本文研究大型语言模型（LLMs）在网络安全风险评估中的可靠性，采用CIS控制为基础的方法。研究背景是：组织面临网络安全人员短缺和威胁不断演变的挑战，LLMs被视为潜在辅助工具，但其可能生成不可靠或幻觉内容导致错误决策。核心问题是：LLMs在风险评估中是否可靠，能否替代人类专家？方法上，作者设计了包含多个风险场景的问卷，收集了50名人类专家的响应，并与五个主流LLM（如GPT-4等）的答案进行对比。通过统计分析，发现LLMs与人类专家在风险评分上存在显著差异，且LLMs总体倾向于低估风险。实验结果表明，LLMs无法完全替代人类进行风险评估，必须保留人类监督环节。主要贡献是：定量揭示了LLM在风险感知上的系统性偏差，并强调了人机协同的必要性——LLM应作为辅助工具而非独立评估者。该研究适合安全分析师、风险管理者和AI应用开发者阅读，用以指导LLM在安全评估中的谨慎使用。

本文针对机构级去中心化金融（DeFi）协议缺乏统一风险量化评估框架的问题，提出一个九维度风险评估框架。现有方法或聚焦于协议层面的参数优化，或停留在概念性分类，未能提供可解释、可组合感知且结构独立的评估方法论。作者在穆迪分析和Gauntlet公司提出的六维度分类基础上，新增三个核心维度：组合风险（composability risk）、理解债务（comprehension debt）和时间风险动态（temporal risk dynamics），并引入透明度置信度修正因子，将评估可靠性与风险严重性分离。该框架基于覆盖超过8000个DeFi协议的本体论基础设施，通过结构化分析协议依赖关系建立。作者对2024-2026年间12起重大DeFi相关事件（造成约25亿美元直接损失）进行回溯分析，发现其中5起（包括数据集内影响最大的两起）必须借助至少一个新维度才能完整解释根因。本文贡献在于提供了一个可落地、可扩展的风险评估框架，特别适用于机构级DeFi投资决策、审计和监管合规场景。研究适合DeFi安全研究员、协议开发者、风险管理人员及监管机构阅读。

随着现代汽车向智能化和网联化发展，其复杂性带来了显著的网络安全风险。威胁分析与风险评估（TARA）成为满足强制性法规要求的关键手段，但现有自动化方法依赖静态威胁库，难以满足行业所需的细粒度、函数级分析需求。本文提出DefenseWeaver，首个利用组件级细节和大语言模型（LLM）实现函数级TARA自动化的系统。该系统通过扩展的OpenXSAM++格式描述系统配置，动态生成攻击树并进行风险评估；采用多智能体框架协调多个专门化LLM角色，以增强分析的鲁棒性。此外，DefenseWeaver结合低秩适配（LoRA）微调和基于检索增强生成（RAG）的专家TARA报告，以应对不断演变的威胁和多样化的标准。作者在四个汽车安全项目中部署验证，系统识别出11条关键攻击路径，并通过渗透测试证实，相关车企和供应商已报告并修复。系统还展示了跨领域适应性，成功应用于无人机和船舶导航系统。与人类专家相比，DefenseWeaver在六个评估场景中的人工攻击树生成任务上表现更优。系统已集成到联电（UAES）、小米等商业网络安全平台，生成了超过8200个攻击树。这些结果突显了其在显著减少处理时间、可扩展性以及跨行业网络安全转型方面的潜力。