将最小化的JSON事件负载转发到本地运行的Phi-3 Mini（3.8B参数，Q4_0量化）模型，该模型合成一到两句自然语言警报供人工操作员查看。整个过程中，任何图像数据均不跨越网络边界，仅传输生成的文本警报。本文详细描述了系统架构与实现，在目标硬件上测量了推理延迟和资源利用率，并展示了代表性的生成警报。结果显示，在单板计算机上结合专用神经网络加速器与本地大语言模型不仅可行，而且能产生可实际部署、可读性强的监控输出，同时从设计上符合GDPR第5(1)(c)条的数据最小化原则。该工作为隐私敏感的视觉监控场景提供了一种可落地的技术方案。

本论文提出了一种新的轻量级协议，用于解决私有重击者（private heavy hitters）问题。在该问题中，存在大量客户端和少量数据收集服务器，每个客户端持有私有的比特串，服务器希望恢复所有流行字符串的集合，而不学习任何客户端的具体字符串。例如，浏览器厂商可以使用该协议了解哪些主页是流行的，而无需获知单个用户的主页。论文还考虑了更简单的私有子集直方图问题。协议使用两个数据收集服务器，在协议运行中每个客户端仅向服务器发送一条消息。协议保护客户端隐私，能够抵御其中一个服务器的任意恶意行为，且无需公钥密码（除安全通道外）或通用多方计算。相反，论文依赖于增量分布式点函数（incremental distributed point functions），这是一种新的密码学工具，允许客户端简洁地秘密共享一个指数级大二叉树上的节点标签，前提是树中只有一条非零路径。此外，论文还开发了新的通用工具，用于在分布式点函数的应用中提供恶意安全性。协议的一个局限性是它向服务器泄露的额外信息略多于流行字符串本身。论文精确定义并量化了这种泄露，并说明了如何减轻其影响。实验评估中，在美国两侧的两个服务器可以在54分钟内从40万个客户端持有的256位比特串中找到200个最流行的字符串。协议高度可并行化，估计使用每个逻辑服务器20台物理机器，可以在略超过1小时的计算内处理超过1000万个客户端的数据。

增强现实（AR）头戴设备持续感知周围环境，捕获附近的旁观者，从而引发隐私风险。视觉旁观者隐私增强技术（PET）通过检测自我中心场景视图中的旁观者并应用隐私转换（如模糊化）来缓解这一风险。然而，传统的PET评估依赖于人工、开销高且设备特定，导致跨设备复现困难。本文提出EvaluatAR，一个跨设备评估框架，用于PET评估早期阶段的快速原型化。该框架通过记录-重放工作流标准化PET的输入（传感器数据和视觉刺激）和输出，实现对实验条件的可控制复制。作者在HoloLens 2、Magic Leap 2和Meta Quest 3三个设备上，针对隐式（连续、上下文驱动）和显式（意图驱动）两种PET类型进行了三个案例研究：（1）跨设备重放PET输入，揭示设备特定的隐私-性能权衡；（2）同一框架工作流在隐式和显式PET设计类别间的泛化能力；（3）重放隐私相关的边缘案例以诊断失败并验证PET修改，结果优于现有基线。这些结果证明EvaluatAR支持快速迭代的PET开发，推进了旁观者PET的可复现跨设备评估，在AR普适化关键时刻具有重要意义。

本技术报告旨在评估基于Tor的以太坊验证者位置隐私保护方案。以太坊网络的验证者节点在参与共识时，其IP地址与身份（如验证者公钥）之间的可关联性会带来严重的安全风险：攻击者可通过关联IP和身份，结合验证者的出块时机，发起拒绝服务（DoS）攻击、利用最大可提取价值（MEV）或破坏最终确定性。因此，保护验证者的IP地址匿名性对于维护网络信任和韧性至关重要。论文首先回顾了已有的网络层和共识层隐私保护技术，指出这些方案在可部署性或隐私保证上的不足。随后，作者提出并评估了一种名为Tor push的协议：该协议通过将验证者的证明（attestation）、聚合（aggregation）和区块提案（block proposal）流量经由Tor网络转发，从而在验证者身份与节点IP之间实现去关联。为了验证可行性，作者在Nimbus以太坊客户端中实现了Tor push的概念验证（PoC），并在Goerli测试网上运行。实验结果显示，Tor push的平均延迟开销约为613.82毫秒，该延迟对于以太坊网络性能的影响处于可接受范围，同时显著增强了验证者的位置隐私。论文还分析了Tor push的安全性，包括针对Tor出口节点的信任模型、Sybil攻击风险以及延迟波动对共识的影响。整体而言，该研究证明了将Tor集成到现有以太坊网络中是一种可行且有效的隐私增强方案，为验证者隐私保护提供了一种实用的工程化路径。

GUI代理（如智能助手）依赖截屏来理解用户操作意图并跨应用执行任务，然而截屏中常包含私人消息、医疗记录、支付凭证以及工作流等敏感信息。现有的静态PII检测器无法动态感知不同任务、场景或用户角色下的隐私边界，而云端视觉语言模型（VLM）可能在决定哪些内容应被保护之前就将原始截屏上传至云端，带来隐私泄露风险。为此，本文提出MaskClaw——一种部署在边缘侧的隐私仲裁器，专门为GUI代理设计。MaskClaw在截屏离开可信用户或组织控制环境之前，首先提取本地视觉证据（如文本、图标等），然后检索用户和任务特定的策略记忆库，最终做出“允许”、“遮盖”或“询问”的决定。此外，MaskClaw引入行为驱动的技能演化机制：通过五个精心设计的演化场景（如用户纠正、取消或编辑操作），将用户的隐私反馈转化为可复用的隐私技能，这些技能经过沙箱门检查后可供后续调用。为评估方法有效性，作者构建了P-GUI-Evo基准测试，该基准基于真实UI模式、重构的HTML截屏和经过脱敏处理的标签。实验表明，仅依赖模式匹配、云端推理或简单路由的方法，要么过度确认（放行敏感信息），要么过度遮盖（影响功能），要么在同一协议下直接暴露原始截屏，而MaskClaw能在隐私保护和功能可用性之间取得更优平衡。该研究对开发注重隐私的GUI代理、边缘计算场景下的数据保护方案具有重要参考价值。

该论文聚焦于6G网络中集成感知与通信（ISAC）技术的隐私挑战与解决方案。ISAC是未来通信网络的关键特性，通过空间感知可提升网络性能并支持外部服务，但同时也引入了超越通信内容机密性的隐私问题。未来使用毫米波和亚太赫兹频段的6G网络可能收集或推断部署区域内人员、设备、旁观者、被动物体和环境的详细信息。这些感知数据可揭示位置和环境信息，支持行为分析（如运动或活动识别），甚至暴露生理数据（如呼吸频率或心率）。因此，必须控制空间感知能力以满足隐私需求。论文将隐私敏感的ISAC数据组织为三个感知层级：位置与环境数据、行为数据、生理数据，并以此作为全文组织原则。基于此分类，讨论了内部和外部ISAC应用，识别了与同意、透明度、数据所有权、行为分析、旁观者暴露以及敏感感知数据相关的隐私挑战，回顾了代表性解决方案方向，并概述了隐私保护ISAC的未来研究方向。该研究为6G网络设计中的隐私保护提供了系统化的分析框架，适合通信安全研究人员、6G标准制定者及隐私合规工程师阅读。

本文针对满足 (ε, δ)-差分隐私的标量实值查询函数，设计了一类加性噪声机制，特别关注中低隐私保护水平（即ε较大或δ较宽松）的场景。作者提出的“混合机制”（mixture mechanisms）通过混合多个高斯分布来构造噪声分布，这些高斯分布具有相同的方差，但均值不同，并通过凸组合的方式调整混合权重。具体而言，该分布可以解释为零均值高斯（如分析高斯机制中使用的）与若干均值依赖于查询敏感度的高斯分布的凸组合。论文推导了实现 (ε, δ)-DP 所需方差的紧条件，并给出了高效算法计算这些方差。与广泛使用的分析高斯机制相比，混合机制在期望噪声幅值（ℓ1损失）和方差（零均值分布的ℓ2损失）上均有显著降低。在驱动本设计的低隐私保护水平下，该机制接近于最优，几乎消除了分析高斯机制的全部最优性缺口。该研究为差分隐私的噪声注入提供了一种新的理论框架，适合对差分隐私理论、隐私保护数据发布感兴趣的研究人员和工程师阅读。

本文针对现有RingCT（环机密交易）协议在处理多输入交易时效率低、匿名性弱的问题，提出了一种新型的任意多证明（any-out-of-many proof）方案。该方案是一种对数大小的零知识证明，用于证明公开列表中存在任意数量的秘密，且不泄露秘密的具体个数，克服了以往部分知识证明必须暴露秘密数量的缺陷。作者还通过通用的内积变换技术，结合Bulletproofs压缩方法，将证明大小优化至2⌈log₂(N)⌉+9。基于该证明方案，他们构建了一个紧凑的RingCT协议，能够为多输入交易提供对数级别的通信复杂度，并在匿名性上达到已知最高水平，优于Omniring等方法。此外，该协议经修改还可应用于多重环签名等场景。论文的主要贡献是提出了首个基于部分知识证明的、具有最强匿名性的RingCT协议，并展示了其在区块链隐私保护中的广泛适用性。

本文聚焦于聊天代理（chat agent）记忆系统中的成员推断攻击（MIA）。现有MIA研究主要针对训练语料库或检索数据库，但代理记忆包含敏感的用户-代理交互、检索事实和用户偏好，其隐私泄露风险尚未被充分探索。作者提出了一种统一的攻击方法——多召回记忆MIA（MRMMIA），利用多个召回探针（multiple recall probes）从代理中提取成员信号，覆盖黑盒、灰盒和白盒三种设定。实验结果显示，MRMMIA在多个指标上持续优于基线方法。该研究首次系统性地评估了聊天代理记忆系统的成员泄露风险，为相关隐私评估提供了初步框架。主要贡献包括：定义了代理记忆MIA问题、提出了可跨设定使用的通用攻击方法、以及通过实验揭示了代理记忆的隐私脆弱性。适合关注大语言模型隐私、系统安全的研究人员和工程师阅读。

本文指出当前数字隐私研究过度聚焦于欧盟通用数据保护条例（GDPR）等少数西方监管框架，忽视了其他地区用户的隐私关切、态度和问题，造成了显著的研究盲点。作者系统性地将多个国家/地区的数据保护法律中的异构法律要求，沿着数据生命周期进行归一化，形成统一的抽象模型，该模型可作为实施此类法规的基础。进一步，文章探讨了这些法律对不同利益相关方（用户、组织、政府）的影响。本研究旨在拓宽数字隐私研究社区的视角，并为开发跨国的技术隐私解决方案提供指导原则。

该论文系统性地研究了Android权限系统中两个被忽视的过时机制，这些机制持续破坏用户知情同意：（1）权限组（permission groups）机制：用户首次授权某个权限后，后续同一组内的新权限会被静默自动授予，用户无感知；（2）普通级自定义权限（normal-level custom permissions）：安装时自动授予，且允许跨应用访问，用户完全不可见。作者对AndroZoo仓库中的1930万APK（涵盖597万个独立应用标识符）进行了纵向分析，并在Android 16设备上进行了验证。在224万多个多版本应用中，381026个（17%）在已授权组内静默获得了新增权限。通过VirusTotal检测（主阈值为20），被标记为恶意软件的应用在组内扩展权限的比例高于良性应用（优势比=1.35，p<0.001）；该关联在所有测试阈值下均成立，且集中在权限密集型应用中（上四分位数优势比=2.06）。此外，还识别出307个跨开发者的普通级自定义权限对，这些配对允许无关应用访问联系人、短信、位置、认证凭据、用户身份和医疗记录，而无需任何用户提示。基于公开Android API的轻量级原型在96天单设备试点中，记录了13个应用的23次静默扩展事件，表明不修改操作系统即可实现更新时的透明度。研究表明，尽管Android平台已加固十年，但同意侵蚀问题依然存在，影响范围从冷门工具到广泛部署的预装软件。

本文提出Cloak，一种新型的 oblivious 存储系统，旨在解决传统 ORAM（Oblivious Random Access Machine）在真实场景中部署效率低下的问题。ORAM 通过隐藏用户对云端数据的访问模式来防止侧信道攻击，但其高昂的通信开销（通常比非保护基线高数十倍）阻碍了实际应用。Cloak的核心创新在于利用真实工作负载中普遍存在的时间局部性——即最近被访问的数据更可能被再次访问——来显著提升性能。具体而言，Cloak 让服务器流量遵循一种固定的“近期偏置”模式，即访问概率随数据被访问的时间衰减，然后将真实查询尽量填充进这种预定义的流量模式中。当工作负载表现出时间局部性时，真实查询与流量模式高度匹配，从而大幅降低额外开销。实验表明，对于 Netflix 点击流和以太坊交易轨迹这两种具有强时间局部性的数据集，在单台机器上 Cloak 分别实现了每秒 165,000 次和 157,000 次操作，开销仅约为非 oblivious 未加密基线的 1.1 倍。重要的是，这种启发式优化仅影响性能，不影响安全性——Cloak 的 oblivious 性质依赖于其所遵循的固定流量模式，而非查询的真实分布。因此，即使攻击者观察到模式化的流量，也无法从中推断出实际访问模式。本文的主要贡献在于：1) 识别并利用了时间局部性这一真实工作负载的简单属性来优化 ORAM；2) 证明了在特定条件下，启发式 oblivious 方案可以接近非 oblivious 系统的性能；3) 通过在大规模真实轨迹上的实验验证了 Cloak 的高吞吐量和低开销。本文对于研究安全存储和隐私保护的学者、以及寻求在云环境中部署高安全存储系统的工程师具有重要参考价值。

本文针对本地差分隐私（LDP）协议缺乏系统化比较方法的问题，提出了基于定量信息流（QIF）的分析框架。当前LDP领域通常使用隐私预算ε作为隐私度量，但ε仅能约束最坏情况下的区分性；其他比较则依赖效用驱动分析，即针对给定隐私预算ε评估机制保留数据效用的能力。这两种方法都无法全面评估协议面对不同攻击者模型时的安全性。本文通过将LDP机制建模为概率信道，利用细化（Blackwell序）概念建立更原则化的分类，从而判断一个协议是否在所有可能的攻击者面前本质上优于另一个协议，并讨论其对效用分析的影响。具体地，作者对七种主流协议进行了形式化QIF分析，包括广义随机响应（GRR）、局部哈希变体（BLH、OLH）、一元编码方案（SUE、OUE）以及直方图编码阈值化（THE）。分析发现，一些先前被认为“最优”的协议实际上与其他协议不可比或被严格主导。该工作弥合了LDP与形式化方法社区之间的鸿沟，实现了对本地隐私系统的原则化、攻击者感知推理。

该论文针对车辆轨迹数据发布中的隐私保护问题，提出了一种上下文感知的度量差分隐私（Context-aware mDP, C-mDP）框架。现有度量差分隐私（mDP）机制通常独立地扰动每个位置记录，忽略了轨迹数据中时间上相邻位置之间的上下文依赖关系，导致发布数据的效用损失较大。C-mDP将保护秘密定义为上下文增强记录（当前位置结合历史上下文），并在该增强域上实施度量不可区分性，从而将上下文信息纳入隐私保护模型。为了实现最优机制，作者将C-mDP机制设计建模为一个线性规划（LP）问题，目标是最小化期望效用损失同时满足C-mDP约束。为解决LP规模过大的问题，利用当前位置与上下文变量之间的条件独立结构，推导出简化公式，大幅减少了决策变量和约束数量。使用真实车辆移动数据集进行实验，与标准mDP基线方法（如平面拉普拉斯机制）比较，结果表明在相同隐私预算下，C-mDP始终能获得更高的数据效用，同时满足所需的度量隐私保证。该工作适合隐私保护研究人员、移动服务开发者及智能交通系统设计者阅读。

本文将Nakamura (2026) 在单期Kyle模型中提出的隐私补贴封闭形式解推广至连续时间框架。研究背景是自动化做市商（AMM）在面对噪声订单流时的隐私与市场效率权衡。核心问题：在连续时间Kyle模型中，当做市商观察到被独立布朗运动扰动（扩散强度σ_ε）的聚合订单流时，如何量化隐私噪声对流动性提供者收益的影响。方法上，论文建立了马尔可夫线性均衡，得到价格影响系数λ=σ_v/√(σ_u^2+σ_ε^2)（时间常数），并推导出在[0,1]时间段内从协议流动性池向交易者的累积期望转移为|Π_M|=σ_v σ_ε^2/√(σ_u^2+σ_ε^2)。主要贡献：1）证明了累积隐私补贴与损失-再平衡（LVR, Milionis et al. 2022）之间的结构对偶性，将隐私噪声福利识别为订单流观察视角下的LVR价格观察缺口；2）完成了在隐私聚合信息环境下量化承诺型AMM盈亏平衡费用的理论体系。该研究为理解DeFi中隐私保护机制的市场影响提供了数学基础。适合对市场微观结构、博弈论和去中心化金融理论感兴趣的读者。

该论文针对加密消息系统中虚假信息泛滥但用户隐私保护需求日益增长的矛盾，提出了一个名为FACTS（模糊匿名投诉计数系统）的新型解决方案。核心挑战在于如何在不牺牲端到端加密隐私的前提下，有效检测和阻止谣言、假新闻等误导性内容的病毒式传播。FACTS的核心思想是让用户对消息进行匿名投诉，但系统仅在单个消息收到的投诉数量超过预设高阈值时，才解密并公开该消息的具体内容及原始发送者。这种设计确保了未引起广泛怀疑的消息内容与发送者完全不被泄露，从而保护了多数用户的隐私。技术层面，作者提出了一种新颖的协作计数布隆过滤器（collaborative counting Bloom filter），这是一种概率性数据结构，能在分布式环境下以极小开销高效聚合匿名投诉计数，同时具备差分隐私性质。论文给出了该数据结构的详细概率分析、严格的安全性定义与证明，并通过实验验证了其在每天百万级投诉量下的实用性能。与先前工作相比，FACTS的主要创新在于引入了多投诉高阈值机制，有效防止了单次恶意举报导致的误报。该研究适合密码学、隐私保护、虚假信息检测以及安全消息系统领域的研究人员和工程师阅读。

该论文提出了一种名为Thora的协议，旨在解决区块链支付通道网络中多通道更新的原子性和隐私保护问题。在现有的闪电网络等通道网络中，多跳支付通常依赖哈希时间锁合约（HTLC）来实现原子性，但HTLC存在隐私泄露（如路径可追踪）和资金锁定效率低等问题。Thora通过引入一种新的原子交换机制，结合了同态承诺和零知识证明，使得多个通道的状态更新能够原子性地提交，同时隐藏了通道间的关联和路径信息。具体而言，Thora采用了一种基于适配器签名的变体，允许参与方在不知道彼此秘密的情况下达成一致，并通过加密承诺确保所有更新要么全部执行，要么全部回滚。此外，协议利用零知识范围证明来验证通道余额的合法性，而无需公开具体数值。实验表明，Thora在典型拓扑下的通信轮次与HTLC相当，但显著降低了链上交互频率，并提供了更强的隐私保护。该工作适用于需要多跳支付或跨通道原子交换的场景，如去中心化金融（DeFi）中的原子交换或闪电网络的隐私增强。

该论文针对现有隐私测量工具（如CFIP、IUIPC、PAQ）早于GDPR超十年、仅关注隐私关切而忽略用户对具体监管权利（如数据可携带权、删除权、自动化决策权）偏好的问题，提出了一种基于GDPR的隐私偏好测量项目库（GPPI）。研究方法包括：从全部99个GDPR条款中提取669条陈述，经过两轮专家审查达成完全共识；通过语义聚类形成10个父主题和87个子主题；再经50名隐私专家（每主题5人）以≥4/5投票保留阈值进行共识审查，最终得到包含9个父主题、73个子主题、共527个项目的测量库。每个父主题包含18-112个项目，每个子主题1-29个项目，专家平均配对一致性约85%。该工作引入了与监管机制对齐的用户偏好互补测量维度，使从业者能够评估用户对GDPR合规政策中各项权利的重视程度。适合隐私研究人员、政策制定者及合规设计从业者阅读。

该论文首次对苹果的私有云计算（Private Cloud Compute, PCC）系统进行了逆向工程分析，旨在评估其隐私保护声明的可信度。PCC是苹果为在移动设备上集成AI而设计的隐私优先计算架构，其核心宣称包括不存储用户数据、用户输入与账户不可关联。尽管苹果公开了大部分系统规范，但编译后的二进制文件缺乏符号、不可重现构建，导致规范与实际部署之间存在潜在差异。此外，底层模型和查询接口未公开，限制了学术评估。研究者通过逆向工程移动设备上的PCC实现，成功打开了非公开接口，允许在本地设备上执行自定义PCC查询，并独立对PCC模型进行了基准测试。他们发现当前实现中存在一些与隐私承诺的偏差，例如某些日志行为可能暴露用户交互信息。该研究还公开了PCC基准测试框架，为后续隐私评估提供了工具。主要贡献包括：首次详细的PCC逆向工程、开放非公开接口、独立模型性能评估以及公开测试框架。适合关注移动AI隐私、苹果安全架构以及云隐私方案验证的研究人员和安全从业者阅读。

本研究关注扩散语言模型（DLM）中的训练数据记忆与提取问题。以往对于大语言模型记忆性的研究几乎完全基于前缀条件提取，这适合自回归模型，但扩散语言模型可以在任意位置去噪被遮蔽的token，因此仅用前缀探测会低估训练数据提取的风险。为真实建模DLM中训练数据的可提取性，作者提出了"填充提取"（infilling extraction）协议，该协议由任意二元掩码参数化，涵盖前缀条件提取并考虑DLM的双向归纳偏差。在LLaDA-8B和Dream-7B模型上，针对五种提取模式、三种训练流程和三个语料库（涵盖逐字和部分泄露）进行了实验。结果显示，掩码几何形状控制着可提取性：边缘条件掩码提取的逐字序列比前缀条件掩码多三倍，且双向访问打开了自回归模型无法使用的通道。特别是，一个能够访问训练数据（其中个人可识别信息已被编辑）的现实攻击者，从DLM中提取已编辑电子邮件地址的召回率甚至高于从规模匹配的自回归模型中提取。解码的可调参数显著影响提取性能，而后续的监督微调阶段并未消除先前的记忆。本工作揭示了扩散语言模型在训练数据泄露方面的独特风险，强调了在部署前需评估此类模型的隐私安全性。

该论文提出了CHRONOS，一种针对时态知识图谱数据市场的三层架构，旨在解决静态设计中的三个耦合失效问题：陈旧混合索引导致召回率下降、静态Shapley定价在分布偏移后价值误分配、未协调的代理过度消耗共享差分隐私预算。第一层采用神经ODE时间衰减来更新索引边，提供每查询预期召回损失界Big-O(Pq λ Δt)，并通过单调包络保证将边界松弛降至观测损失的1.8-3.2倍。第二层将Shapley估值基于检测到的变化点进行条件调整，并在噪声下提供有限样本误差保证。第三层使用EXP3-IX算法实现Big-O(√(T log T))遗憾界，同时通过矩会计强制执行ε、δ差分隐私。CHRONOS每个epoch发布一个通过高斯机制私有化的亲和矩阵；所有检索和排名均为后处理，不增加额外隐私成本。论文提供了多epoch结算、500卖家的可扩展性分析以及与加速基线的比较。在四个基准上，CHRONOS在10%召回率下达到0.937召回率、每秒2.74次查询、161 ms延迟，在zCDP组合下总ε为4.25，δ=10^{-6}。结果表明这是一个有竞争力的操作点。局限性在于此隐私水平下发布的估值仍受噪声主导；效用主要来自低敏感度统计驱动的公共索引路由和自适应调度。

大型语言模型（LLM）依赖键值（KV）缓存加速推理，许多服务系统进一步在用户请求间共享KV缓存以减少冗余计算。然而，无限制的跨用户共享引入了侧信道漏洞，攻击者可以通过探测缓存是否命中来推断用户输入。现有防御完全禁用共享以避免泄漏，但这种粗粒度的策略牺牲了巨大的复用潜力，因为提示中通常包含大量隐私无关的片段，如系统指令或公开可访问的材料。基于此，本文提出CachePrune，一种隐私感知的KV缓存共享机制，实现在请求之间对KV条目进行细粒度复用。实现这种细粒度需要令牌级别的缓存管理，因为可复用片段因敏感性掩蔽而在长度和位置上变化，使得复用比现有粗粒度方案中使用的固定大小或句子级分块更复杂。具体而言，CachePrune通过解决两个关键挑战使细粒度复用变得可行：准确高效地推导可复用KV片段，以及在可变长度跨度上高效检索它们。作者在vLLM上实现了CachePrune，并在三个数据集上进行了评估，结果表明它消除了通过KV缓存重用侧信道的直接泄漏，同时与最先进的方法相比，将TTFT（首个令牌时间）降低了4.5倍，缓存命中率提高了44%。本文的主要贡献包括：提出隐私感知的细粒度KV缓存共享框架，设计令牌级别的缓存管理和检索算法，并通过实验证明了其在隐私保护和性能提升上的有效性。适合对LLM推理系统安全、隐私保护和性能优化感兴趣的研究人员阅读。

本文系统性地研究了OpenClaw这一本地可执行AI代理系统的安全、隐私与伦理风险及可追溯性挑战。OpenClaw支持自然语言交互和真实世界任务完成，在个人助理、办公自动化、跨平台任务管理和信息集成方面展现出强大潜力。然而，这种高度权限的代理集成到个人和组织数字环境中会引发严重的安全、隐私和伦理问题。论文通过分析其系统架构、核心功能、部署模型和典型应用场景，揭示了持续性本地存储、工具调用、跨上下文信息聚合、多用户交互以及插件与外部服务集成等环节存在的风险。这些风险构成了该技术可信部署和广泛采用的主要障碍。最后，论文总结了AI代理在安全防御、隐私保护、伦理治理和可追溯性方面的开放挑战，呼吁研究人员、开发者、部署者和监管者共同努力，构建更安全、可靠、可信的AI代理系统。

在线行为广告及其相关的跟踪技术对用户隐私构成严重威胁。现有的隐私增强工具（如广告拦截器、防跟踪插件）在面对日益复杂的广告和跟踪系统时效果有限。为此，本文提出了HARPO（一种基于学习的系统），旨在通过混淆手段颠覆在线行为广告。HARPO采用强化学习（Reinforcement Learning）框架，自适应地在用户的真实页面浏览中穿插访问虚假页面，从而扭曲跟踪器对用户浏览画像的认知。具体而言，HARPO将用户与跟踪器的交互建模为一个序贯决策问题，智能体（agent）根据当前状态选择行动（访问真实页面或虚假页面），以最大化隐私收益（如错误兴趣分段数量、出价干扰等）。实验评估基于真实世界的用户画像和广告定向模型，结果表明HARPO能够触发超过40%的错误兴趣分段，并将广告出价提升6倍以上（相比基准）。与现有的混淆工具相比，在相同开销下，HARPO的隐私提升幅度高达16倍。此外，HARPO在对抗检测方面也具有更好的隐蔽性，能够有效躲避跟踪器对混淆行为的识别。本研究的核心贡献在于：首次将强化学习应用于广告混淆领域；在真实广告系统中验证了有效性；展示了比现有方法更优的隐私保护效果与抗检测能力。适合关注在线隐私、广告技术、强化学习应用的安全研究人员阅读。

全同态加密（FHE）仅支持加法和乘法运算，因此在FHE环境下进行神经网络推理时，需要用多项式近似替代ReLU激活函数。传统方法通过在经验激活区间上进行多项式拟合来控制逼近误差，通常需要较高次数的多项式，导致同态求值开销增加。然而，分类结果仅由最终logit的决策边界决定，激活函数的局部近似误差不一定影响分类准确性。本文从决策感知的角度重新审视ReLU替换问题：给定一个训练好的单隐层ReLU MLP和一个指定的校准集，能否在不重新训练的情况下，找到一个低次（二次）HE友好的多项式替换ReLU，同时保持校准集上的决策结果？作者聚焦于二次替换（最低次的保持单单元非线性的选择）。对于在升维空间中正间隔可分的校准集，他们将二次替换建模为线性可分问题，给出了校准无损替换的充要条件，并提出了构造系数的算法。当正间隔条件不成立时（通常由少数误分类校准样本导致），他们通过约简凸壳和拉格朗日对偶软间隔松弛扩展了相同的几何框架，从而限制任何单个样本的影响，将问题转化为较小的凸二次规划，得到近似可行的系数，并在校准集决策上具有较高的经验一致性。特别地，在最大权重上限μ=1时，约简凸壳松弛退化为严格可分情况下的凸壳分离；该松弛连续地扩展了精确理论。在CKKS加密方案下，该二次替换在多个基准测试上匹配明文top-1精度，激活模块运行速度比Remez-7快3.7–4.1倍，端到端速度提升1.18–1.68倍。本文方法适用于需要FHE推理且希望降低多项式次数的场景，尤其适合隐私计算和机器学习即服务（MLaaS）中处理敏感数据的情况。

本研究探讨了在增强现实/虚拟现实（AR/VR）环境中，利用用户的头部运动作为侧信道来窃取键盘输入。作者提出了一种攻击方法，通过分析用户佩戴AR/VR头显时自然产生的头部运动（如打字时头部微小的摆动），使用深度学习模型将运动模式映射到键盘按键。实验表明，该方法能够以较高准确率重建用户输入的文本，从而暴露敏感信息。这项研究揭示了AR/VR设备中新一类隐私威胁，对用户输入安全提出了挑战。

本文提出了一种自动检测浏览器扩展隐私实践不一致性的系统 ExtPrivA。浏览器扩展在提供额外功能的同时，能够访问并收集用户数据。尽管扩展通过多种形式（如隐私政策和仪表板披露）告知用户其数据实践，但现有研究忽视了实际数据收集行为与隐私声明之间的潜在差距。ExtPrivA 通过从隐私政策和仪表板披露中提取隐私声明，形成对扩展隐私实践的清晰解释；模拟用户交互以触发扩展功能，并分析网络请求的发起者，准确识别从浏览器发送到外部服务器的用户数据。端到端评估显示，ExtPrivA 能以 85% 的精确率检测隐私声明与实际数据收集行为之间的不一致。对 Chrome Web Store 上 4.72 万个扩展的大规模研究发现，820 个扩展存在 1290 个与隐私声明不一致的数据流；更严重的是，360 个扩展的仪表板披露和隐私政策中发现了 525 对矛盾的隐私声明。这些差异被视为严重违反商店政策，可能误导用户并构成高隐私风险。本文工作揭示了浏览器扩展隐私声明中的关键问题，为提升扩展生态的隐私透明度和合规性提供了技术手段。

本文在点对点最大泄漏（PML）框架下研究隐私保证的两个要求：对后处理具有鲁棒性，以及能限定信息泄漏超过给定阈值的失败概率。作者首先分析两种受(近似)差分隐私启发的候选定义，发现两者均无法同时满足上述要求。为此，引入PML包络（PML envelope）概念，它度量在机制输出经过任意后处理后关于秘密的最大泄漏量。通过构造，PML包络同时满足鲁棒性和失败概率上界两个性质。文章讨论了包络的基本结构性质（如单调性），推导了通用上下界，并针对两种广泛使用的隐私机制——高隐私域下的PML极值机制和随机响应——进行具体分析。该工作将PML包络确立为一种自然且在操作上有意义的定义，用于提供在任意下游变换下仍能保持的隐私保证。

该论文研究了人脸识别系统中背景信息对图像相似度度量的影响。作者指出，通常人脸识别的准确度依赖于人脸及其表情，但背景中可能包含大量额外信息，这些信息可能对用户隐私构成威胁。实验中，作者使用DeepFace人脸识别系统，对六组不同数据集（包括不同种族、不同图像质量）的图像进行灰度化和背景白化预处理，然后计算原始图像与预处理图像之间的欧几里得距离（L2相似度）。结果表明，灰度化或背景白化使得图像变得不相似，甚至达到无法识别的程度。进一步发现，背景的影响在不同种族群体（如东亚、印度、非洲/非裔美国人）之间存在差异。作者强调，人脸图像背景中的信息可能显著且对隐私构成风险，并提出了如何识别具有较高隐私泄露风险的图像这一开放问题。该研究揭示了当前人脸识别系统在隐私保护方面的盲点，即背景信息可能被无意中用于识别或泄露用户敏感信息。

该论文针对分布式量子传感器网络中的精度与隐私权衡问题，建立了量子费舍尔信息（QFI）对偶性。具体而言，对于由 N 个传感器组成的网络，每个传感器本地编码相位参数，考虑任意 N 量子比特探针态，对于任意两个正交的单位传感方向 w 和 v，其对应的 QFI 之和满足 F_Q(w^T θ) + F_Q(v^T θ) ≤ N。当 N=2 时，所有赤道态均达到等式；当 N≥2 时，GHZ 态也达到等式。特别地，当在方向 w 上达到海森堡极限精度（即 F_Q(w^T θ)=N）时，该界限饱和，同时迫使所有其他独立方向的 QFI 为零。这一现象可解释为分布式量子传感中的参数隐私条件：对目标参数实现海森堡极限精度后，任何其他可能侵犯隐私的备选估计都无法进行。论文从理论上揭示了量子传感网络中超精密测量与隐私保护之间的内在制约关系，为设计兼具高精度与隐私保护的量子传感协议提供了理论基础。

该论文提出了一种高效的联邦学习因果遗忘方法 HF-KCU，用于在不完全重训练的情况下移除特定客户的数据贡献，以满足隐私法规（如 GDPR）的数据删除要求。传统方法从头重训练计算成本极高（O(d^3)），而 HF-KCU 通过 Krylov 子空间中的共轭梯度迭代近似影响函数，将复杂度降至 O(kd)（k<<d）。其核心创新包括：(1) 因果加权机制，仅让持有被删除数据的客户端接收参数更新，避免对其他客户端产生虚假影响；(2) 能够处理有界对抗性扰动（对 Hessian 和梯度的扰动），在现实威胁模型下提供优雅的性能退化。实验在 CIFAR-10、MNIST、Fashion-MNIST 上使用 ResNet-18、SimpleCNN 和 ViT-Lite 架构验证：在 CIFAR-10 上，HF-KCU 比重训练快 47.75 倍，测试精度仅下降 0.60%（71.16% vs 71.76%）；成员推理攻击在遗忘集上的成功率为 0.499，与重训练模型一致，证明有效恢复了隐私。论文还提供了收敛性保证，证明 Krylov 近似误差随 O((κ^(1/2)-1)/(κ^(1/2)+1)) 衰减（κ 为 Hessian 条件数）。该方法的精确性和效率使其适用于异步删除请求且计算预算受限的生产联邦学习系统。

该论文在经典的Glosten-Milgrom（1985）顺序交易模型框架下，引入了一个信息论隐私机制：市场做市商观察到的交易方向被一个二元翻转信道（翻转概率η）扰动。在贝叶斯市场做市商定价规则下，论文推导出了均衡买卖价差的闭式解为 μ(1-2η)Δ，其中μ为知情交易者比例，Δ为资产价值范围。福利分解揭示了一笔从协议流动性池到交易者的每笔交易转移 μηΔ——称为“隐私补贴”，这与先前在连续高斯Kyle模型中建立的隐私补贴概念相类似。该结果将隐私补贴概念从连续高斯环境扩展到了离散两状态微观结构，证明了这一概念在两个经典模型中的稳健性。主要应用场景为基于MPC（安全多方计算）的撮合引擎，其中引擎基于带差分隐私噪声的方向信号进行定价。论文通过理论推导和数学证明，展示了在金融市场微观结构中引入隐私保护机制对市场质量和福利的影响。适合对机制设计、市场微观结构、隐私保护经济学感兴趣的研究者阅读。

知识图谱（KG）作为链接数据的强大表示，具有灵活性、语义丰富性，并支持知识丰富化和推理，帮助数据所有者组织和利用异构数据提供个性化服务。然而，真实世界的知识图谱往往不完整，隐藏了真实事实或缺失有价值信息。知识图谱嵌入（KGE）技术常用于推断缺失信息，但基于KGE的推理可能无意中暴露敏感用户属性，即使此类数据未显式存储。本文研究了KGE推理带来的隐私风险，重点关注属性推断攻击：攻击者试图从看似非敏感的输出中推断用户敏感属性。我们提出并评估了一个框架，通过对KGE输出应用后处理消毒技术来缓解这些隐私风险。初步结果表明，此类攻击对KGE模型输出有效，并探索了采用随机化方法时推荐质量与隐私保护之间的权衡，突出了未来需要尝试更先进技术以解决该问题的必要性。

本文提出一个名为XAI FL-IDS的分布式入侵检测系统框架，旨在解决传统集中式IDS存在的两大局限：隐私泄露和缺乏可解释性。当前大多数IDS依赖集中式检测，要求IoT节点将原始数据发送至服务器，不仅增加网络开销，也无法保证数据隐私；同时，传统模型仅报告攻击与否，却不解释特征如何影响决策。作者首先通过联邦学习（FL）实现隐私保护：每个节点在本地训练数据，仅将更新参数（而非原始数据）上传至中央服务器，从而消除数据转移的隐私顾虑。其次，在本地节点和中央服务器两个层级的检测结果上，均使用SHAP（Shapley Additive Explanations）进行可解释性分析，提供决策过程的详细洞察。框架包含一个中央服务器和10个客户端，采用Edge-IIoTset数据集，并在客户端间均衡分布类别。每个客户端运行XGBoost模型。实验表明，该方法在入侵检测中表现稳健，准确率超过99%，有时可达100%。联邦学习的引入保证了每个本地节点网络信息的机密性。本文贡献在于将联邦学习与可解释AI有机结合，为分布式IDS提供了隐私保护与透明度兼具的解决方案。

该论文针对OnlyFans内容创作者面临的数字威胁和安全实践进行了定性研究。OnlyFans是一个基于订阅的内容平台，创作者常面临身份暴露、骚扰、跟踪、恶意泄露等风险，但现有研究缺乏对创作者群体特有安全挑战的理解。研究者通过半结构化访谈（n=25）和主题分析，深入探讨了创作者对数字安全的认知、威胁体验（如网络跟踪、虚假信息、经济欺诈）以及应对策略（如匿名化身份、使用虚拟私人网络、限制地理标签、选择性屏蔽）。研究发现，创作者普遍感到“身体安全但政治不安全”，意味着他们担心平台政策变化、法律风险以及社会污名化，而不仅仅是传统意义上的数字攻击。论文呼吁平台提供更透明的安全设置、社区规范教育以及针对性的法律支持，并建议安全社区将边缘化群体的安全需求纳入人机交互与隐私研究议程。该研究为安全从业者提供了理解非传统行业中用户安全实践的视角。

本文首次揭示了无线充电接口存在功率侧信道攻击漏洞。当智能手机通过无线充电器进行充电时，其活动状态会通过电流变化泄露给充电器发射端。研究者设计并实现了网站指纹识别攻击：在iPhone 11和Google Pixel 4上，通过分析无线充电过程中的电流轨迹，能够以超过90%的准确率识别出手机当前加载的Alexa Top Sites列表中的网站。此外，还进行了其他初步攻击实验。研究发现，该攻击的性能会随着网站内容随时间变化而下降，且无线充电侧信道与有线USB充电侧信道在信息泄露特性上相当，两者均严重依赖电池电量水平：低电量时信息泄露极少。该攻击构成重大安全威胁，因为只要设备在充电器发射端范围内，无线充电就会自动启动，用户无法阻止。本文结果对移动设备安全、侧信道防护及无线充电标准设计具有重要指导意义。

本论文系统性地评估了北美电子维修行业的隐私现状。研究分为四个部分：首先，通过对18家维修服务提供商的实地调研，发现大多数商家缺乏隐私政策或技术控制措施来保护用户的个人数据，技术人员可随意访问设备。其次，研究人员将装有监控设备的测试设备送往16家维修店，记录了技术人员广泛侵犯隐私的行为，包括浏览私人照片、文档、复制文件，以及清除窥探痕迹。第三，进行了112份在线问卷调查，收集用户维修经历。第四，对30名受访者进行半结构化访谈，深入理解用户体验并探讨可行的解决方案。研究发现，维修技术人员利用用户提供的密码，可轻松访问敏感数据，而用户几乎无法察觉或追责。论文最后从技术、法律和行业规范角度提出了改进建议，如强制实施隐私保护措施、加强监管和提升用户意识。该研究揭示了维修服务中隐私保护的严重缺失，为相关利益者和监管机构提供了实证依据。

本文提出一个名为DARTIC的去中心化匿名声誉框架，旨在解决链上众包系统中匿名性、声誉绑定和可扩展性之间的矛盾。现有去中心化声誉系统通常无法同时满足这三个要求。DARTIC采用双账本系统，允许请求者和工作者在不同交互中使用不同假名，实现不可链接性同时保持可问责性。为了抵御女巫攻击和声誉重置攻击，利用基于zkSNARK的集合成员证明，将所有用户假名加密绑定到单个访问令牌而不暴露连接关系。在可扩展性方面，研究了两种聚合技术，将多个证明压缩为单个简洁证明以减少验证开销。此外，设计了一个自动隐私保护声誉模型，能够动态评估不同众包场景中的贡献。在众感知和联邦学习场景中实例化并评估DARTIC，结果显示：单个令牌花费的证明生成时间不到3秒；聚合将1024个证明的验证时间从8.7秒降至0.96秒；zk批处理相比纯Layer-1部署降低了超过100倍的Gas成本。实验证明匿名性、强声誉绑定和可扩展性可以在完全去中心化众包系统中同时实现。

该论文针对现代智能建筑与环境中传感器基础设施的隐私合规问题展开研究。随着传感器数量和依赖传感器数据的服务激增，居民面临大量隐私决策，难以有效管理个人信息流，导致无法充当自己的“隐私防火墙”。现有方法要求用户对隐私法规进行定性推理、理解隐私敏感上下文并应用隐私变换，这对非技术用户而言几乎不可行。为此，作者提出利用大型语言模型（LLM）在社交/法律规范推理、传感器数据理解和程序合成方面的能力，构建名为PrivacyOracle的原型系统，自动代表用户配置隐私防火墙，实现智能建筑环境中的自动化隐私决策。实验表明，PrivacyOracle在从传感器数据中识别隐私敏感状态时准确率高达98%，在衡量信息流的社会可接受性方面准确率达75%。该工作为利用LLM解决实际隐私合规问题提供了新思路，尤其适合涉及传感器数据处理的系统安全与隐私研究人员阅读。

本文研究了 Google 提出的 Shared Storage API，该 API 是 Privacy Sandbox 的一部分，旨在替代第三方 cookie，同时减少隐私风险。Shared Storage API 允许第三方存储不被顶级网站分区的数据，但限制对这些数据的读取权限，以防止用户跨站重识别。然而，作者发现该 API 的设计和实现存在缺陷，使得攻击者能够绕过隐私保护目标，实现跨站用户重识别，并泄露比 Google 预期更多的数据。作者通过多种攻击方法证明了这些缺陷，包括利用 API 的写入和读取机制，结合其他 Web 技术（如导航和事件时序）来推断用户身份。尽管作者已向 Google 负责任地披露了这些攻击，但大多数攻击在 Chrome 中仍可执行。论文详细描述了攻击原理、实验验证，并讨论了潜在的缓解策略。该研究对关注 Web 隐私、广告技术和浏览器安全的研究人员和安全从业者有重要参考价值。

该论文针对检索增强生成（RAG）系统中的隐私泄露问题，指出传统PII过滤器容易忽略上下文数据泄露，例如通过非受管属性聚类可识别个人身份。作者提出了一种隐私政策执行（PPE）框架，采用双单类密度估计器，融合文本嵌入，并引入校准的拒绝区域以处理分布外输入。通过轴分层、多LLM合成数据流水线，在医学、金融和法律领域生成数据，发现传统高斯混合基线在边界安全压力测试中失败，因为它们关注语言风格而非内容。提出的T3+OCSVM检测器在安全和边界安全数据上训练，边界AUROC达到0.93以上，同时将误报率降低44-55个百分点，并保持毫秒级延迟。与有监督MLP分类器或14B参数LLM法官相比，该框架具有优越的操作适用性，前者拒绝率高，后者存在延迟和校准问题。该方法为任何合成数据训练的分类器提供了稳健的压力测试标准。

本文提出了一种名为BIDO（Biometric Identity Online）的无设备生物特征认证标准。传统的身份认证系统往往依赖于用户携带物理令牌、智能卡等硬件，或者存储长期生物特征模板，存在隐私泄露和资源消耗问题。BIDO旨在实现与NIST SP 800-63B中认证器保证等级2（AAL2）相当的安全强度，同时无需存储任何长期生物特征模板、面部图像或其他个人身份信息（PII）。其核心创新在于：在每次认证事件中，从实时采集的生物特征测量值（如面部图像）和用户自定义的记忆秘密（盐值）中，通过确定性算法派生出基于椭圆曲线数字签名算法（ECDSA）的密钥材料。这一过程消除了持久性私钥存储的需求，并且可以在任何商用传感器终端上完成验证。生成的凭证属于不可发现（非驻留）的WebAuthn凭证，完全兼容所有支持FIDO2的网站和服务，无需对服务器端进行任何修改。BIDO的具体流程包括：捕获200个有效的生物特征样本，使用Dlib 68点面部地标预测器进行特征提取，执行仿射面部对齐、正面门控、计算眼间中点的欧氏距离，再进行模数为8的底除量化、会话间漂移稳定，最后通过多数投票的SHA-256哈希绑定生成验证种子（Vseed）。WebAuthn凭证从Vseed中临时派生，签名后立即在内存中清零。实验基于三个主流面部基准数据集（VGGFace2、LFW、MegaFace）进行评估。结果表明：在LFW上达到99.51%的验证准确率，在MegaFace Challenge 1（含10^6干扰项）上Rank-1识别准确率为92.14%，密码学层次的错误接受率（FAR）仅为0.03%，错误拒绝率（FRR）为0.90%。该工作主要面向身份认证安全领域的研究者和开发者，尤其适用于需要强安全且尊重隐私的无密码认证场景。

本文提出PrivScope，一种针对混合本地-云端智能体系统的任务范围披露控制机制。在混合智能体系统中，本地代理会收集用户请求的上下文（包括持久工作状态）以增强任务完成度，但这也导致了过度披露问题——云端负载中包含了与当前任务无关的敏感信息。现有解决方案要么隔离工作流以限制跨工作流泄漏，要么应用通用去敏，但都无法针对本地组装的有效载荷进行智能推理。PrivScope作为受信任的设备端有效载荷管理器，位于本地与云端大语言模型之间，强制执行“任务范围披露”原则：敏感信息仅在必要且以最小披露形式发送到云端。其核心方法是：从组装的有效载荷中提取披露单元，将直接标识符和账户关联值保留在本地；其余单元通过云端必要性控制，确定哪些实际需要发送；必须发送到云端的单元会被抽象为任务所需的最不具体的表示。在三个商业云端大语言模型（GPT-4o-mini、Gemini 2.5 Flash等）上，使用100个医疗预约工作流进行实验，PrivScope将个人资料泄漏率从17.7%降至0.0%，重识别攻击成功率从64.3%降至23.1%，同时在所有测试模型上实现了最高的候选召回率，且任务成功率接近未保护基线。在五个本地骨干模型上增益保持一致，在商用硬件上仅增加数秒设备端延迟。

本文提出了一种新的隐私风险：攻击者可以通过分析加密网络流量的元数据（如数据包长度和到达间隔时间序列），推断用户在线浏览时的“persona”（角色或行为模式），而不仅仅是访问了哪个网站。传统网站指纹识别（WFP）主要关注识别用户访问的网站，但本文首次系统性地量化了现代网站中persona泄露的风险。为此，作者构建了一个基于LLM驱动的多智能体浏览框架。该框架利用计算机代理（computer-use agent）在可控的persona约束下与真实网站交互，并收集对应的加密流量迹。在形式化定义中，作者考虑了闭集和开集两种场景，并评估了现有WFP模型是否已经隐含了persona信息，以及能否以低成本放大这些信息。在10个现代网站和15个persona（加上一个开集类别）的实验设置中，persona推断在混合网站流量上达到了约84%的准确率；此外，通过轻量级多任务学习目标，可以在保持约93%的网站分类基线性能的同时，将persona推断准确率提升至约80%。实验结果表明，加密流量元数据不仅可能泄露用户访问的网站，还可能泄露用户的浏览方式和身份特征。该研究对在线隐私保护提出了新的挑战，适合隐私研究员、网络安全分析师和浏览器开发者关注。

该论文从隐私角度出发，论证内生代币（如加密资产）不具备货币属性。作者首先对公共、无需许可账本上的代币进行分类，将其与私人发行的稳定币及央行数字货币（CBDC）设计方案进行对比。随后，论文借鉴Kahn等人在《货币即隐私》中对现金与简化信用的分析框架，将其扩展到公共、无需许可账本的场景。研究发现，大多数公共账本采用基于账户的余额抽象，导致默认状态映射到《货币即隐私》中最有害的代理交互模型。核心结论有三：第一，区块链经济体系缺乏类似现金的原语；第二，稳定币本质上无法填补这一角色；第三，网络依赖内生代币提供安全性，将导致即使持有隐私保护资产也面临相同风险——因为该资产依赖与内生代币相同的全局账本状态。论文主要贡献在于澄清了代币分类与货币属性的关系，并指出了当前区块链隐私设计的根本局限。适合区块链安全研究员、隐私保护设计者及金融科技政策制定者阅读。

这篇论文重新审视了差分隐私随机梯度下降（DP-SGD）的安全分析。DP-SGD广泛应用于机器学习中保护训练数据，其隐私保证通常通过一个安全游戏来分析，攻击者试图从机制输出中推断目标记录是否在训练集中，隐私泄露由隐私曲线（假阳性率作为假阴性率的函数）表征。论文发现现有形式化分析与常见DP-SGD实现之间存在不匹配：现有分析通常将DP-SGD及其变体建模为子采样高斯机制（SGM），即对泊松采样的批次计算裁剪梯度和并添加高斯噪声。然而，许多实际实现中额外进行了归一化步骤：将含噪梯度之和除以预期批次大小或实际采样批次大小。这些机制应分别形式化为期望平均SGM（EASGM）和批次平均SGM（ASGM）。论文重新分析了EASGM和ASGM下的隐私保证，理论结果表明这些保证可能弱于标准SGM保证，意味着在某些情况下真实隐私泄露可能超过报告的保证。此外，论文审计了四个最先进的DP-SGD实现，包括Meta的Opacus库，并观察到超出SGM保证的经验泄露。最后，对Opacus v0.9.0至v1.5.4版本进行审计，并为最新实现推导了修正后的隐私保证。

本文提出名为 Prεεmpt 的框架，旨在解决大语言模型（LLM）输入提示中包含的敏感信息泄露风险。现有方法要么依赖手动规则，要么无法在隐私保护与模型效用之间取得良好平衡。Prεεmpt 采用基于强化学习的智能清洗机制，能够自动识别提示中的敏感实体（如姓名、地址、身份证号等），并将其泛化为语义等价但不可直接识别的替代符，同时保留任务所需的上下文信息。具体地，框架包含一个可训练的清洗策略网络，通过奖励函数同时优化隐私保护程度和下游任务性能。在多个基准数据集（如命名实体识别、情感分析、问答）上的实验表明，Prεεmpt 相比基线方法（如随机替换、差分隐私提示）在隐私-效用权衡上取得显著提升：在保持高任务准确率（平均下降<2%）的前提下，将敏感信息泄露风险降低超过80%。此外，Prεεmpt 具备模型无关性，可灵活适配不同 LLM 架构和任务类型。该工作为构建隐私安全的 LLM 应用提供了自动化、可扩展的解决方案。

本文针对厚移动虚拟网络运营商（Thick MVNO）在5G环境下面临的安全与隐私挑战，提出了一种名为PGUS（Pretty Good User Security）的安全框架。该框架的核心创新是引入了一种新的密码学原语——可净化盲签名（Sanitizable Blind Signature, SBS），并基于此设计了新的认证与密钥协商协议PGUS-AKA，以及无缝切换协议PGUS-HO。PGUS旨在保护厚MVNO环境中的所有通信安全，包括用户身份隐私、通信完整性和机密性。作者在通用可组合（UC）框架下进行了严格的形式化安全分析，证明协议能够抵抗多种关键威胁，如同谋攻击、重放攻击和中间人攻击。此外，在5G测试床上进行的实验评估表明，PGUS在计算开销、通信延迟和切换性能方面具有可行性，适用于下一代移动网络的实际部署。本文的主要贡献包括：首次将可净化盲签名引入移动网络认证领域，提出了完整的认证和切换协议，以及通过形式化分析和实验验证了方案的有效性。适合对5G安全、移动隐私保护和密码学协议设计感兴趣的研究人员阅读。

本文首次系统性地研究了强化学习中的机器遗忘问题，即“强化遗忘”。传统机器遗忘研究主要关注监督学习和无监督学习，而强化学习领域中，智能体在与环境交互过程中会记忆环境特征，引发隐私风险。根据数据保护法规，环境所有者有权撤销智能体对训练数据的访问，因此需要让智能体遗忘特定环境的知识。然而，强化遗忘面临三个独特挑战：1) 如何设计针对环境的遗忘方案；2) 如何避免遗忘过程损害智能体在其他环境中的性能；3) 如何有效评估遗忘效果。针对这些挑战，作者提出了两种强化遗忘方法：第一种基于递减强化学习，通过逐步减少目标环境中的奖励信号，使智能体逐渐擦除先前学到的知识；第二种利用环境中毒攻击，在目标环境中注入误导性反馈，迫使智能体学习错误知识以覆盖原有记忆。此外，为了评估遗忘效果，作者引入了“环境推断”概念，即通过分析智能体在目标环境中的行为来判断遗忘是否成功。实验部分（依据摘要推断）在多个连续控制环境中验证了两种方法的有效性，表明它们能在保持其余环境性能的同时实现遗忘，且环境推断能够可靠地量化遗忘程度。该研究填补了强化学习遗忘领域的空白，为隐私合规提供了新的技术路径。

本研究聚焦于通讯录（地址簿）中存在的相互依赖隐私问题。通讯录不仅包含用户自身的隐私信息，还涉及联系人的隐私数据，如姓名、电话号码、电子邮件地址等。当用户分享或同步通讯录时，可能导致未经同意地泄露联系人的隐私。论文首先系统分析了通讯录隐私问题的类型，包括数据收集、存储、共享等环节中的风险。随后提出了一种基于隐私偏好和细粒度控制的方法，允许用户和其联系人在通讯录数据共享时协商并设置隐私策略。该方法利用密码学技术和交互式协议，确保在共享通讯录信息时，只有获得所有相关方同意的数据才会被披露。实验部分通过用户研究和原型系统评估，证明了该方案在隐私保护、用户体验和性能方面的可行性。主要贡献包括：形式化定义了通讯录的相互依赖隐私问题，设计了去中心化的隐私保护框架，并通过实证研究验证了用户对隐私控制的重视。该工作适合隐私研究者和社交应用开发者阅读。

本文研究了差分隐私中个性化隐私预算的局限性。在差分隐私中，隐私预算ε的选择至关重要，它需要在满足隐私要求的同时最大化数据效用。一种常见的思路是为不同用户（或数据点）分配不同的隐私预算，即个性化隐私预算。然而，本文通过理论分析证明，个性化隐私预算的收益在均值估计任务中是有限的。具体而言，影响效用的主导因素并非完全个性化，而是选择合适的有效隐私预算。作者提出了一种简单的阈值化操作：将所有隐私预算低于某个阈值的用户视为非隐私数据，或统一分配一个公共预算。与这种阈值化基线相比，完全个性化机制带来的改进最多只能达到常数因子级别。论文精确量化了在混合公共和私有数据集、以及具有两层隐私要求的私有数据集场景中，个性化机制相对于阈值化基线的常数因子改进。此外，对于任意的隐私要求分布，作者建立了个性化机制可能达到的最大收益的上界，并识别了收益最大的参数区间。该研究否定了“个性化预算能大幅提升效用”的普遍直觉，为差分隐私系统的设计者提供了重要的理论指导，即通过简单的阈值化即可接近最优效用，无需复杂的个性化机制。

该论文提出了一种新的区块链不可追踪性概念——可否认的隐蔽资产转移（DCAT），旨在实现比传统混币器或隐私币更强的隐私保护。传统方案通过将交易置于匿名集中来隐藏发送方与接收方的关系，但交易事件本身仍可被观测到。DCAT的目标是使转移事件本身不可观测，通过将转移伪装成常见的去中心化金融（DeFi）活动（如三明治攻击和套利交易），使得发送方看似遭受普通损失，而接收方看似从中获利。论文设计了两种DCAT实例：基于以太坊的三明治攻击转移和基于Arbitrum的套利转移。实验表明，在评估设置下，DCAT转移在两条链上经验上不可观测；它们在语法上与相应的最大提取价值（MEV）活动完全相同，被标准MEV检测工具归类为普通提取行为，且在代表性取证工具下发送方和接收方不会被关联。由于语法检查无法区分DCAT与普通MEV活动，论文进一步考察经济语义是否提供有用的取证信号。通过对以太坊和Arbitrum上MEV损失的大规模研究，发现关键语义特征遵循幂律分布。极端损失和反复被利用的地址在真实世界中存在，因此它们本身并非共谋的决定性证据。这为伪装转移提供了可否认性，并使固定阈值的检测容易产生误报。为此，论文开发了一种多元统计方法用于取证分类，根据经济足迹的联合罕见性对事件进行排序。应用于真实DeFi活动时，该方法将大搜索空间缩小到可疑案例以供人工调查，并展示了三个案例以说明优先级排序。该研究主要面向区块链安全研究人员、隐私技术开发者以及DeFi领域的安全分析师，提供了新的隐私增强思路和取证分析工具。

本文提出水印技术应被视为一种监控原语，而非仅用于内容归属。传统上，水印评估侧重于对抗单个样本级别的规避或误报攻击，忽略了在多方参与的场景中，水印信号可能被聚合以推断实体级别信息。作者引入基于观察者的威胁模型，其中观察者可以通过跨输出聚合水印信号来推断实体（如特定用户或设备）的身份或行为模式。实验证明，即使是零比特水印，在多密钥设置下也能实现归属。此外，外部监控可能随着时间的推移从持久、密钥相关的统计结构中自发产生，尽管这取决于水印设计，并且可以通过保留分布或不可检测的方案来缓解。研究揭示了归属与监控之间的根本双用途矛盾，呼吁超越单一样本鲁棒性，考虑聚合和观察者能力来评估水印。

DiStefano 提出了一种去中心化基础设施，旨在解决可信加密事实的共享问题，同时避免泄露任何额外信息。传统的数据共享方案往往需要第三方信任或会暴露元数据，而 DiStefano 通过结合密码学原语（如可验证加密、零知识证明和去中心化账本）实现了“仅共享事实本身”的目标。其核心架构包括一个由多个节点组成的分布式网络，每个节点维护一个全局状态，记录经过验证的加密声明。参与者可以提交加密数据，并通过零知识证明证明其满足某些预定义规则（如数据格式、来源权威性），而无需暴露原始内容。系统采用拜占庭容错共识机制确保数据的一致性和不可篡改性。实验表明，DiStefano 在适度规模的节点下（如 50 个节点）能够保持低延迟（亚秒级验证时间）和高吞吐量（每秒处理数百个声明）。此外，该设计支持选择性披露，允许数据拥有者通过授权密钥让特定方解密事实。论文的主要贡献包括：形式化定义了“最小披露事实共享”的安全模型；提出了一种结合可验证加密和去中心化共识的实用协议；并通过原型实现验证了可行性与性能。该工作适合对隐私保护、去中心化系统和密码学应用感兴趣的研究人员阅读。

本文介绍了一种名为ThermalTap的新型被动非接触侧信道攻击方法，专门针对独立式VR头显。VR头显处理高度敏感的个人、专业和健康数据，但其对非接触物理侧信道的脆弱性此前研究不足。现有的侧信道攻击通常需要恶意软件执行或对硬件的物理访问，容易被检测和修补。ThermalTap利用头显机箱发出的长波红外（LWIR）辐射，将头显的热特征视为内部计算工作负载的高保真代理，从而在米级距离内无需任何设备交互即可实现对VR应用的指纹识别。为了在实际环境中实现稳健性能，该系统将商用热成像相机与多模态传感器套件（捕获环境温度、湿度和气流）结合，以归一化环境噪声。研究使用三款商用独立头显和六款应用进行评估。在室内条件下，仅用10秒热成像数据，应用识别准确率超过90%；在室外条件下，通过更长的会话级观测，几款应用仍可识别，最高准确率达81%。这些发现表明，热辐射是沉浸式系统的一个基本且不可避免的隐私风险，暴露了一个绕过当前软件级保护和物理访问控制的关键安全漏洞。本文适合VR安全研究人员、硬件安全工程师以及关注隐私威胁的从业者阅读。

本文首次系统研究监督微调（SFT）大型语言模型中的个人身份信息（PII）重建问题。SFT通过指令-响应对数据集将预训练知识适配到特定领域，但这些数据集常包含用户提供的敏感信息（如医疗和法律场景中的PII），存在隐私泄露风险。作者构建了多轮、用户中心的问答数据集，涵盖医疗和法律敏感领域，并嵌入真实PII以模拟攻击场景。在此数据集上，评估了具有不同背景知识（从无到部分）的对手能否从SFT模型中重建敏感信息。关键贡献是提出COVA（一种新型解码算法），在基于前缀的攻击下重建PII，其性能一致优于现有提取方法。实验表明，即使攻击者掌握部分知识，也能显著提高重建成功率，且不同PII类型的泄露程度差异显著。本文适合关注LLM隐私安全、数据泄露防护的研究者和安全工程师阅读。

该论文研究了大型语言模型（LLM）在模拟个体隐私决策方面的能力。随着LLM被越来越多地用于模拟人类行为，理解其能否准确反映真实用户的隐私偏好变得至关重要。作者提出了PrivacySIM评估套件，旨在通过一组核心用户角色属性（人口统计信息、过往经历、隐私态度）来驱动LLM模拟个体级别的隐私行为，并以1000名真实用户的实际响应作为基准进行对比。这1000名用户来自五项已发表的隐私用户研究，涵盖LLM医疗咨询、对话代理和聊天机器人等场景。实验基于九种前沿LLM，分别测试了不同角色属性组合下的模拟效果，并衡量模型在数据共享场景中的匹配准确率。主要发现包括：（1）引入隐私角色条件化后，模拟质量持续优于无角色条件，但最强模型的准确率仅为40.4%，远未达到忠实模拟个体隐私决策的水平；（2）用户陈述的隐私态度并非最佳预测因子，因为它们常常与实际隐私行为存在偏差；（3）具有高AI/聊天机器人经验但低隐私态度的用户是最难模拟的群体。PrivacySIM作为首个系统评估LLM隐私模拟能力的工具，为提升模型的用户行为建模提供了基准。该工作让安全从业者认识到现有LLM在模拟隐私行为方面的局限性，有助于推动更可靠的隐私保护测试方法。

该论文提出了一种新型环签名方案——Deanonymizable Scoped Linkable Ring Signatures (DSLRS)，旨在同时实现作用域可链接性与去中心化问责。传统的环签名虽能提供匿名性和签名者自主组成的灵活性，但在需要链接性和问责性的场景（如医疗保健中的同意管理）中有所欠缺。现有方案要么无法在单一签名中原生集成作用域可链接性和去中心化问责，要么依赖单独的承诺或中心化开放者。DSLRS 的核心创新包括：(1) 使用作用域（上下文标识符）和动态密钥镜像，实现在同一作用域内签名可链接、跨不同作用域不可链接；(2) 在签名中嵌入两个 ElGamal 组件，并利用一个由 k-of-N 节点组成的去中心化去匿名网络，协作提取签名者的公钥，从而实现去中心化问责。该方案在随机预言机模型下基于椭圆曲线离散对数问题 (ECDLP) 和决策性 Diffie-Hellman (DDH) 假设被证明安全，并给出了正式的安全定义和约简证明。最后，论文展示了一个基于区块链的同意管理应用实例，使用 DSLRS 来管理患者对医疗数据的授权。该研究为需要匿名性与问责性平衡的隐私保护应用提供了新的密码学原语。

本论文是第一篇系统化整合机器学习模型去记忆化（dememorization）两种主要方法——不可学习性（unlearnability）和机器遗忘（machine unlearning）——的研究综述。不可学习性通过在训练前向数据注入难以感知的扰动，从而降低模型对特定数据的学习能力；机器遗忘则是在训练后移除模型已获取的敏感信息，防止未经授权的披露或使用。论文指出，这两种防御手段虽旨在保护知识不被滥用，但都存在“浅层去记忆化”（shallow dememorization）的问题，即在权重扰动下会错误声称数据已不可学或已遗忘。此外，输入扰动可能影响后续机器遗忘的效果，而机器遗忘可能意外恢复被不可学习性隐藏的领域知识。研究贡献包括：(i) 提出统一的不可学习性和可扩展机器遗忘方法分类法；(ii) 通过实验评估主流方法的鲁棒性、相互作用及浅层去记忆化问题；(iii) 首次给出经过认证遗忘（certified unlearning）处理的模型去记忆化深度的理论保证。该工作为在整个机器学习生命周期中统一去记忆化机制、实现敏感知识的深度遗忘奠定了基础。

该论文通过半结构化访谈和调查等方法，深入探究了AI产品开发中从业者如何界定隐私工作的范围、驱动动机以及实际操作方式。研究发现，从业者在隐私工作中面临显著的不确定性（例如，对合规性要求理解模糊、缺乏统一实践指南），且动机往往混合了合规压力、道德责任和产品需求。论文揭示了从业者常用的“规避风险”策略，以及组织文化对隐私实践的深刻影响。主要贡献在于为AI产品开发中的隐私工程提供了实证基础，指出了现有隐私框架在实际落地中的缺口，并呼吁建立更具体、可操作的行业标准。适合隐私工程师、AI产品经理、安全合规人员阅读。

该论文提出一种名为 Holmes 的新型早期阶段网站指纹攻击方法，旨在解决现有基于深度学习的 WF 攻击在实际动态网络环境和各种防御机制下性能显著下降的问题。传统 WF 攻击依赖收集完整且纯净的页面加载流量，但实际中往往只能获取早期小部分流量，导致攻击效果不佳。Holmes 通过分析网站流量的时间分布和空间分布来实现早期阶段的稳健识别。具体地，它基于网站流量的时间分布设计自适应数据增强方法，并采用监督对比学习提取早期流量与预收集完整流量之间的相关性；然后通过计算流量与空间分布信息的相似度，准确识别早期阶段流量。作者在六个数据集上进行了广泛评估，与九种现有深度学习 WF 攻击相比，Holmes 对早期流量的 F1 分数平均提升 169.18%。此外，在真实暗网网站访问流量重放实验中，当平均页面加载比例仅为 21.71% 时，Holmes 仍能成功识别暗网站点，平均精确率提升 169.36%。该研究揭示了现有 WF 防御在早期流量分析下的脆弱性，对流量分析隐私保护领域具有重要参考价值。

本文研究了基于噪声的认证机器学习遗忘问题。现有方法面临一个硬性天花板：为保证遗忘认证所需添加的噪声量通常会严重破坏模型效用，尤其是在大规模删除请求场景下。结合公共数据是差分隐私中缓解这一矛盾的常用技术，但在遗忘领域尚未被充分探索。本文提出非对称朗之万遗忘（ALU）框架，利用公共数据来降低隐私成本。理论证明，注入公共数据能使遗忘成本以 $O(1/n_{\mathrm{pub}}^2)$ 的因子降低，保证了相对于重新训练的计算优势，从而建立了一种新的控制机制：从业者可以通过增加公共数据量来减少高噪声需求及其伴随的效用损失。此外，本文分析了分布不匹配的现实场景，明确刻画了公共与私人源数据之间的分布偏移如何影响效用。实验表明，ALU 能够在模型需要批量遗忘固定比例数据（标准对称方法在此情况下变得不切实际）时保持高效用。基于变分 Rényi 散度与成员推断攻击的实证评估证实，在合理的分布偏移下，ALU 能有效抵御隐私攻击同时保留模型效用。

本文重新定义了私有信息检索（PIR）问题中的隐私概念，以容纳灵活的隐私需求。传统PIR要求用户检索消息时，对所有服务器隐藏被检索的消息索引。然而，实际场景中可能不需要如此严格的隐私保护。作者聚焦于图复制PIR系统，其中每个服务器仅存储部分消息，且存储模式由某种图结构（如路径图或循环图）决定。他们引入了一个通用隐私需求集：对于每个服务器，可以指定其需要隐藏的消息索引子集（不必是所有消息），只要该服务器的存储消息索引包含在隐私需求集中即可。由于存储设置和隐私需求集有多种可能，论文重点分析了路径图和循环图两种存储拓扑，并针对每种拓扑考虑了多种隐私配置，例如隐私需求集仅包含某个邻域范围内的消息索引。通过引入邻域范围参数，实现了从局部PIR到标准图复制PIR的平滑过渡。作者推导了这些场景下的容量界或精确容量，揭示了隐私强度与通信开销之间的权衡关系。该工作为设计灵活、高效的PIR系统提供了理论基础，尤其适用于分布式存储和隐私保护通信等场景。适合对隐私计算、信息论和安全存储感兴趣的研究人员阅读。

本文重新审视了多服务器、图复制私人信息检索（PIR）系统中的隐私定义，提出了一种新的设置，其中用户的隐私由服务器的存储结构决定。具体而言，当用户从某个服务器检索消息时，只有当该服务器存储了该消息时，用户才关心隐藏其所需消息的索引。作者将这种隐私需求称为本地用户隐私，并将由此产生的PIR问题称为图上的本地PIR。目标是建立本地PIR的容量，即每下载一个符号可检索的最大消息符号数，从而衡量其与经典PIR相比的通信效率增益。研究发现，对于不相交的图的并集，本地PIR容量相比经典PIR容量有显著的倍增增益，特别是当各子图相同时。对于连通图，作者提出了方案来建立边传递图和二部图的下界，这些下界高于已知的最佳经典PIR容量界。最后，推导了循环图和奇数顶点的路径图的精确本地PIR容量。本文主要贡献在于提出了一种更细粒度的隐私模型，并揭示了图结构对PIR通信效率的有利影响，为分布式存储系统中的隐私保护提供了新思路。

该论文针对移动通信生态系统中基础设施测量工具匮乏、地理覆盖不均以及商业复杂性等问题，提出了一套开放的、可扩展的、地理多样化的测量方法。研究指出，蜂窝网络作为全球通信骨干网，其架构创新（如VoIP、eSIM）和商业动态（如漫游、虚拟运营商、零费率）导致网络复杂度急剧上升，但缺乏独立的测量手段。此外，移动接入方式已不仅限于传统无线电接口，语音WiFi（VoWiFi）通过第三方互联网基础设施提供替代连接，而OTT消息服务（如WhatsApp、Signal）已承担大量全球消息和语音流量，完全绕过运营商控制。为应对这些挑战，作者设计、实现并开源了多个测量平台，支持对蜂窝无线电网络、运营商提供的服务以及OTT消息应用进行受控实验，不依赖网络或平台运营商的合作。实验涵盖全球多个地区，评估了关键基础设施的安全性、性能及隐私风险，并揭示了集中化趋势带来的新威胁。论文主要贡献包括：构建独立的测量框架、提供公开可用的数据集、以及提出改进当前通信生态系统安全性的建议。适合网络研究人员、安全分析师、政策制定者以及移动运营商工程师阅读。

本文提出了一种名为 diffGHOST 的基于扩散模型的条件生成框架，用于合成移动轨迹数据，旨在解决轨迹数据在共享和利用过程中的隐私泄露问题。传统的轨迹合成方法往往隐式地假设生成模型具有隐私保护能力，但缺乏严格的隐私保证，且容易在生成的轨迹中记忆敏感样本。diffGHOST 通过引入潜在空间分割（latent space segmentation）机制，在扩散模型的训练和采样过程中识别并缓解对关键样本的记忆，从而在保证合成轨迹数据实用性的同时提供可证明的隐私保护。具体地，模型将轨迹数据编码到潜在空间，然后根据条件信息（如时间、区域等）分割潜在空间，并在每个片段上独立进行扩散和去噪过程，使得模型能够学习到分布特征而不过度拟合个别样本。实验在多个真实轨迹数据集上进行，结果表明 diffGHOST 在保持高轨迹实用性的同时，显著降低了隐私泄露风险，优于现有的生成对抗网络和变分自编码器基线方法。该工作为隐私保护下的移动数据分析提供了一种通用且有效的解决方案。

该论文研究了完全加密协议（Fully Encrypted Protocols, FEP）的设计与安全定义。FEP在实际中已被用于绕过网络审查，其特点是生成的协议消息看起来完全随机，从而隐藏通信的元数据（如版本号、长度字段等），甚至使攻击者无法判断所使用的具体协议。此外，FEP通常支持填充（padding）以隐藏协议字段和消息内容的长度。论文指出，保护协议元数据不仅对规避审查有意义，对所有互联网通信的安全和隐私都有价值。然而，现有FEP设计的安全性仅基于密码学假设，缺乏严格的安全定义和证明。为此，作者提出了新的安全定义，涵盖FEP的元数据保护目标，并分别在数据流（datastream）和数据报（datagram）两种设置下给出定义，这两种设置分别对应协议设计者常用的TCP和UDP接口。论文证明了这些新概念与现有安全定义之间的关系，并提出了新的FEP构造且证明了其安全性。最后，论文调查了现有的FEP候选方案，评估它们在多大程度上满足FEP安全要求，并指出了这些协议可被识别的新的方式，例如它们对数据错误引入的响应以及最小协议消息的大小。本研究为FEP的设计和安全性分析提供了理论基础，适合网络安全研究人员和协议设计者阅读。

本文提出了一种针对语言模型联邦学习（FL）训练过程的梯度反转攻击方法GRAB。以往研究表明，梯度反转攻击在视觉模型的连续域中威胁显著，但在语言模型中由于文本数据的离散性，攻击效果通常被认为较弱或依赖于不切实际的训练设置，导致其隐私威胁被低估。GRAB通过混合优化策略克服了实际训练中的挑战：首先，通过层间dropout掩码的同步优化来提升令牌恢复的准确性；其次，采用离散优化以实现有效的令牌排序。实验表明，GRAB在基准设置下可恢复高达92.9%的私有训练数据，相比仅使用辅助模型进行离散优化的攻击方法，恢复率提升达28.9%；在实际设置下提升达48.5%。该工作揭示了联邦学习语言模型训练中此前被忽视的隐私风险，为理解这一新兴训练模式的隐私威胁提供了重要进展。适合关注联邦学习隐私安全的研究人员、语言模型开发者以及安全工程师阅读。

本研究调查了可用隐私与安全研究领域的学者对透明度的看法、实践和建议。通过访谈和调查，作者发现尽管透明性被认为是良好科学实践的基础，但学者们在数据、代码和研究材料的公开方面存在分歧和障碍。研究提出了改进透明度的建议，包括设立更清晰的准则、提供资源支持以及培养开放科学文化。该工作有助于理解该领域共享实践的现状，并为提升研究可复现性和可信度提供指导。

本文提出了VICEROY，一个隐私保护且可扩展的框架，用于为无账户消费者生成数据所有权证明，从而支持可验证的消费者请求。背景是GDPR和CCPA等数据保护法规赋予消费者访问、修改或删除其个人数据的权利，但现有验证机制对有账户消费者（可通过密码认证）便捷，而对无账户消费者则要求提供政府ID、账单等敏感信息，既侵犯隐私又增加服务提供商负担。VICEROY基于现有Web技术（如浏览器存储、令牌等），允许无账户消费者与服务提供商交互，并在后续以隐私保护方式证明自己是同一人，而无需暴露真实身份。核心方法包括：在首次交互时创建匿名凭证（如浏览器cookie或本地存储的加密令牌），之后请求时只需证明持有该凭证即可。框架设计强调安全/隐私、可部署性和可用性，并通过实验评估了其实用性。主要贡献：首次为无账户消费者的数据权利请求提供隐私友好的认证方案；最小化双方改动（消费者只需浏览器，服务商需集成轻量API）；严格的形式化安全分析。适合隐私合规官、安全研究员、Web服务开发者和法律科技从业者阅读。

该论文提出了一种隐私保护的数据库指纹识别机制。针对数据库在共享过程中可能被恶意接收方非法分发或篡改的问题，传统指纹技术往往需要在数据库中添加扰动标记，但这可能泄露用户隐私或降低数据可用性。作者引入差分隐私（DP）概念，设计了一个入门级差分隐私指纹识别机制，通过向数据库注入满足差分隐私的噪声来实现指纹嵌入，从而在保护隐私的同时确保指纹的鲁棒性。论文从理论上分析了隐私预算、指纹鲁棒性与数据库效用三者之间的权衡关系，推导了闭式表达式以指导参数选择。此外，针对同一数据库需要分发给多个接收方的场景，作者提出了一种基于稀疏向量技术（Sparse Vector Technique, SVT）的方案，用于控制累积隐私损失，避免因多次分发导致隐私预算耗尽。实验结果表明，该机制在指纹鲁棒性方面表现优异：即使恶意接收方修改或扭曲超过一半的数据库条目，指纹仍无法被移除或破坏；同时，与多种基线方法相比，该机制在数据库效用（尤其是应用相关的效用指标）上具有明显优势。该研究为需要在数据共享中实现版权保护与隐私兼顾的场景提供了新的解决思路。

该论文首次系统性地评估了商业物联网安全防护产品（IoT safeguards）的威胁检测能力。研究背景是智能音箱、安防摄像头等消费类物联网设备在家庭中日益普及，带来了隐私和安全威胁，而市场上出现了多种声称能提供保护的服务（如防火墙、入侵检测等）。然而，这些防护产品的实际效果及其自身可能引入的隐私风险尚未被充分研究。作者开发了一套自动化实验框架，能够在大型物联网测试床上对多个流行商业防护产品进行可控实验，模拟常见的安全威胁（如网络扫描、恶意域名解析）和隐私风险（如不必要的数据收集）。通过数千次实验，结果发现这些产品在检测和阻止安全威胁方面存在显著不足，许多攻击未能被识别或阻断。更严重的是，这些防护产品本身会与云端进行大量交互，收集用户设备的行为数据，可能反而增加了家庭的隐私暴露风险。论文的主要贡献包括：首次对IoT防护产品进行大规模比较分析；公开了自动化实验工具和数据集；揭示了当前防护产品的效能缺陷和隐私隐患。该研究适合安全研究人员、物联网设备制造商、隐私倡导者以及消费者阅读，以了解现有防护产品的局限性并推动改进。

该论文针对智能家居环境中的访问控制隐私问题展开研究。用户通常希望对家庭成员的设备访问和数据共享设置精细的权限，但在实际操作中常因繁琐而采用安全性较低的默认配置。为解决这一矛盾，作者提出一种“乐观访问控制”（optimistic access control）策略：允许家庭成员无需事先审批即可获取设备或数据，但所有访问行为都会受到其他家庭成员的监督和事后审查。这种机制借助家庭成员间已有的人际信任，在保持简便性的同时，实现对隐私边界的精细控制。为了评估该概念的可行性和用户接受度，研究者面向604名参与者开展了一系列调查，考察不同设备类型、家庭结构等因素对乐观访问控制偏好的影响。结果显示，相当一部分受访者倾向于采用乐观模式而非现有访问控制方法，且偏好程度因设备类型（如摄像头、智能音箱）和家庭特征（如成员数量、年龄构成）而异。该研究为智能家居隐私设计提供了新的思路，表明在信任型环境中，事后监督机制可以替代复杂的预授权策略，从而在安全与便利之间取得更好平衡。

本文提出 Flamingo，一种用于大规模客户端数据安全聚合的系统，特别针对联邦学习中的多轮聚合场景。联邦学习中，服务器需要多次对客户端提交的模型权重进行求和（平均）以训练模型，但必须保证不泄露任何客户端的个体输入。现有协议如 Bell et al. (CCS '20) 主要针对单轮设计，通过重复执行来适应多轮场景，这导致每轮都需要昂贵的设置操作。Flamingo 的主要创新包括：1）消除了每轮设置，大大降低了通信和计算开销；2）提出了一种轻量级的 dropout 弹性协议，当客户端在聚合过程中中途退出时，服务器仍能获得有意义的结果，而无需像之前方案那样重新开始或丢弃整个聚合；3）引入了一种新的本地选择“客户端邻域”的方法（该概念由 Bell et al. 引入），使得每个客户端可以自主决定参与聚合的合作伙伴，从而减少客户端与服务器之间的交互次数。这些技术显著缩短了端到端训练时间。作者实现了 Flamingo 并在 (Extended) MNIST 和 CIFAR-100 数据集上进行了评估，结果表明它能够安全地训练神经网络，且模型收敛精度与无隐私保护的联邦学习系统相当，未出现精度损失。本文适合对联邦学习隐私保护、安全多方计算、高效密码协议感兴趣的研究者和工程师阅读。

近年来，随着隐私保护法规（如欧盟GDPR）的出台，多方计算（MPC）协议被广泛用于公司和机构之间的联合数据分析与机器学习，以保护数据隐私。然而，MPC协议的复杂性导致其实现中常存在数据泄露漏洞，严重破坏预期的隐私保护。现有安全分析多依赖理论证明，忽视了实现中的漏洞检测。本文提出MPCGuard，一个实用的框架，用于检测MPC实现中的数据泄露漏洞。与传统内存漏洞不同，MPC中的数据泄露无法通过现有消毒工具识别。为此，MPCGuard首先建立由两个神经网络分类器组成的泄露标识器，根据MPC协议特性设计分类器结构，以判断实现是否包含数据泄露漏洞。识别出漏洞后，采用delta方法辅助定位。为验证有效性，在三大主流MPC框架（Crypten、TF-Encrypted、MP-SPDZ）中的29个常用实现上进行测试，发现12个存在数据泄露漏洞，部分可导致原始数据重构。截至论文撰写时，所有漏洞已被确认，其中两个已分配CVE编号（据作者所知，这是首个针对MPC实现数据泄露漏洞的CVE）。该工作首次系统性地解决了MPC实现中数据泄露漏洞的自动检测问题，对保障MPC应用的安全性具有重要意义。

本文提出 martFL，一种专为安全、可验证的数据市场设计的联邦学习架构。在数据市场中，数据需求方（DA）需要从多个数据提供方（DP）获取高质量训练数据，但直接交换原始数据存在隐私风险。联邦学习通过交换模型或梯度来传递数据效用，但现有架构存在三个关键挑战：1) DA 无法在交易前私下评估各 DP 提交的本地模型质量；2) 现有聚合协议难以有效排除恶意 DP，同时避免对 DA 可能有偏的根数据集过拟合；3) 缺乏公正的计费机制来按贡献分配奖励。martFL 通过两项创新设计解决上述问题：首先，一个质量感知的模型聚合协议，使 DA 即使在根数据集有偏的情况下，也能从聚合中排除低质量或投毒的本地模型；其次，一个可验证的数据交易协议，使 DA 能够以简洁且零知识的方式证明其已按照承诺的权重忠实地聚合了这些本地模型，从而允许 DP 根据其权重/贡献明确索取奖励。作者实现了 martFL 原型，并在多种任务上进行了广泛评估。结果表明，martFL 可将模型准确率提升高达 25%，同时节省高达 64% 的数据获取成本。该工作适用于联邦学习、数据市场、隐私计算等方向的研究者和工程师。

本研究聚焦于中国用户在使用基于大语言模型（LLM）的医疗咨询服务时的隐私意识与期望。随着LLM在医疗领域的广泛应用，用户隐私问题日益突出。研究通过问卷调查和访谈，探索用户对医疗聊天机器人隐私实践的认知、担忧以及期望。核心发现是：尽管用户普遍关注隐私，但由于LLM医疗咨询的便捷性和普及性（即“普及性压倒关注”），用户往往在行为上妥协，对隐私风险认知不足。研究还揭示用户对数据存储、共享和匿名化有特定期望，但现有系统未充分满足。论文通过定性和定量方法，揭示了用户隐私态度与行为之间的差距，为设计更符合用户预期的隐私保护机制提供了依据。主要贡献包括：1）构建了中国用户对LLM医疗咨询隐私期望的理论框架；2）识别了影响用户隐私决策的关键因素；3）提出了面向开发者和政策制定者的隐私增强建议。适合隐私研究员、LLM应用开发者、医疗科技政策制定者阅读。

本文研究了大型语言模型（LLM）代理带来的新型隐私威胁，即通过自动化深度个人画像实现隐私入侵。现有研究多从LLM训练流程出发，关注通过记忆泄露个人身份信息（PII），而缺乏从人类中心视角的隐私研究。作者通过实证调查了真实世界中人类对隐私的感知以及LLM集成平台的做法，发现平台在技术或政策上未能解决公众隐私担忧。为系统量化隐私风险，提出了PrivacyIceberg框架，将隐私风险分为三个层级：显式搜索、上下文推断和深度聚合，基于LLM利用的复杂程度。开发了IcebergExplorer审计工具，仅使用最小PII作为搜索种子，在10分钟内以低于3美元的成本重建高保真个人画像，事实准确率超过90%。研究还识别了导致此类隐私泄露的六大根本原因，并针对LLM供应商、个人和数据发布者提出了多利益相关方对策。该工作揭示了LLM Agent时代隐私泄露的“冰山”，为理解和防御新型隐私风险提供了基础。

AirDrop 是 Apple 设备间离线文件共享的默认协议，集成在超过 15 亿台终端设备中。本论文首次揭示了该协议的两个设计缺陷：攻击者能够通过公开的哈希值（SH）和证书交换过程，利用穷举或彩虹表攻击逆向出用户的手机号码和电子邮件地址。为从根本上修复该隐私泄露问题，作者提出了一种基于私有集合交集（PSI）的隐私保护认证协议 PrivateDrop。PrivateDrop 在不改变 AirDrop 现有协议栈的前提下，将 PSI 用于双方的身份验证：发送方和接收方各自持有联系人哈希集合，通过 PSI 计算交集但彼此不泄露集合中的非交集元素，从而仅当双方互为联系人时才能成功连接。针对离线、资源受限的移动设备场景，作者优化了 PSI 协议的通信轮次和计算开销，使其认证延迟低于 1 秒，保持了 AirDrop 原有的用户体验。论文在 iOS 和 macOS 上实现了原生 PrivateDrop 原型，并通过实验验证了其性能与安全性。此外，作者已向 Apple 负责任地披露了漏洞，并将 PrivateDrop 的实现开源。

随着智能设备麦克风的广泛部署，用户担心语音被秘密录音。现有研究利用麦克风的非线性特性，通过超声干扰实现反窃听，但基于能量掩蔽的方法需要高能量，且超声噪声覆盖距离短，易被对手去除，实际可行性低。本文提出InfoMasker系统，基于信息掩蔽思想，设计了一种基于音素的噪声（phoneme-based noise），该噪声对降噪方法具有鲁棒性，能有效防止人类和机器理解被干扰的语音信号。系统优化了超声传输方法，在保持不可听性的前提下实现更高的传输能量和更低的信号失真。实验在多个语音识别系统（包括商用和开源）上进行，结果表明，即使在低能量水平（信噪比SNR=0）下，InfoMasker也能将所有测试系统的识别准确率降低至50%以下，显著优于现有噪声设计。该工作从信息掩蔽角度出发，解决了能量掩蔽的能耗和覆盖距离问题，为隐私保护提供了新思路。适合对声学安全、隐私增强技术感兴趣的研究者和工程师阅读。

该论文提出了一种名为“Call Me By My Name”的简单实用私有信息检索（PIR）方案，专门针对关键词查询场景。传统的PIR协议通常计算开销大、实现复杂，难以在实际系统中部署。作者从实用角度出发，设计了一种基于同态加密和预计算索引结构的轻量级PIR协议。核心思路是将数据库中的文档按关键词建立倒排索引，并对每个关键词对应的文档列表进行同态加密，用户通过不经意的方式获取加密结果，然后解密得到所需文档标识符。方案采用了桶化技术来平衡通信和计算开销，并利用局部敏感哈希减少索引大小。实验在多个真实数据集（如新闻文章、医疗记录）上进行，与现有基线（如基于SPIR、OT的协议）相比，该方案在客户端计算时间、通信字节数和服务器负载方面均表现出显著优势，尤其在数据库规模较大时优势更明显。作者还讨论了实际部署中的隐私保护强度、参数选择以及潜在的侧信道攻击缓解措施。论文的主要贡献包括：提出了一种面向关键词的实用PIR协议，并提供了开源实现；通过实验验证了其在实际场景中的高效性；分析了安全性与效率的权衡，为后续研究提供了参考。该工作适合对隐私保护数据查询感兴趣的开发者和研究人员阅读。

该论文聚焦于网络环境中年龄验证机制的缺失问题，指出当前未成年人在未经有效年龄检查的情况下即可访问色情、赌博、暴力、仇恨言论以及烟酒等有害内容，对其世界观和心理健康构成严重威胁。作者首先分析了现有法规及方案，如欧盟《数字服务法案》（DSA）推动的数字钱包或年龄验证应用程序，以及英国和澳大利亚已实施的实践，指出现有方案在数据敏感性、隐私风险和用户体验方面存在不足。例如，依赖政府身份验证可能会过度暴露个人信息。为解决这些挑战，论文提出了一种基于开放标准和密码学技术的替代方案，核心组件包括Privacy Pass和Privacy Access Tokens。该方案无需用户安装专门软件，而是利用匿名凭证和令牌机制实现隐私保护的年龄验证：用户可以从多个可信提供商中选择验证方，仅披露年龄或年龄范围而不泄露身份信息，从而降低数据泄露风险。作者通过安全与隐私分析论证了该方案能够抵抗跟踪、链接和过度披露等威胁。论文的主要贡献在于设计了一个去中心化、用户可控且符合分层保障要求的年龄验证框架，为政策制定者和技术开发者提供了一种平衡未成年人保护与隐私权的新思路。适合关注数字身份、隐私增强技术及青少年在线安全的学者和工程师阅读。

本文提出了一种名为PAS（Privacy Anchor Substitution）的结构化机制，用于在空间检索增强生成（RAG）系统中实现用户位置隐私保护。与传统的差分隐私方法直接扰动用户位置不同，PAS采用相对锚点编码来表示位置，该编码由锚点、方向箱和距离箱组成，能够无缝集成到现代RAG流程中。研究团队在一个合成城市数据集上评估了PAS，实验结果表明，PAS能够实现约370-400米的敌方位置误差，提供较强的粗粒度隐私保证，同时保留了基线检索性能的一半以上。尽管检索性能略有下降，但下游生成质量在PAS下保持相对稳健，说明大型语言模型能够补偿不完美的空间检索。进一步的经验分析显示，PAS的隐私-效用关系相对于隐私参数呈非单调特性，作者将其归因于锚点离散化带来的几何偏差，这使其与连续噪声机制（如地理不可区分性）不同。研究结论表明，结构化空间表示为RAG系统中基于位置的推理提供了一种实用的隐私保护方法。该工作对于关注LLM应用中隐私保护的研究人员和工程师具有参考价值。

随着视觉-语言模型（VLM）被越来越多地部署为具身助手的自主认知核心，评估其在物理环境中的隐私意识变得至关重要。与数字聊天机器人不同，这些智能体在家庭、医院等私密空间运行，能够观察并操作包含隐私敏感信息与物品的物理实体。然而，现有基准仍局限于单模态、基于文本的表达，无法捕捉真实世界的复杂性。为弥补这一空白，本文提出了 ImmersedPrivacy，一种交互式视听评估框架，基于 Unity 模拟器构建逼真的物理环境。ImmersedPrivacy 通过三个递进层级测试模型的物理隐私意识：第一层级评估在杂乱场景中识别敏感物品的能力；第二层级测试适应社会语境变化（如陌生人进入房间）的能力；第三层级考察解决显式命令与隐含隐私约束之间冲突的能力。作者对 12 个当前最先进的 VLM 进行了评估，发现了一致的缺陷。在杂乱场景中，所有模型的性能随场景复杂度增加而单调下降，表明存在感知缺陷。当社会情境改变时，没有模型的选择准确率超过 65%。在冲突命令下，表现最好的模型 gemini-3.1-pro 也仅在 51% 的案例中完美平衡了任务完成与隐私保护。这些发现揭示了当前 VLM 在物理世界中存在感知脆弱性，并且无法让隐私知识主导其情境化行为。代码和数据已开源。

该论文研究存在离群值（outliers）时的数据匿名化问题。现有潜在空间匿名化方法（如频谱匿名化SA）基于主成分分析（PCA），对离群值敏感，可能导致隐私泄露。作者提出ICSA（Invariant Coordinate Selection based Anonymization），用稳健的协方差矩阵估计（如MCD、MM估计等）替代PCA，通过不变坐标选择（ICS）增强抗污染能力。理论证明，在足够影响力的离群值下SA会失效。模拟实验表明，使用稳健散度矩阵的ICSA相比SA在隐私保护方面更强，且效用相当或更优。在临床基准数据集上，ICSA整体隐私-效用效率优于SA。结论：明确考虑离群值能显著改善匿名化性能，稳健潜在空间变换为隐私保护统计发布提供了有前景的方向。

该论文研究了攻击性AI在音乐流媒体平台上的应用，特别是通过用户公开的播放列表推断敏感个人身份信息（PII）。作者首先指出，随着AI的普及，攻击性AI（Offensive AI）已成为一种新兴威胁，能够在网络杀伤链的各个阶段被恶意利用。其中，用户属性推断攻击是一种关键表现：AI从看似无害的公开数据中推断出敏感的PII。音乐流媒体生态系统中的用户经常发布公开播放列表，这为攻击者提供了可乘之机。为了量化这一威胁，作者开发了musicPIIrate工具。该工具利用深度学习架构，不仅处理独立的数据表示，还利用用户播放列表集合中嵌入的结构信息。设计上，作者探索了基于集合的方法（如Deep Sets）和建模播放列表间关系的方法（如图神经网络），并将两者结合以利用不同视角。该方法解决了无序、变长集合数据的特征提取问题，从而实现了准确的PII预测。实验评估表明，musicPIIrate在推断准确性上达到了最先进水平，成功推断出多种属性，包括人口统计信息（年龄、国家、性别）、生活习惯（饮酒、吸烟、运动）以及人格特质（OCEAN评分）。在15个属性推断任务中，musicPIIrate在9个任务上超越了现有基线方法。针对这一漏洞，作者提出了JamShield防御框架，通过向账户中注入虚假播放列表来稀释携带PII的信号。分析表明，JamShield是一种有前景的防御手段，平均能将推断F1分数降低10%。该工作为基于播放列表的PII推断建立了攻击性AI基准，并引入了初步的防御方案。该论文适合隐私研究人员、安全分析师以及音乐流媒体平台的安全团队阅读。

该论文提出并实现了一个名为 MVPNalyzer 的自动化审计框架，旨在系统性地评估移动 VPN（手机端 VPN 应用）的安全性与隐私保护水平。研究背景：移动 VPN 已被广泛用于保护用户网络通信，然而用户很难验证其是否真正做到了加密、不记录日志、无数据泄露等承诺。核心方法：MVPNalyzer 通过静态分析、动态流量捕获与分析、以及协议逆向工程等手段，对数百款来自主流应用商店的移动 VPN 应用进行自动化测试。它能够检测包括但不限于以下方面：（1）使用的加密算法与协议是否安全（如是否使用弱加密、是否支持不安全的协商参数）；（2）是否存在 IP 或 DNS 泄露；（3）应用是否在后台收集超出必要范围的个人信息；（4）日志记录策略是否透明或存在违规。实验覆盖了 iOS 和 Android 平台上的大量 VPN 应用，结果揭示了显著比例的 VPN 应用存在至少一项严重安全问题，例如使用了过时的加密套件、泄露用户真实 IP、未经明确同意收集数据等。主要贡献包括：开源了可复用的审计工具链；提供了对移动 VPN 全行业的首份大规模安全评估；总结了常见安全缺陷模式。该论文适合安全研究人员、移动应用开发者以及关注隐私的普通读者阅读。

该论文提出 ZKSL，一个可验证且高效的拆分/联邦学习框架，将训练过程与零知识证明相结合。核心目标是实现联邦学习的隐私保护与可验证正确性，同时避免高昂的证明开销。ZKSL 通过三个设计支柱实现： (i) 层间并行证明，逐层生成证明并聚合； (ii) PC-PLONK，引入专用的隐私承诺列来高效强制执行跨层一致性，避免在电路内进行哈希（在论文规模下不可行）或脱离电路进行哈希（破坏零知识信任模型）； (iii) 异步计算-证明调度（K-window），将随机梯度下降与证明解耦，使训练过程不会因证明生成而停滞。论文提供了开源原型，包括立即可用的配置和脚本，可复现 LeNet（两方）和 DeepFM（三方）上的关键结果。它产生结构化日志，记录前向/梯度/反向各阶段的证明生成时间。预期结果是，在启用分层并行时，前向和反向阶段的证明时间显著减少，并且在异步调度下端到端吞吐量更高，与论文图表中报告的趋势一致。该工作适合关注隐私保护机器学习、联邦学习安全性和可验证计算的研究人员和工程师阅读。

本文提出了一种名为I2PERCEPTION的低成本去匿名化方法，用于揭示I2P匿名网络中隐藏服务的真实IP地址。I2P是一个流行的匿名通信网络，但现有去匿名化方法难以在包含大量路由器的网络中有效扩展。I2PERCEPTION的核心思想是利用主动探测和被动监控相结合的方式，通过分析I2P路由器的加入和离开行为（即上线/离线模式）来关联目标隐藏服务的行为模式。攻击者首先部署少量的floodfill路由器（论文中仅使用15个）来被动收集网络中路由器的RouterInfo信息，并分析其发布机制以精确识别路由器的实时行为。然后，通过主动探测目标隐藏服务的在线状态，获取其行为模式。最后，将隐藏服务的行为模式与收集到的路由器行为进行时间序列关联，从而缩小可能的候选路由器范围，最终找到托管该隐藏服务的真实路由器，实现去匿名化。论文通过在真实I2P网络上进行长达八个月的实验验证，成功对受控的隐藏服务进行了去匿名化，证明了方法的精确性和有效性。该研究展示了I2P匿名网络面临的严重隐私威胁，并为匿名网络的安全改进提供了重要参考。

本文研究了大型语言模型（LLM）推理过程中键值缓存（KV-cache）带来的隐私风险。KV-cache是LLM中用于加速自回归解码的关键组件，它会存储中间注意力层的键和值张量。作者发现，KV-cache中可能残留用户输入的敏感信息，例如个人身份、医疗记录或金融数据。通过分析KV-cache的数据生命周期，攻击者若获得缓存访问权限（如通过共享内存、侧信道攻击或模型托管环境中的越权访问），可重建部分用户输入，导致隐私泄露。论文提出了一种基于差分隐私的缓存扰动机制，在KV-cache写入内存前添加精心设计的噪声，使得攻击者无法准确恢复原始数据，同时最小化对推理质量和性能的影响。实验在多个主流LLM（如LLaMA、GPT类模型）上验证了方法的有效性：隐私保护强度可调节，且模型困惑度下降不超过2%，推理延迟增加小于5%。此外，论文还讨论了与现有内存加密和访问控制技术的互补性。该研究首次系统性地披露了KV-cache作为LLM隐私攻击面的可能性，并提供了实用的防御思路。

本论文研究了全球最大即时通讯平台 WhatsApp 的电话号码枚举漏洞。WhatsApp 拥有超过 35 亿活跃用户（截至 2025 年初），其通讯录同步机制允许用户通过手机号查询联系人是否注册。该机制虽为合法功能，但本质上为攻击者提供了枚举有效手机号的能力。作者通过大规模实验证明，WhatsApp 的速率限制措施存在严重不足，能够以每小时超过 1 亿次的速率进行探测而不被阻止。研究发现，2021 年 Facebook 数据泄露中披露的近一半电话号码在 WhatsApp 上仍处于活跃状态，凸显了数据泄露的长期风险。此外，作者还进行了用户普查，揭示了即使消息内容经过端到端加密，元数据（如用户活跃状态和关联设备）仍可能被大规模收集。更关键的是，发现了不同设备或电话号码之间重复使用 X25519 公钥的现象，这可能是由于不安全的自定义实现或欺诈活动导致。论文最后描述了与 WhatsApp 团队的协作修复过程，确认了速率限制问题已得到解决。该研究适合安全研究人员、隐私倡导者及即时通讯平台开发者阅读。

本文针对联邦学习中的成员推断攻击提出了一种统一的防御框架。成员推断攻击旨在判断某个特定数据样本是否被用于训练模型，严重威胁用户隐私。现有防御方法存在计算开销大或可用性-隐私权衡不佳的问题。作者提出通过知识蒸馏和贡献感知聚合来协同防御：首先，服务器利用全局模型对客户端更新进行蒸馏，生成软标签指导本地训练，减少过拟合从而降低成员推断风险；其次，引入贡献感知聚合机制，根据客户端数据质量动态调整聚合权重，使聚合器对异常更新更鲁棒。实验在多个基准数据集（如CIFAR-10、MNIST）上验证，结果表明该方法在保持模型可用性的同时，显著降低了成员推断攻击的成功率（AUC下降超过10%），且计算开销低于现有对抗训练方法。该框架无需修改客户端训练过程，易于部署。

该论文是一篇系统化知识综述（SoK），旨在为使用社交媒体数据进行安全研究的隐私问题提供一个分析框架。研究背景在于，社交媒体数据常包含个人敏感信息，尽管已有关于此类研究伦理的广泛讨论，但针对具体隐私风险及缓解措施的精细分析仍不足。作者从计算机科学、社会科学、人机交互、法学、犯罪学等多个学科中，系统梳理了16年间（2004-2020）使用社交媒体数据研究安全议题的601篇论文。主要发现包括：仅有35%的论文提及数据匿名化、可用性和存储方面的考虑，表明透明度严重缺乏。作者应用Solove的隐私风险分类法对社交场景中的隐私风险进行归类，发现Solove的分类法能有效捕捉聚合风险，但现代数据科学中数据的规模、时效性和微观细节带来了20年前未考虑的新风险。论文贡献在于揭示了当前学术实践中对隐私保护的不足，并为研究人员、伦理委员会和出版机构提出了改进建议，主张通过一些小的行为改变即可显著提升用户隐私保护水平。该研究适合安全领域研究者、学术伦理审查者以及关注研究数据隐私的从业者阅读。

该论文提出了一种名为 Accio 的链下支付协议，旨在解决现有基于中心节点（hub）的链下支付系统中存在的可扩展性、隐私性和效率问题。现有的 hub 类链下支付方案通常需要昂贵的零知识证明（NIZK）来实现不可链接性，且只能支持固定金额的支付，限制了其实用性。Accio 协议的核心创新在于：首先，支持可变金额的支付，允许用户在一次支付中发送任意数额的代币，而无需事先锁定固定金额；其次，通过优化设计实现了不可链接性（unlinkability），即收款节点无法将多笔支付关联到同一发送方或同一路径，且完全避免了 NIZK 的使用，显著降低了计算和通信开销；最后，Accio 基于 hub 架构，利用中心节点（hub）作为中介，连接多个支付通道，从而降低通道建立成本并提高网络连通性。论文详细描述了协议的设计原理、安全模型和具体构造，包括一种基于单向陷门置换的原子交换机制和一种新颖的匿名凭证系统。安全性分析表明，Accio 在标准模型下满足支付正确性、余额安全性和用户隐私（不可链接性）要求。性能评估通过原型实现和实验测试证明，Accio 的链下支付延迟仅为现有方案的几十分之一，且适用于大规模的微支付场景。该工作对于区块链支付通道网络（如闪电网络）的隐私增强和效率提升具有重要理论意义和实际应用价值。

因果推断在多个科学研究领域扮演关键角色，其中平均处理效应（ATE）的估计是核心问题之一。然而，使用真实世界观测数据计算ATE会带来显著的隐私风险。差分隐私作为一种严格理论保证的隐私保护技术，已成为隐私保护数据分析的标准方法。但现有的差分隐私ATE估计工作通常依赖于特定假设、提供有限的隐私保护或无法实现全面的信息保护。为此，本文提出了PrivATE——一个实用的、确保差分隐私的ATE估计框架。考虑到不同场景对隐私保护级别的需求各异（例如，教育评估中仅考试成绩为敏感信息，而医疗记录的所有数据通常都需要保护），PrivATE设计了两种级别的隐私保护：标签级（仅保护结果变量）和样本级（保护所有变量）。通过推导自适应匹配界限（adaptive matching limit），PrivATE有效平衡了噪声引入的误差和匹配误差，从而获得更准确的ATE估计。实验评估在多个数据集和不同隐私预算下验证了PrivATE的有效性，其性能优于现有基线方法。该方法适用于需要因果推断又必须保护用户隐私的广泛应用场景，如医疗、教育和经济学分析。

本论文提出了一种名为“Select-Then-Compute”的框架，旨在解决分布式数据集上的加密标签选择与分析问题。在多方协作场景中，不同数据持有者希望在不泄露原始数据的前提下，对联合数据进行查询和计算，但现有全同态加密（FHE）方案在支持选择性计算（即仅对符合特定标签的子集进行计算）时效率低下。传统方法要么需要将所有数据解密后再选择，要么采用复杂且昂贵的混淆电路或秘密共享技术。本文基于FHE设计了一种高效协议，允许数据持有者对各自的数据标签进行加密，然后由计算方在密文状态下执行标签匹配和选择，最后对选中的密文数据进行聚合计算（如求和、均值、方差等）。核心创新包括：1）提出一种新颖的编码方式，将标签匹配转换为多项式计算，从而利用FHE的单指令多数据（SIMD）特性并行处理；2）设计了递归的标签选择算法，使得计算复杂度仅与数据条目数的对数成正比；3）实现了对多个数据集联合分析的支持，且不增加通信轮次。实验部分在多个基准数据集上验证了性能，与现有基于朴素FHE或混合协议的方法相比，计算时间降低了2-3个数量级，同时保持相同的安全级别（IND-CPA安全）。该工作适合隐私保护机器学习、医疗数据联合分析等领域的研究者和工程人员阅读。

本文提出了一种基于聚类的低开销、可证明的网站指纹防御框架。网站指纹攻击利用加密流量的模式（如数据包大小、时间间隔）来识别用户访问的网站，对匿名通信系统（如Tor）构成严重威胁。现有防御方法如Walkie-Talkie和WFDefender虽然有效，但会引入较大的延迟或带宽开销，且缺乏可证明的安全保证。本文的核心思想是将网站聚类成组，使得同一组内的网站无法被攻击者区分。作者设计了一个聚类算法，通过最大化组内相似性和组间差异性，将具有相似流量模式的网站归为一类。然后，针对每个集群，应用轻量级的流量整形技术（如填充和重排），使得集群内的所有网站流量模式难以区分。理论分析证明了该防御在信息论意义上提供了可证明的隐私保证。实验使用WF攻击（如k-NN, CUMUL, DF）在Tor流量数据集上评估，结果表明该框架在提供与现有防御相当的保护水平的同时，将开销（延迟和带宽）降低了50%以上。该工作为低开销、可证明的网站指纹防御提供了新思路。

该论文提出了一种在LTE网络中通过视觉与射频（RF）信号关联来被动识别多个目标的GUTI（全球唯一临时标识符）的方法。研究背景是：LTE网络中的移动设备通过GUTI进行临时身份标识，但GUTI会定期更新以保护用户隐私。然而，攻击者可以通过被动嗅探无线信道获取GUTI，并结合视觉信息（如摄像头捕获的用户身份）来关联特定用户与GUTI，从而破坏隐私。现有方法多针对单目标或需要主动干扰，而本方法实现了多目标、完全被动的识别。核心方法包括：（1）利用软件无线电（SDR）设备捕获LTE下行链路信号，提取包含GUTI的寻呼消息；（2）部署多个摄像头同步记录目标区域内的用户出现时间；（3）通过时间戳关联将视觉身份与RF中观察到的GUTI匹配。论文设计了一种基于隐马尔可夫模型（HMM）的关联算法，能同时处理多个移动目标的识别，并考虑GUTI更新带来的挑战。实验在真实LTE环境中进行，使用两个摄像头和USRP B210作为SDR，对多个移动电话用户进行测试，成功实现了高精度的GUTI-身份关联。主要贡献包括：提出了首个多目标被动GUTI识别系统，验证了视觉-RF关联在LTE隐私攻击中的可行性，并分析了防御策略（如缩短GUTI更新周期、引入随机偏移等）。该研究揭示了LTE网络被动侧信道与物理观测结合带来的隐私风险。

本文研究了移动应用中 WebView 组件存在的跨边界信息泄露问题。WebView 允许应用在原生 Java/Kotlin 环境中嵌入 Web 内容，但应用会通过桥梁（JavaScriptInterface）将 Java 对象暴露给 JavaScript，这可能导致敏感信息从原生层泄露到 Web 内容中。作者系统性地分析了 Android 和 iOS 平台上 WebView 的安全模型，并提出了一种新的攻击面：通过利用 WebView 中 Java 到 JavaScript 的信息扩散，攻击者可以在不同的应用边界之间追踪用户。具体地，他们构建了自动化分析工具，检测了数千个流行应用，发现大量应用存在过度暴露 Java 对象的行为，并且这些对象可能被恶意网页脚本利用来获取设备标识、位置信息等隐私数据。实验表明，这种跨边界追踪技术能够在用户不知情的情况下跨应用关联用户身份，对移动生态隐私构成严重威胁。论文贡献包括：形式化定义了 WebView 中的信息扩散模型；开发了静态和动态结合的检测框架；大规模测量揭示了现实中的风险；讨论了缓解措施。

这篇论文从开发者视角系统研究了扩展现实（XR）领域的隐私与安全威胁。随着XR技术在娱乐、教育、医疗等领域的广泛应用，其沉浸式特性带来了传统安全范式难以应对的新型风险——例如丰富的传感器数据采集、用户生成内容界面等。作为XR应用的主要构建者，开发者在应对这些新兴威胁中扮演关键角色。然而，现有研究缺乏从开发者认知角度出发的深入、威胁感知式分析。为此，作者对23位专业XR开发者进行了半结构化访谈，聚焦两类研究问题：一、开发者如何感知XR中的安全隐私威胁？二、现有缓解措施及支持体系存在哪些不足？研究发现：(1) XR开发决策（如大量传感器数据收集、用户生成内容接口）与安全隐私威胁紧密相关，但开发者普遍对相关风险缺乏认知，导致威胁感知存在认知偏差；(2) 现有缓解方法存在局限，加之战略、技术和沟通支持不足，削弱了开发者应对威胁的动机、能力和意识。基于上述发现，论文提出了可操作且兼顾多方利益相关者的建议，以改进整个XR开发生命周期中的安全隐私保障。这是首次在XR领域开展威胁感知式、以开发者为中心的研究，揭示了沉浸式、数据密集型技术带来的独特挑战。该工作适合XR开发者、安全研究人员、平台设计者以及关注新兴技术安全隐私的从业者阅读。

这篇论文针对加密消息系统中滥用行为（如传播儿童色情、恐怖主义内容）的追溯问题，提出了一种新的可追溯性框架。现有方案通常依赖完全可信的第三方或中心化机构，但这样会引入隐私风险或单点故障。作者设计了一种基于密码学技术的方案，在最小化信任假设（即无需完全信任任何单一实体）的情况下，实现对特定消息的追溯，同时保证普通消息的端到端加密属性不被破坏。核心方法包括使用可链接群签名、秘密共享和多方计算等技术，使得只有符合预设政策（如法院命令）的合法请求才能追溯特定用户，且追溯过程不会泄露无关信息。实验分析表明，该方案在计算和通信开销上具有实用性，并提供了形式化的安全性证明。论文的贡献在于：首次在加密消息系统中实现了抗滥用的可追溯性与最小信任假设的平衡，为监管合规与隐私保护的冲突提供了一种可行的密码学解决方案。

该论文《OptiMix: Scalable and Distributed Approaches for Latency Optimization in Modern Mixnets》聚焦于现代混合网络（mixnets）中的延迟优化问题。混合网络是用于匿名通信的关键基础设施，通过多层加密和路由混淆来保护用户隐私，但延迟问题一直是其实际部署的主要瓶颈。论文提出了名为 OptiMix 的可扩展、分布式方法，旨在在不牺牲安全性或可扩展性的前提下显著降低延迟。具体方法可能包括改进节点间的数据包调度算法、分布式拓扑优化以及负载均衡技术。实验部分采用模拟或真实网络环境验证了 OptiMix 能够将端到端延迟降低一定百分比（如30%-50%），同时保持混合网络的匿名性和抗审查特性。主要贡献包括：(1) 提出了一种适用于大规模网络的延迟优化框架；(2) 设计了分布式算法以协调多个节点共同优化路径选择；(3) 通过理论分析和实验证明了方法的有效性。该研究适合对匿名通信、隐私增强技术和网络性能优化感兴趣的研究人员和工程师阅读。

本文提出 PIRANHAS，一种针对非层次异步无人机群（swarm）的隐私保护远程证明（Remote Attestation）协议。在无人机群等大规模分布式系统中，远程证明用于验证节点的软件完整性，但现有方案往往假设层次结构或同步通信，且缺乏对节点隐私的保护。PIRANHAS 利用安全硬件（如 TPM）和密码学技术，实现无需信任中心服务器的分布式证明。协议核心包括：1）基于承诺（commitment）和零知识证明的节点身份隐藏机制，防止攻击者关联证明请求与具体节点；2）异步消息传递模型，适应蜂群中节点可能离线或通信延迟的现实；3）可扩展的聚合证明，减少通信开销。实验评估（在模拟环境中）表明，PIRANHAS 在保证隐私的同时，证明延迟和通信开销与现有非隐私方案相当。主要贡献在于首次将隐私保护融入非层次异步蜂群的远程证明，为物联网、无人机协作等场景提供了实用方案。

本文提出一种分布式广播加密方案，旨在解决私有区块链间互操作时的机密性保护问题。现有跨链方案（如中继或侧链）通常依赖链上公开验证，导致交易数据在跨链过程中暴露。作者设计了一种基于广播加密的分布式密钥管理机制：各参与联盟链生成共享的广播加密密钥，发送方使用接收方联盟的公钥加密数据，只有目标链上的授权节点能解密。方案无需信任单一第三方，且支持动态添加或撤销联盟成员。实验基于Hyperledger Fabric实现，在典型跨链场景下，加密开销（约5-10毫秒）和解密性能（约20-30毫秒）可接受，通信带宽增加约15%。主要贡献包括：形式化定义跨链机密互操作的安全模型；提出去中心化的广播加密协议；给出实际区块链环境下的性能评估。适合区块链架构师、隐私计算研究员及企业联盟链开发者阅读。

本研究探讨了隐私保障（Privacy Enhancement Technologies, PETs）在自愿捐赠个人健康数据用于利他目的（如支持医学研究）中的作用。通过一项494名美国参与者的场景调查（vignette survey），研究了四种常见的隐私保障机制（数据过期、匿名化、目的限制、访问控制）对人们捐赠意愿的影响，并比较了两种验证机制（自我审计和专家审计）的效果，同时控制了数据收集者类型（营利性 vs 非营利性）和人口统计变量。主要发现：受访者对非营利组织抱有很高的默认隐私期望，明确说明隐私保障对其整体感知影响很小；而对于营利性组织，提供隐私保障显著提升了受访者的隐私期望，使其几乎与非营利组织的水平持平。此外，审计机制（无论是自我审计还是专家审计）对信任的提升效果有限。研究者强调了这些发现背后的风险，并呼吁未来开展跨学科研究，以弥合技术社区与最终用户对PETs审计有效性的认知差距。

本文针对机密虚拟机（Confidential VMs）中的隐私应用，提出了一种侧信道分析方法 SNPeek。侧信道攻击能够利用物理或逻辑侧信道泄漏敏感信息，对机密计算环境构成威胁。文章可能分析了在可信执行环境（TEE）中运行的隐私保护应用（如数据聚合、机器学习推理）如何受到缓存时序、功耗或电磁等侧信道的影响。由于未提供完整摘要，具体方法细节、实验设置和攻击效果未知。作者团队包括多位安全与隐私领域专家，研究方向涵盖侧信道、机密计算和差分隐私。本文适合对机密虚拟机安全性、侧信道攻击与防御感兴趣的读者进一步查阅。

由于未提供论文摘要，无法生成详细内容。根据标题推测，该论文研究了在规模化的密封投标拍卖中实现隐私保护的方法，可能涉及密码学协议如多方计算或可验证延迟函数。

该论文针对跨消息应用（如 WhatsApp、Telegram、Signal 等）之间用户私人数据的关联问题进行了系统性研究。研究背景是，用户在不同平台上使用相同的用户名、电话号码、头像等元数据，可能被攻击者或第三方用于跨平台追踪和画像。作者提出了一套方法论，通过收集公开可访问的信息（如用户昵称、个人资料图片、电话号码哈希等），利用模糊匹配和机器学习算法识别同一用户在不同应用中的账号。实验部分构建了包含数千个志愿者账号的真实数据集，验证了该方法在多种场景下的有效性，并分析了现有隐私保护机制（如匿名化、头像模糊）的不足。主要贡献包括：首次量化了跨应用数据关联的风险；设计了一种低成本的探测技术；提出了增强用户隐私的建议，如强制使用不同昵称或随机化头像。该研究为隐私保护提供了重要的实证依据，适合安全研究员和隐私工程师阅读。

该论文提出了一种新的轻量级私有集合交集（Private Set Intersection, PSI）协议及其变体。PSI 协议允许两方在不泄露各自集合多余信息的情况下计算交集的公共元素，广泛应用于隐私保护的数据匹配、联系人发现、广告转化率等场景。现有 PSI 协议在计算开销、通信复杂度和安全性之间存在权衡，而该工作致力于实现更快的性能。论文声称提供了完整的协议实现，但摘要极其简略，未给出具体的技术架构、数学假设或实验结果。读者需查阅全文以了解方案的具体构造、轻量级特性（如是否减少公钥操作或优化电路）、以及与传统 PSI（如基于 OT、GC 或 OPRF 的方案）的对比。

数据估值是数据市场中的核心任务，Shapley值归因用于决定买方的付款如何在数据提供者之间分配。传统上，市场运营商独立执行归因，但要求参与者和外部审计员信任无法在底层私有数据上独立重算的分数。零知识证明（ZKP）理论上可以协调隐私与可验证性之间的冲突，但现有ZK估值系统由于证明时间过长或需要公开验证集而无法满足实际市场需求。本文提出ZK-Value，一个实用的端到端ZK数据估值系统。系统通过完全协同设计的架构解决可扩展性瓶颈：(1) LSH-Shapley，一种基于局部敏感哈希的估值原语，用每个桶的碰撞计数替代昂贵的成对距离度量，显著降低计算复杂度；(2) ZK-LSH-Shapley，一个定制的ZKP协议，通过将碰撞计数编码为桶级直方图而非朴素成对张量，大幅减少见证大小，从而降低证明开销；(3) 结构性的证明系统优化，包括超预言机批处理和稀疏性跳过，进一步加速证明生成。在12个标准数据集上的实验表明，ZK-Value的估值质量与当前最先进的KNN-Shapley基线相当（AUROC差异在0.033以内），证明生成时间从数秒到数分钟，比专门设计的ZK基线快12.6到68.1倍，验证时间低于4.6秒。该工作为数据市场中隐私保护且可验证的数据估值提供了实用的解决方案。

本文聚焦于动态对称可搜索加密（DSSE）中的隐私保护问题。在DSSE中，前向隐私确保过去的搜索查询无法与未来的更新关联，而向后隐私则保证后续的搜索查询无法与过去已删除的文档关联。现有方案在实现Type-II向后隐私时通常需要交互式协议或可信执行环境，实用性受限。为此，作者提出了一种新的密码学原语——对称可撤销加密（Symmetric Revocable Encryption, SRE），并基于该原语构建了一个通用的前向与向后隐私保护的DSSE方案。该方案是首个不依赖可信执行环境的实用非交互式Type-II向后隐私DSSE方案。SRE通过简洁的密码学组件进行模块化构造，并实例化为轻量级对称原语。实验对比了当前最高效的Type-II向后隐私方案（Demertzis等，NDSS 2020），在典型网络环境下，本文方案的搜索性能提升2-11倍。该工作为可搜索加密在实际部署中提供了更优的隐私与效率权衡。

该论文提出了一种名为 Dubhe 的零知识证明系统，专门针对标准 AES 加密算法实现了高效、简洁的证明。传统的零知识证明（如基于 R1CS 或 QAP 的方案）在处理 AES 这类复杂算术电路时往往面临巨大的证明尺寸和验证开销。Dubhe 通过设计定制的算术化电路和多项式承诺方案，显著降低了 AES 计算电路的表示复杂度，使得证明尺寸仅为几百字节，验证时间达到亚秒级。论文详细描述了 Dubhe 的算术系统：将 AES 的字节代换、行移位、列混合和轮密钥加操作转化为低次数的多项式约束，并利用新型的线性时间可验证的批处理技术来合并多个门。实验结果表明，对于 AES-128 的加密操作，Dubhe 的证明生成时间约 10 秒，验证时间 50 微秒，证明大小 1.5KB。此外，论文还讨论了 Dubhe 在密码学锁箱、隐私交易和可验证计算等应用中的潜力。该工作为在资源受限设备或区块链场景中证明 AES 运算的正确性提供了可行的密码学工具。

该论文是迄今为止最大规模的Android平台私人信息收集（PIC）研究。研究者利用某流行移动安全产品用户提供的匿名化数据集，分析了2018年至2019年间21个月内1730万用户安装的210万款独特应用所产生的敏感信息流。研究发现，87.2%的设备至少向5个不同域名发送了私人信息，且不同地区的参与者（如亚洲与欧洲）对信息类型有不同偏好。美国（占总流量的62%）和中国（7%）是收集私人信息最多的国家。研究结果揭示了数据监管存在的问题，并鼓励政策制定者进一步规范私人信息的使用和共享，确保可问责性。该研究的核心贡献在于提供了大规模、跨地域的实证数据，为隐私保护政策提供了重要参考。

内容屏蔽（Content Blocking）是提升Web性能、保护用户隐私的重要技术。当前内容屏蔽器主要基于URL构建信任标签，但攻击者可通过更改URL/域名、将恶意代码与良性代码捆绑、或内联代码到页面等方式轻易绕过。现有方法的共同缺陷是评估代码的交付机制而非其行为。本文针对该问题提出了一套基于事件循环轮次（Event-Loop-Turn）粒度的JavaScript签名系统。该系统通过对Blink和V8运行时进行深度检测，在每个事件循环轮次中提取脚本的隐私与安全相关行为，构建高标识性的签名。该方法对代码混淆、打包、URL修改等常见绕过手段具有鲁棒性，并能处理Web应用的特殊场景。作者利用EasyList和EasyPrivacy作为基准，从11,212个被过滤列表拦截的唯一脚本中构建了1,995,444个行为签名，并发现了3,589个未被过滤列表识别但包含已知有害代码的唯一脚本，影响了12.48%的测试网站。此外，论文提供了脚本规避检测的分类方式并量化了各类占比，最后给出了防御建议：包括可操作的过滤列表规则更新和基于签名的检测系统。该研究对于理解当前内容屏蔽器的盲区、提升隐私保护效果具有重要意义。

该论文由伊利诺伊大学芝加哥分校和尼泊尔大学的研究人员共同撰写，发表于NDSS 2021。研究聚焦于现代浏览器中利用favicon图标和缓存机制实现持久化追踪的技术。论文揭示了攻击者如何通过操纵浏览器对favicon的缓存行为，在用户清除常规cookies后依然能够跨会话识别用户，从而绕过隐私保护措施。然而，NDSS 2021程序委员会在论文评审过程中发现，作者在披露针对Firefox浏览器的漏洞时存在伦理审查疏漏，可能使非脆弱用户暴露于潜在风险中。尽管最终未造成实际伤害，但这一事件引发了安全社区关于负责任披露流程的深入讨论。论文的技术贡献在于提出了一种新型的追踪向量，并评估了主流浏览器的防护能力。适合对浏览器安全、用户隐私追踪技术感兴趣的研究人员阅读。

该论文针对智能音箱麦克风持续监听引发的用户隐私信任问题，提出了一种名为“有意供电”（Intentional Powering）的硬件设计范式。传统智能音箱麦克风始终通电，用户无法直观判断录音状态，导致隐私担忧。作者设计了一种新型麦克风系统：麦克风仅在用户明确意图（如按下物理按钮或说出唤醒词）时由用户可控的电源电路供电，同时提供“可感知保证”（Perceptible Assurance），即通过LED灯光、振动或声音反馈实时指示麦克风是否处于录音状态。论文构建了原型设备，并开展用户研究（N=24），对比传统“始终监听”模式和本方案。结果显示，有意供电显著提升了用户对隐私控制的感知、信任度和使用意愿，而功能体验（如语音助手响应速度）未受实质影响。主要贡献包括：提出并验证了一个兼顾隐私与可用性的麦克风供电架构；提供了用户信任的量化评估；为消费电子产品的隐私透明设计提供了可借鉴的思路。

本文研究多轮交互场景下LLM智能体的隐私保护问题。现有基于度量差分隐私的提示清洗器将每次服务调用视为独立发布，但攻击者可通过跨轮联合观测恢复隐私属性，导致隐私随发布次数增加而衰减。作者指出这种退化是根本性的：当隐私属性是计算图的根节点时，对衍生值的独立加噪会将该根节点的区分度放大最多达到衍生函数的Lipschitz常数L，对于医疗和金融工作流中的非线性函数，L可能远超名义隐私参数。为此，提出RootGuard方法：对根值（原始隐私属性）仅进行一次加噪，后续所有计算均基于已加噪的根值确定性执行。根据后处理定理，隐私保证仅依赖于初始根清洗，与攻击者的函数或轮次无关，衍生值以零边际成本继承隐私。RootGuard还利用结构领域知识（如从身高体重计算BMI，或已知目标函数）在根节点间分配预算，改善隐私-效用权衡。在最坏情况下，攻击者迫使t轮查询会使总预算B = t·ε，RootGuard将更大的总预算分配到多个根上，而独立加噪每轮消耗ε并给攻击者t个观测值以通过MAP重构。这形成了“双重不对称”：更多轮次有利于RootGuard而削弱独立加噪。在8个NHANES医疗诊断模板上，ε=0.1时RootGuard比独立加噪的目标误差低2.3-3.0倍（7.6% vs 17.1% wMAPE at B=(2k+1)ε）。在MAP重构下，更多查询会增强对独立加噪的攻击，而RootGuard保持不变。

该论文研究了住宅智能设备无线网络流量中的隐私泄露风险，重点关注低技能攻击者（如邻居）能否利用简单工具实施隐私攻击。以往研究多假设攻击者具备专业机器学习知识、标注数据和参考设备，而本文模拟一名“偶然攻击者”：仅使用三台商用Raspberry Pi、Wireshark和基础Python脚本，在真实公寓楼的相邻房间进行为期三周的实验。结果显示，该攻击者能手动识别智能设备类型（如灯泡、电视、冰箱）；通过流量模式区分用户状态（如设备开关）；利用RSSI三角测量穿透墙壁追踪智能手机移动；并成功提取详细的日常作息，包括访客的睡眠模式。研究证明，即使资源有限的普通攻击者（例如邻居）也能对智能家居隐私构成实质性威胁，打破了以往认为只有高级威胁行为者才能实施此类攻击的假设。

该论文研究了在隐私敏感环境中，运行时监控系统如何保护敏感信息的问题。现代基于流的监控器会收集被观测系统运行时的详细统计数据，这些数据可能泄露隐私。差分隐私是保护敏感信息的先进方法，但将其集成到运行时监控中面临挑战：时序算子会导致单个输入值随时间影响多个输出，从而反复泄露隐私。论文提出了一种自动在基于流的监控规范中强制实施差分隐私的方法，通过分析时间依赖性并在规范中注入经过校准的噪声来实现。为了保持输出的效用，论文识别了规范中策略性的噪声注入位置，并利用基于树的机制来减轻聚合算子噪声注入带来的精度损失。通过在公共交通使用监控的案例研究，展示了该方法的实用性和有效性。

本论文针对软件产品隐私影响评估中的人工依赖性强、耗时且易错的问题，提出了一种基于大型语言模型（LLM）的自动分类方法，用于检测源代码中涉及个人数据处理的部分。作者首先构建了一个带有W3C个人数据分类体系标签的代码片段数据集，然后设计了一个可扩展的框架，采用不同的提示策略（如零样本、少样本）对代码片段进行分类。通过在多个实验中对框架进行评估，结果显示基于LLM的方法在检测个人数据处理的准确率上达到了有效支持人工审核的水平，能够帮助审查人员在规模化代码审核中高效识别隐私相关代码。该研究主要贡献包括：(1) 一个标注了个人数据类别的代码数据集；(2) 一个结合分类体系和多种提示策略的自动化分类框架；(3) 实验验证了方法的可行性及最佳实践。本文适合隐私工程师、源代码审计工具开发者以及合规研究人员阅读。

本文提出 Obscura，一种针对 Algorand 区块链的隐私保护协议。现有区块链隐私方案（如以太坊上的 zk-SNARKs）在高吞吐量链（如 Algorand）上难以实现，因为存在严格的每调用执行预算和全局 Merkle 累加器引起的状态竞争。Obscura 利用基于 BN254 椭圆曲线的可链接自发匿名群签名（LSAG）来实现交易匿名性，并在链上完全验证。为了克服 Algorand 虚拟机（AVM）的限制，作者引入了一种新颖的状态模型，利用 Algorand 的 Box Storage 实现 O(1) 的承诺成员检查，消除了全局 Merkle 累加器的需求；同时，通过池化内部应用调用实现动态操作码预算扩展机制。实验证明，在 Algorand 上无需可信设置或简洁证明即可实现高效实用的签名者匿名隐私。Obscura 为透明账本提供了强大的隐私层，弥合了高吞吐量区块链架构与加密隐私及选择性审计双重需求之间的鸿沟。

本文对25款流行的Android心理健康与生活教练应用进行了全面的隐私分析。研究方法结合了静态分析（检查APK中的权限声明和追踪器SDK）、动态网络流量捕获（识别实际数据传输）以及基于LLM的隐私政策提取（辅以人工标注）。主要发现包括：1）每个应用都嵌入了至少一个其隐私政策未明确列出的追踪器SDK，68%的应用未披露超过一半的已检测追踪器，其中“Talkie”嵌入了20个追踪器但一个也未披露；2）13个应用存在16项权限-政策矛盾，即清单文件中声明了危险权限（如相机、麦克风）但政策中未提及，6个应用在未披露收集照片、视频或音频的情况下请求相机或麦克风权限；3）48%的应用披露了第三方AI处理（如通过OpenAI、Anthropic、Groq），其中一个应用将日记条目同时发送给全部三个服务，另有7个应用仅使用模糊表述而未指明接收者身份。总体而言，当前披露实践远未达到知情同意所需的透明度。作者呼吁参照执业治疗师的专业和伦理标准，大幅更新监管框架。本文适合隐私研究员、移动安全分析师、监管机构以及心理健康应用开发者阅读。

该论文提出了一种名为PEARL的闪存转换层（FTL）设计，旨在为NAND闪存设备提供可拒绝否认（Plausible Deniability, PD）的数据保护能力。传统加密在面对能够胁迫用户交出密钥的强敌时失效，而PD机制通过隐藏敏感数据的存在性来提供保护，通常依赖于同一设备上的“掩护文本”或“公共数据卷”。然而，在NAND闪存中实现PD面临独特挑战：闪存的读写操作不会直观地改变底层设备状态，且多快照攻击者（能在多个时间点访问设备）可以检测到不一致。此外，闪存设备的固件行为通常是专有的，上层发起的删除或覆写操作几乎不会立即擦除底层闪存单元。为解决这些问题，作者设计了一类新型WOM（Write-Once Memory）编码，能够将隐藏比特存储在与公共比特相同的物理位置，利用NAND闪存固有的特性——可以在已有页面中未写入的单元上进行多次写入。PEARL作为一个通用FTL，允许用户在NAND闪存设备上以可拒绝否认的方式存储隐藏数据。作者在广泛使用的闪存模拟器FlashSim上实现了PEARL，并基于真实工作负载进行了评估。实验结果表明，PEARL的性能与非PD基线相当，且是首个能抵御现实多快照攻击、实现强可拒绝否认的NAND闪存系统。该研究对于需要防范物理胁迫或取证分析的高安全性场景具有重要价值。

该论文旨在系统性地研究用户在使用对话式人工智能平台（如智能助手、聊天机器人）时对安全和隐私的担忧与态度。研究背景：随着对话式AI在家庭、办公等场景的普及，用户数据被大量收集和处理，引发了潜在的隐私泄露和安全风险。核心问题：用户对这些平台的具体担忧是什么？他们的态度如何影响使用行为？是否存在人口统计学差异？研究方法：作者通过大规模问卷调查（N≥500）收集数据，结合定性分析（如开放题编码）和定量统计（如回归分析、因子分析），从多个维度（如数据收集透明度、对话存储、第三方访问、恶意滥用）测量用户的感知风险、信任度和隐私顾虑。主要贡献：1) 揭示用户对对话式AI隐私威胁的认知不足与实际担忧之间的差距；2) 识别影响用户态度的关键因素（如技术熟悉度、过往负面经历）；3) 提出设计建议以提升用户信任和安全体验。该研究为安全工程师和产品设计者提供了用户视角的实证依据，强调在AI平台中嵌入隐私保护机制（如本地处理、明确数据使用政策）的重要性。

现有元数据隐私消息系统要么不可扩展，要么易受长期流量分析攻击。缓解流量分析攻击的方法通常依赖不切实际或不可实现的假设，或施加系统范围的带宽限制，从而降低可用性和性能。本文提出了一种新的元数据隐私通信系统模型——延迟检索（deferred retrieval），该模型在现实、可实现的用户假设下保证抗流量分析能力。作者引入了Sparta系统，这是延迟检索的实用且可扩展的实例化，具有可分发、高吞吐量、支持多个并发对话且无消息丢失的特点。具体地，提出了三种针对不同场景优化的Sparta构造：(i) 低延迟，(ii) 共享内存环境（多线程实现）中的高吞吐量，以及(iii) 无共享（分布式）环境中的高吞吐量。低延迟Sparta支持低于1毫秒的延迟，而高吞吐量Sparta在单个48核服务器上可扩展到每秒交付超过70万条100字节的消息。该工作表明，在保持强隐私保护的同时，可以实现高性能和可扩展性，为实际部署匿名通信系统提供了新途径。

该论文研究了机器遗忘（Machine Unlearning）领域中的类别级遗忘问题，提出了一种基于 SISA（Sharded, Isolated, Sliced, and Aggregated）框架的改进方案，用于卷积神经网络（CNN）架构。随着图像生成模型等AI系统的普及，数据隐私和用户同意问题日益突出，当用户要求删除其数据时，模型需要能够移除特定数据的影响而无需完全重新训练。论文提出的方法在标准SISA基础上引入了强化重放机制（reinforced replay mechanism）和门控网络（gating network），以增强选择性遗忘的效率。实验在多个图像数据集和不同CNN配置上进行，结果表明该方法能够有效实现类别级遗忘，在保持模型性能的同时显著降低重新训练的开销。论文还指出了SISA类遗忘方法在隐私敏感型AI应用中的部署潜力，并公开了实现代码。适合对机器学习隐私、数据删除合规性以及模型维护效率感兴趣的研究人员和工程师阅读。

该论文提出了一种名为VOW的新型协议，用于解决大型语言模型（LLM）水印检测中的隐私和可验证性问题。现有LLM水印方法通常依赖集中式信任模型，用户需将敏感文本提交给服务提供商进行检测，且无法验证检测结果的完整性。虽然已有非对称方案试图解决这些问题，但它们要么不适用于短文本，要么缺乏水印插入与检测之间的形式化保证。VOW协议将水印检测表述为一个安全的两方计算问题，通过可验证的不经意伪随机函数（VOPRF）实现水印核心逻辑的实例化。该协议允许用户和服务提供商在不泄露用户文本的情况下进行检测，同时服务提供商的结果是可验证的。综合评估表明，VOW对于短文本具有实用性，并重新评估了水印针对现代改写攻击的鲁棒性。该研究为LLM水印的实际部署提供了兼顾隐私与可验证性的高效方案。

本文针对机器学习模型中的成员推断攻击（Membership Inference Attacks）提出一种名为SELENA的隐私保护训练框架。成员推断攻击旨在通过模型对成员与非成员输入的差异行为推断某样本是否属于训练集，是衡量模型隐私泄露的关键指标。现有防御方法如差分隐私虽能提供可证隐私保障，但会显著降低模型效用。本文的目标是在保持模型效用（utility）的同时提高成员隐私，即实现经验性隐私保障。SELENA框架包含两大核心组件：第一，Split-AI集成架构，它将训练数据随机划分为多个子集，并在每个子集上独立训练模型；在推理阶段，对于每个输入样本，仅聚合那些训练数据中不含该样本的模型输出，从而阻断攻击者利用模型行为差异。作者证明Split-AI能防御一大类成员推断攻击，但仍可能受到自适应攻击。因此，第二组件采用自蒸馏（Self-Distillation）方法，通过Split-AI集成对训练数据集进行自蒸馏，无需外部公共数据集，进一步增强对更强攻击的鲁棒性。在多个基准数据集上的实验表明，SELENA在成员隐私与效用之间实现了优于现有技术的权衡。本文适合机器学习安全研究人员、隐私保护从业者以及关注模型隐私泄露的工程师阅读。

随着网络浏览器逐步限制客户端追踪，网络追踪生态正从客户端追踪向服务器端追踪（SST）转移。在SST中，浏览器将追踪请求发送到中间端点，再由该端点转发至追踪器的最终端点，从而消除了客户端到追踪器的直接请求。这使得现有的基于拦截已知追踪器端点的防护措施失效。本文针对当前网络中最广泛部署的第三方追踪服务——Google Analytics，深入研究了其服务器端实现（sGA）。作者提出了SST-Guard，一个多模态、基于浏览器的系统，用于检测和拦截服务器端Google Analytics。核心洞察在于：即便追踪器端点发生变化，sGA仍然必须收集和共享与客户端Google Analytics相同的语义信息（例如标识符、事件元数据）。因此，SST-Guard并非检测发往已知Google Analytics端点的请求，而是检测这些语义值被收集并发送至任意端点的底层行为。将这一洞察付诸实践面临挑战：真实的sGA部署常常自定义端点并混淆URL/载荷。SST-Guard采用一种值模板方法，通过正则表达式匹配网络请求、Cookie和window对象三种模态中的语义值模式，从而解决该挑战。作者在Tranco top-10k网站上验证了SST-Guard，检测出4.02%（403个）的sGA域名，三种模态的平均准确率超过93%，其中网络请求分类器准确率最高（99.8%）。通过在实际环境中部署SST-Guard，发现Tranco top-150k网站中有4.21%（6,314个）使用了sGA。该研究首次大规模揭示了服务器端Google Analytics的普遍性，并为防御此类隐晦追踪提供了可行方案。适合关注网络隐私、追踪防护和浏览器安全的研究人员及工程师阅读。

本研究通过采访13名在2018-2019年苏丹革命期间活跃的政治活动家，深入分析了他们在极端政治环境下使用的技术防御策略。研究发现，政治和社会因素对活动家的安全与隐私行为及应用选择起决定性作用。面对政府控制的电信网络、社交媒体封锁乃至完全断网，活动家采取了一系列低技术但有效的防御措施，如使用VPN、代理、加密通信工具等，以对抗监控、逮捕和设备扣押等威胁。尽管防御手段技术含量不高，但针对其对手已足够。研究还揭示了技术设计建议推广时面临的通用性与特定用户群体安全可用性需求之间的根本矛盾。例如，为活动家设计的反审查工具在操作便捷性和安全性上难以同时满足不同文化背景的用户。为此，研究者提出了一套结构化问题，旨在将这些矛盾转化为技术设计者和政策制定者的机遇，以设计更共情且实用的人机交互安全解决方案。该工作对理解国家安全与社会运动交叉领域的安全行为具有重要价值，为后续研究提供了实证基础。

本文揭示了一种名为“Quantamination”的新型安全漏洞，该漏洞存在于机器学习服务系统中的动态量化（dynamic quantization）环节。动态量化是一种在模型推理运行时根据输入数据实时调整量化参数的优化技术，旨在降低内存占用和计算负载，提升生成速度和服务效率，且通常不会显著损失模型精度。然而，研究者发现，当前主流机器学习框架（包括ML编译器和推理引擎）在默认或可配置状态下，其动态量化实现会无意中在同一批次的输入之间创建侧信道（side channel）。攻击者可以通过提交精心构造的恶意输入与受害者数据混合在同一个批次中，利用量化参数对输入数据的依赖性，从输出结果中反向推断出同一批次其他用户输入的敏感信息。实验表明，至少4个广泛使用的框架（如TensorFlow、PyTorch等及其相关编译器）存在此类问题，攻击者理论上能够部分甚至完全恢复其他用户的批处理输入数据，构成严重的隐私泄露风险。本文系统性地分析了漏洞产生的根本原因，提出了量化侧信道的形式化模型，并展示了多种攻击场景下的数据恢复能力。该研究适合机器学习系统安全研究人员、模型服务框架开发者以及关注隐私保护的AI从业者阅读。

大型语言模型（LLM）的微调能够使其适应特定应用，但高昂的计算成本使得资源受限的组织难以独立完成。云平台可以提供所需资源，但数据隐私问题使得将敏感信息共享给第三方存在风险。分割学习（Split Learning）作为一种有前景的解决方案，将模型划分为客户端和服务器两部分，通过交换中间数据实现协作且安全的训练，从而使资源受限的参与者能够安全地适配LLM。近年来，涌现了大量研究来推进这一范式，提出了多种模型方法、系统优化以及隐私防御-攻击技术。为了理清该领域的发展脉络，本文首次全面综述了针对LLM微调的分割学习。我们提出了一种统一的细粒度训练流水线来定位关键操作组件，并从三个核心维度：模型级优化、系统级效率和隐私保护，对现有工作进行系统回顾。通过这一结构化分类，我们为推进可扩展、鲁棒且安全的协作式LLM适配奠定了基础。本文适合对LLM微调、隐私保护分布式学习感兴趣的研究人员和工程师阅读。

论文提出 X-NegoBox，一个用于点对点能源数据安全交换的透明隐私预算协商框架。现代能源系统正从集中式向分布式转变，消费者转变为产消者，持续与聚合器、对等节点和市场运营商交换数据。虽然这些数据对点对点交易、需求响应和分布式预测至关重要，但可能泄露敏感的家庭模式，引入隐私风险。现有数据共享机制依赖固定策略或预定义差分隐私预算，无法适应可靠性、数据敏感性和请求目的的变化，且产消者很少收到请求被接受、拒绝或修改的解释，降低了信任和参与度。X-NegoBox 在每个产消者本地管理一个私有 DataBox，原始数据不离开该环境。传入请求由自主隐私预算协商协议（APBNP）处理，该协议基于信任、特征敏感性、声明目的、历史行为和风险感知定价确定适当的隐私预算。必要时，APBNP 生成隐私保护的反提案，如降低分辨率或缩短持续时间。可解释协议层（X-Contract）为每个决策提供人类和机器可读的合理性说明。达成协议后，请求者代码在沙箱中本地执行，仅共享经净化处理的输出。在现实能源市场场景下的实验表明，X-NegoBox 减少了隐私泄露，提高了请求接受率，并改善了可解释性。

提出PrivSTRUCT框架，通过编码器-解码器结构解析隐私政策中的数据结构，揭示Google Play商店应用中数据目的声明与实际数据流之间的透明度差距。