该论文聚焦于3D打印中G代码（一种用于控制3D打印机的标准指令集）的安全隐患。随着3D打印技术在制造业、医疗和航空航天等领域的普及，G代码的安全性变得至关重要。恶意攻击者可能通过篡改G代码文件或注入恶意指令，导致打印出的物体结构强度不足、尺寸偏差，甚至引发打印机硬件损坏。论文提出了一种系统性的安全分析框架，通过静态分析和动态模拟相结合的方法，检测G代码中的异常模式，例如非预期的温度变化、速度突变或材料挤出异常。作者实现了一个原型工具，并在多种3D打印机和真实G代码数据集上进行评估。实验结果表明，该工具能够有效识别已知的攻击模式（如层高篡改、支撑结构移除），同时误报率较低。此外，论文还讨论了当前3D打印流程中的安全缺口，如缺乏数字签名验证、切片软件易受攻击等，并给出了防御建议，包括引入G代码完整性校验和运行时监控。该研究为3D打印供应链安全提供了重要参考，适合工业安全研究员、制造商以及安全架构师阅读。

联邦学习作为一种分布式机器学习范式，允许多个客户端在不共享原始数据的情况下协作训练全局模型。然而，拜占庭鲁棒性问题是其面临的主要安全挑战之一：当存在一定数量的恶意客户端时，它们可以通过精心构造的本地模型更新来破坏全局模型的质量。现有的拜占庭鲁棒联邦学习方法通常依赖服务提供商对客户端更新进行统计分析，如修剪异常值或计算中位数，但恶意客户端仍能通过构造与正常更新方向相似但幅度极大的更新来绕过检测，因为这些方法缺乏一个可信任的基准。 本文提出 FLTrust，一种新的拜占庭鲁棒联邦学习方法，其核心思想是让服务提供商自身引导信任。具体而言，服务提供商预先收集一个干净的、小规模的训练数据集（称为根数据集），并基于此维护一个服务器模型。在每个通信轮次中，服务提供商首先计算服务器模型更新（即基于根数据集计算的梯度更新），然后为每个客户端本地模型更新分配一个信任分数：如果客户端更新的方向与服务器模型更新的方向偏离越大，则信任分数越低。接着，服务提供商对客户端更新进行幅度归一化，使其与服务器模型更新位于同一超球面上，从而限制恶意客户端通过大幅度更新造成的影响。最后，服务提供商以信任分数为权重，计算归一化后客户端更新的加权平均值作为全局模型更新，并更新全局模型。 FLTrust 不依赖对客户端数量的假设，且不要求客户端数据独立同分布。实验在六个不同领域的数据集上进行，包括图像分类、文本分类等，结果表明 FLTrust 能够有效防御现有的多种攻击（如模型替换攻击、后门攻击）以及针对性的强自适应攻击。该方法的主要贡献在于引入了基于服务提供商自身数据的信任引导机制，为联邦学习提供了新的安全基线。

该论文提出了一种针对 Widevine DRM（数字版权管理）系统的实用重放攻击，命名为 Narrowbeer。Widevine 被广泛用于流媒体服务（如 Netflix、Amazon Prime Video）中，保护视频内容免受未授权访问。研究表明，攻击者可以通过捕获和重放合法的授权响应，绕过 DRM 保护，从而在没有有效订阅的情况下访问受保护的内容。论文详细分析了 Widevine 协议中的安全漏洞，特别是其授权流程中缺乏足够的随机性或时间戳验证，使得重放攻击成为可能。作者开发了一个原型工具，在实际环境中验证了攻击的有效性，并讨论了可能的防御措施，如引入一次性令牌或增强服务器的状态检查。该研究揭示了当前 DRM 实现中一个被忽视的攻击面，对流媒体内容安全具有重要警示意义。

该论文提出了一种名为 DriveFuzz 的模糊测试工具，旨在自动发现自动驾驶系统（ADS）中的安全缺陷。自动驾驶系统通常依赖深度神经网络处理传感器数据并做出驾驶决策，但这类系统可能因异常输入（如传感器噪声、不规则路况）而表现出不安全行为。然而，传统的模糊测试方法难以有效应用于复杂的 ADS 环境，因为它们需要模拟真实的物理世界交互。DriveFuzz 的关键创新在于引入了一种“驾驶质量引导”的模糊测试策略：它基于车辆控制信号的平滑性、碰撞风险等指标来量化每次测试输入的“驾驶质量”，并利用该指标指导变异算子生成更可能触发不安全行为的测试场景。具体而言，DriveFuzz 通过将原始传感器数据（如激光雷达点云、摄像头图像）作为输入，并利用一个反馈循环，选择那些导致驾驶质量下降的变异输入进行后续探索。论文在工业级自动驾驶模拟器（如 CARLA、LGSVL）上进行了评估，结果表明 DriveFuzz 能够有效发现多种类型的 bug，包括车辆偏离车道、碰撞障碍物、无视交通标志等，且发现的 bug 数量显著优于现有基线方法。该工作发表于 ACM CCS 2022，附录包含更多实验细节。

该论文通过实地调查和半结构化访谈，深入研究了肯尼亚网吧（cybercafe）中用户和工作人员面临的安全与隐私挑战。研究在肯尼亚的两个城市（内罗毕和基苏木）进行，共调查了200名用户和26名网吧工作人员。主要发现包括：（1）高达80%的用户在创建或输入密码时依赖工作人员代为操作，工作人员因此掌握了大量用户的账户凭证；（2）网吧工作人员经常将用户凭证存储在不安全的电子表格或纸质记录中，甚至通过WhatsApp等聊天工具共享，存在严重的泄露风险；（3）用户普遍缺乏基本的安全意识，例如不验证网站HTTPS证书、不知道公共计算机的键盘记录风险；（4）网吧缺乏正式的安全策略，工作人员也未经培训；（5）用户出于成本、设备可及性等原因被迫使用网吧，缺乏替代选择。论文揭示了资源受限环境下安全设计与实际使用之间的巨大鸿沟，并提出了针对性的设计建议，例如构建无密码身份验证方案、提供临时会话机制等。该研究对于理解发展中国家数字鸿沟中的安全隐私问题具有重要价值。

本文提出了一种名为LPOR（分层准备金证明）的框架，旨在解决当前中心化加密货币交易所准备金证明（PoR）系统在可用性和公开可审计性方面的不足。现有的PoR方法（如基于Merkle树的证明和零知识PoR系统）虽然能验证交易所链上资产是否足以覆盖用户负债，但普通用户在实际中难以验证，导致参与度低和透明度不足。LPOR将验证过程分为两层：轻量级的用户侧检查和审计员级别的密码学验证。非技术用户只需进行简单的包含性验证，并能公开重新计算总负债，从而降低了验证门槛。该方法显著提高了用户参与度，并大幅提升了检测遗漏负债的概率。论文在数百万用户规模下评估了其可扩展性和遗漏可检测性。核心贡献在于提出了一个兼顾安全性与可用性的分层验证框架，使得准备金证明更易于被普通用户和公众审计者采用。

本文提出了一种名为 PoF (Proof-of-Following) 的新机制，用于解决协作车辆队列中 V2V 通信的身份与物理状态绑定问题。现有的车辆队列依赖 PKI 保障消息完整性和真实性，但 PKI 无法将车辆的加密身份与其物理状态（如位置、速度、加速度等）关联起来。这意味着拥有合法证书的恶意远程车辆可以发送虚假的协同驾驶消息，从而干扰甚至操控队列行为，造成严重安全隐患。PoF 机制要求每个参与队列的车辆向其他成员证明自己确实“跟随”在前车之后，即其物理轨迹与前方车辆具有一致性和时序相关性。具体地，PoF 利用沿途部署的路侧单元（RSU）或使用车载传感器测量的相对距离、速度以及车辆轨迹的因果顺序来构建挑战-响应协议。在协议中，前车发送特定时间窗口内的观测数据（如经过的路标或前车自身的运动特征），后车必须提供匹配的本地感知或通信记录来证明自己位于该车的后方。通过验证这些证据，队列成员可以确认通信方是否处于合法的物理跟随位置，从而杜绝远程冒名攻击。作者还给出了 PoF 的正式安全定义，并分析了其抵抗多种攻击（如重放、位置伪造、合谋攻击）的能力。仿真实验表明，在合理的通信和感知精度下，PoF 能够以高概率检测到非法车辆，同时引入的通信和计算开销较小。本文的主要贡献包括：1）形式化定义了车辆队列中的“跟随证明”问题；2）设计了一套基于挑战-响应的轻量级验证协议；3）提供了安全性分析与仿真验证。该研究适合对物联网安全、自动驾驶安全、V2X 通信协议感兴趣的读者。

随着大语言模型（LLM）的广泛部署，通过越狱攻击识别其脆弱性变得至关重要。基于优化的攻击（如Greedy Coordinate Gradient, GCG）通常将对抗性token插入到提示的末尾，但固定插入点可能不是最有效的。本文实证研究了提示中可插入token的候选位置（称为“槽位”），发现越狱的脆弱性与槽位选择高度相关。基于此，作者提出脆弱槽位评分（Vulnerable Slot Score, VSS）来量化位置脆弱性，并设计SlotGCG方法：先用VSS评估所有槽位，选出最脆弱的槽位进行插入，然后在这些槽位上运行针对性优化攻击。该方法是一种攻击无关的位置搜索机制，可插拔到任何基于优化的攻击中，仅增加200毫秒预处理时间。在多个模型上的实验表明，SlotGCG显著优于现有方法：与GCG相比，攻击成功率（ASR）提升14%，收敛更快，且对防御方法的鲁棒性更强（ASR比基线高42%）。实现已开源。该研究揭示了LLM在输入位置上的安全盲区，为防御者提供了新的视角。

比特币的区块奖励计划逐步减半并最终归零，这引发了对其网络长期安全性的担忧：当矿工收入完全依赖交易手续费时，是否还能维持诚实挖矿的稳定性。本文基于序贯决策模型，分析了诚实矿工与偏离（如自私挖矿、空块攻击等）矿工的收益，推导出一个偏离阈值G_t，当实际条件低于该阈值时，诚实挖矿不再是矿工的私有最优策略。文章以2024年比特币减半事件为时间节点，利用实际链上数据验证了当前挖矿行为尚未出现大规模或结构性偏离，表明现阶段安全性尚可。然而，当区块奖励彻底消失后，即使交易费占比极低（如低于1%），G_t准则显示偏离可能成为理性选择。进一步，作者评估了三种协议级机制：基础费用（Base Fee）、费用下限（Fee Floor）和自适应最大区块大小规则，发现三者组合使用能显著提高偏离阈值，从而缓解纯费用机制下的激励崩溃问题。这些结论为评估比特币后区块奖励时代的安全性提供了量化基准，并对其他采用类似挖矿奖励机制的区块链（如莱特币、门罗币）具有参考价值。本文适合区块链协议研究者、加密货币经济学家以及安全工程师阅读，以预判未来网络攻击面并设计防御机制。

本文针对基于可信执行环境（TEE）的联邦学习聚合协议中的安全漏洞进行了研究。作者首先分析了现有协议，发现服务器端攻击者可以利用TEE的局限性，即状态回滚和I/O操纵，通过操纵客户端选择和重放聚合来破坏系统的鲁棒性和隐私性。为了解决这些问题，本文提出了DIST-FL，一种由多个TEE保护的分布式服务器系统，这些TEE形成一个仅追加账本，用于实现隐私保护和鲁棒的联邦学习聚合。具体而言，DIST-FL通过确保操作线性化来防止状态回滚攻击，并通过纳入来自可靠服务器的输入来缓解I/O操纵威胁。作者在广域网（WAN）环境中实现了DIST-FL并进行了评估。实验结果表明，DIST-FL能够有效抵御所提出的攻击，并且在利用TEE计算优势的同时，其性能与单TEE方案相当，但吞吐量比同类方案提升了6倍。该研究为联邦学习安全聚合提供了新的思路，适合联邦学习、系统安全、隐私保护领域的研究人员和工程师阅读。

本文研究了语言模型API在限制仅输出token排名（即按概率排序的token序列，但不提供具体概率值）时，是否仍然构成能够唯一标识模型的签名。作者发现，对于足够大的k，每个语言模型都有一组唯一的可行top-k排名集合，这可以作为模型的签名。更重要的是，他们证明了这种签名是第一个已知的多项式时间不可伪造签名：找到一个具有相同可行排名集合的模型是NP-hard问题。在安全方面，尽管token排名足以近似窃取模型的最后一层参数（类似于logits的泄露），但通过限制API只返回足够小的k（例如，小于某个阈值），可以防止参数窃取，同时仍然能够提供不可伪造的签名。研究表明，存在一个k值范围，使得API既能展示不可伪造签名（用于模型身份验证），又能防止参数泄露。这项工作为语言模型的安全部署提供了理论依据，尤其是在需要公开模型身份但又要保护模型参数的应用场景中。

该论文提出了一种名为 TITAN-FedAnil+ 的联邦学习框架，旨在解决资源受限智能企业环境中的数据异质性（非独立同分布数据）和去中心化安全威胁。核心贡献包括：1) 基于亲和传播的自适应聚类聚合方法，无需预先知道攻击者数量即可识别并过滤恶意更新；2) GPU 加速向量化技术提升计算效率；3) 轻量级签名状态跳变机制实现区块链快速重同步。实验在 8 GB 边缘设备上进行，经过 50 轮通信后，相比基线框架，内存开销节省高达 81%。研究结果表明，TITAN-FedAnil+ 有效提升了鲁棒性、可扩展性和资源效率，适用于智能企业的安全联邦学习部署。

该论文提出了一种轻量级的智能合约安全审计框架，利用经过蒸馏和聚合的开放源码大语言模型（LLM）来应对现有基于LLM的审计方法存在的计算开销大、缺乏严重性评估以及可操作修复建议等问题。框架将审计任务解耦为四个独立模块：漏洞检测、漏洞解释、严重性分类和修复建议。通过采用秩稳定低秩适配器（rsLoRA）、知识蒸馏以及定制的链式验证（CoVe）聚合策略，模型在保持高精度的同时显著降低了参数量（0.6B-4B参数）。实验表明，该轻量级流水线在漏洞检测上达到98.25%的准确率，在生成解释任务中对齐得分为0.4375，优于参数量7B-34B的密集编码器LLM。消融实验验证了解耦审计流程相比统一提示的优势，并发现了新颖的严重性中心偏差，为未来LLM辅助审计研究建立了基准。

该论文提出了一种名为 Unicity 的代币所有权模型的泛化版本，将传统简单的所有权条件扩展为可编程的支出条件，称为“谓词”（predicates）。这些谓词允许在链下执行类似智能合约的功能，而无需共识参与者（如矿工或验证者）直接执行，而是由依赖方（如交易接收者）自行验证。作者证明，Unicity 执行层的安全属性可以归约到谓词族不可伪造性（predicate family unforgeability），从而保证了在添加可编程条件后，系统的安全基础不受损害。为了展示该模型的实用性，论文详细描述了如何利用谓词实现无信任的原子交换（atomic swap），即两个互不信任的参与方在不依赖第三方中介的情况下安全交换代币。原子交换的实现通过构建特定的谓词条件，使得交易要么全部执行，要么全部回滚，避免了部分执行的风险。该研究为区块链和去中心化金融领域提供了一种新的链下智能合约范式，降低了链上计算和存储开销，同时保留了安全保证。

本文提出Unicity执行层（Unicity Execution Layer），作为Unicity框架的一个模块化组件，旨在实现安全的链下交易，同时保持无需信任的双花预防。论文首先建立了形式化安全模型，其中代币所有权由公钥表示，转移需要数字签名。作者证明了三个基本安全属性：（1）无双花——每个代币状态最多只能被花费一次；（2）无阻塞——只有合法所有者才能阻止代币被花费；（3）服务端隐私——Unicity服务无法将不同交易关联到同一代币。针对用户端隐私，引入了广义多公钥签名方案，允许一个秘密生成多个不可链接的公钥，并提供了交互式和非交互式具体实例化，从而实现使用稳定公共身份的私密交易，且密钥管理开销最小。该工作通过形式化方法确保了链下执行的安全性和隐私保护，为扩展区块链吞吐量提供了理论支撑。适合区块链安全研究人员、分布式系统开发者以及关注隐私保护的密码学从业者阅读。

该论文针对肯尼亚和坦桑尼亚的移动货币（MoMo）服务中用户与代理之间的交互实践展开研究。移动货币作为数字金融服务在非洲普及，为大量无银行账户人群提供了便利，但现有研究多关注其益处，而较少探讨人类利益相关者在交互中面临的具体挑战。研究者通过72次结构化访谈（每个国家36次）发现，用户和代理为了克服生态系统中的限制和困难，设计了一系列变通方案：如代理向用户提供预支或贷款、利用用户-代理关系代替法定身份验证、以及改变预期交易执行流程以提高便利性。这些变通方案实质上修改了移动货币的核心组成部分——用户、代理和交易本身，因而引入了新的风险和挑战，包括隐私泄露、安全漏洞以及监管空白。论文指出，需要重新思考移动货币各个组件的隐私与安全设计，并制定相应的政策和监管控制措施，在保障交互安全的同时确保服务的可用性。本研究为数字金融服务中的人为因素和安全性设计提供了实证依据。

提示学习（Prompt Learning）作为一种新兴的机器学习范式，因其简单性和有效性而受到广泛关注。然而，其安全漏洞尚未得到充分探索。本文提出 BadBone，一种针对视觉提示学习中骨干模型（Backbone Model）的隐蔽且自适应的后门攻击方法。与以往攻击提示学习过程本身不同，BadBone 采用双层优化（Bi-level Optimization）技术，直接对预训练的骨干模型植入后门，使得任何采用该骨干进行提示学习的下游任务在微调后都会继承后门行为。攻击者可以在预训练阶段或通过微调接口注入后门，而无需控制提示学习过程。研究者在三个不同骨干模型（如 ViT、ResNet 等）和三个跨领域数据集上进行了大量实验，结果表明无论是目标攻击还是非目标攻击，后门模型都能在保持预训练和下游任务正常性能（Utility）的同时，实现高攻击成功率。更重要的是，作者评估了六种最先进的模型级防御机制（包括 Neural Cleanse、ABS、MNTD、NAD、CLP 和 D-BR），发现这些防御方法对 BadBone 几乎无效，无法有效检测或移除后门。这揭示了现有防御在应对针对骨干模型的后门攻击时的局限性。本文的工作首次系统性地探索了提示学习范式下针对骨干模型的后门攻击，其发现对视觉提示学习的安全性提出了新的挑战，适合关注 AI 安全、后门攻击与防御的研究人员阅读。

本文由Jaydip Sen撰写，发表于arXiv，属于cs.AI领域，主要探讨如何利用量子计算增强人工智能系统的对抗鲁棒性。文章首先回顾了人工智能在医疗、金融、自动驾驶等安全关键领域的成功应用，同时指出其深度神经网络容易受到对抗样本攻击的脆弱性——攻击者通过微小的输入扰动就能导致模型产生错误输出，这对系统的可靠性和可信度构成严重威胁。接着，文章系统性地介绍了对抗性机器学习的攻击类型（如快速梯度符号法、投影梯度下降等）和现有防御策略（如对抗训练、输入变换、鲁棒优化等），并分析了这些方法的局限性。然后，文章转向量子计算，以易懂的方式解释了量子比特、叠加、纠缠和量子干涉等核心原理，并介绍了量子机器学习的几种模型（如量子支持向量机、量子神经网络）。核心部分提出了量子增强对抗鲁棒性的概念框架，具体包括：1) 利用量子优化算法（如变分量子本征求解器）寻找更优的对抗训练平衡点；2) 采用量子特征映射将输入数据映射到高维希尔伯特空间，使样本在量子特征空间中更易分离且对小扰动不敏感；3) 设计混合量子-经典架构，其中经典神经网络处理初步特征提取，量子电路处理鲁棒性关键部分。文章还讨论了实际应用中的挑战，如当前量子硬件的噪声和退相干限制了大规模部署，以及未来研究方向，包括量子对抗样本生成、量子防御机制的可证明保证等。该文适合对AI安全、对抗性机器学习和量子计算交叉领域感兴趣的读者，为构建更安全的AI系统提供了丰富的理论参考。

该论文研究了基于隐层表示的多智能体系统中的潜在攻击问题。在多智能体系统中，智能体之间通常通过显式文本通信进行协作，但近年来出现了利用隐层表示（如注意力键值缓存）替代部分显式通信的方法，以提高效率和灵活性。然而，这种将协作移入隐空间的做法也可能使攻击向量脱离可见文本审查的范畴。作者提出了一种潜在攻击框架，该框架能够在不重新使用对抗性文本的情况下，通过隐层干预重新激活攻击效果。实验表明，这种仅基于隐层的攻击在干净执行过程中能够显著降低任务性能，尤其是在智能体间键值缓存传递而非局部隐状态上应用时效果更为明显。进一步的控制分析表明，性能下降不能归因于任意扰动或无效生成。研究结论指出，基于隐层的协作并未消除攻击风险，而是将部分风险转移到了可观测性更低的执行状态中，因此需要超越可见文本检查的安全防护措施。该论文适合对多智能体系统安全、对抗性攻击及防御机制感兴趣的研究人员阅读。

本文对 Anchored Decoding 中使用的 k-NAF (k-ary Normalized Attention Flow) 预算核算机制进行了实证审计。研究采用两类实验：一是固定、类别分层的负载（约 8500 次随机执行，覆盖六种提示类别），二是针对高代理支出比率的自适应提示搜索流程。在固定负载下，平均累积 KL 散度远低于序列级预算 K（K=600 和 1000），且基于经验 Bernstein 风格的代理指标在所有类别中均低于 K；表面重叠诊断（ROUGE-L 和 5-gram Jaccard）相应较小。自适应搜索提高了代理支出比率，但未导致预算明显耗尽。在 k=3 的保留版权域负载中，一些提示在早期停止评估且实现样本量较小时，代理比率超过 1；使用更大分配重新评估相同提示后，在可比平均支出下代理比率降至 [0.26, 0.40] 范围，这更符合代理伪影而非每条轨迹的预算失败。因此，该机制在实践中有效，未发现系统性预算违规。

随着区块链交易吞吐量受限，支付通道网络（PCN）成为提升可扩展性的重要技术。然而，现有PCN普遍依赖时间锁（timelock）机制，容易受到时间锁攻击和审查攻击的威胁。针对这些攻击，本文提出了Thunderdome——首个无时间锁的支付通道网络。Thunderdome利用虚拟通道的设计原理，扩展了无时间锁的支付通道原语，从而支持无需时间锁的多跳交易。其核心创新在于引入一组非信任的监控节点（称为wardens），这些节点组成委员会，确保即使诚实方在通道关闭过程中离线也不会损失资金。同时，本文设计了针对性的激励机制，保证所有参与方（包括wardens）遵循协议正确执行。安全性方面，除了传统的假设委员会诚实多数的安全证明，作者还通过正式博弈论分析证明了在理性参与方假设下Thunderdome仍然是安全的。他们在以太坊上实现了原型系统，验证了可行性并评估了成本。结果显示，部署Thunderdome（包括打开底层支付通道）的成本约为15美元（0.0089 ETH），关闭通道的最坏情况成本约为7美元（0.004 ETH）。该工作为PCN的安全性提供了新的设计方向，特别适合研究区块链扩容和安全的研究人员阅读。

资源公钥基础设施（RPKI）已成为保护域间路由安全的关键技术。然而，RPKI软件的安全性测试长期停留在浅层解析阶段，现有模糊测试工具（如AFL++、libFuzzer）因假设每次执行输入单一且独立，无法处理RPKI仓库中数百个相互依赖、经密码学链接的对象。这种复杂性导致现有工具无法精确追踪多对象仓库中的代码覆盖率，破坏了基于反馈的探索机制，从而遗漏了RPKI验证中的多数严重漏洞。本文提出并实现了一种新型模糊测试工具CAT，通过连续采样和将函数作为侧信道实现大规模输入仓库中每个对象的精确覆盖率归因。同时，通过将解析输入转换为带标签的树结构，CAT能够在保持变异仓库密码学有效性的前提下进行结构和语义突变。CAT结合了非顺序模糊测试与模板无关的ASN.1变异引擎，相比顺序模糊测试吞吐量提升66倍，相比libFuzzer和先前工作多探索24%-47%的独特代码路径。在RPKI验证器上的评估中，CAT发现了21个先前未知的漏洞，其中8个已分配CVE（CVSS 7.5-9.8），包括缓冲区溢出、拒绝服务（DoS）和可被利用的仓库投毒逻辑缺陷。CAT已开源，以支持可重复性、进一步研究以及将方法推广至DNSSEC、TLS等其他基于密码学的复杂协议。

论文《DeepAID: Interpreting and Improving Deep Learning-based Anomaly Detection in Security Applications》聚焦于安全领域中基于深度学习的无监督异常检测模型的可解释性问题。尽管深度神经网络在检测未知威胁方面表现出色，但其缺乏可解释性严重阻碍了实际部署。现有解释方法主要针对监督学习模型和非安全领域设计，无法直接适用于无监督模型，也难以满足安全领域的特殊需求（如误报分析、攻击溯源等）。为此，作者提出DeepAID框架，旨在为无监督深度学习异常检测模型提供解释。该方法通过分析模型内部表示和决策边界，生成与异常检测任务语义一致的解释，并利用解释结果指导模型改进，提升检测性能。实验在多个安全数据集（如网络入侵检测、恶意软件检测）上验证了DeepAID的有效性：相比基线方法，DeepAID生成的解释更准确、更符合安全专家认知，且能有效帮助安全分析师理解异常原因、减少误报。此外，作者还展示了如何利用解释反馈优化模型，使检测精度进一步提升。该工作为深度学习模型在安全运维中的可信应用提供了重要支撑。

软件定义网络（SDN）因其集中控制架构而面临分布式拒绝服务（DDoS）攻击的严重威胁，特别是地毯式轰炸（Carpet-Bombing）DDoS攻击，这种攻击将恶意流量分散到多个目标以逃避传统检测机制。本文提出了一种基于检索增强生成（RAG）的框架，用于在SDN环境中实时检测和缓解此类攻击。该框架结合了接口级流量特征表示、语义嵌入生成、基于FAISS的相似性检索以及大语言模型（LLM）驱动的上下文推理，无需传统的监督模型训练或重训练即可对流量行为进行分类。为评估框架有效性，作者在多种地毯式轰炸DDoS攻击场景下进行了大量实验，涵盖不同攻击强度。同时，研究了两种流量表示策略：基于JSON的结构化表示和基于自然语言的表示（NLR），并使用了多个最先进的LLM。实验结果表明，该框架实现了高准确率和稳定的攻击检测性能，其中使用Gemma-4-31B-IT模型的配置取得了最强的整体检测效果。实时实验验证了该框架能够快速检测并缓解地毯式轰炸DDoS攻击，同时保持SDN网络稳定运行。研究成果凸显了将RAG机制与LLM相结合用于智能自适应SDN安全分析的有效性。

该论文系统综述了大语言模型（LLM）微调生命周期中的安全问题。背景：微调是使预训练LLM适应下游任务的核心技术，但其对训练数据、参数更新和可复用组件的依赖为攻击者提供了入口。威胁已从数据中毒、权重篡改进化到智能体操纵和接口利用，而现有综述缺乏覆盖完整微调生命周期的统一框架。目标：本文提出了基于生命周期的框架来比较攻击与防御，并辅以统一的实证评估。方法：根据干预时机将攻击和防御机制分为三个阶段：预调前、调中、调后。在每个阶段内，对策略进行回顾和对比，揭示其演化过程和局限性。然后在统一模型、硬件和协议设置下评估代表性方法，并进行跨阶段实验，将不同阶段的攻击和防御配对。结果：攻击有效性高度依赖模型且随规模非单调变化：对早期模型有效的权重编辑攻击在现代化开源LLM上失去效果；跨语言后门迁移在更大规模时几乎完美，但在测试的1B-4B模型上完全失败；纯粹良性样本也能破坏指令微调模型的安全对齐。单阶段防御很少能跨阶段泛化，防御有效性依赖于模型架构和对齐状态。结论：指出了关键开放问题（配置鲁棒防御、跨阶段防御组合、超越行为假设的嵌入空间攻击）并提出了具体未来研究方向。该论文适合安全研究人员、LLM开发者和风险管理者阅读，以全面了解微调安全威胁与防御全景。

团队聊天（TACT）系统如今广泛用于在线协作和项目管理。这类系统的一个独特功能是能够集成第三方应用（App扩展），从而扩展其能力，但同时也引入了复杂性，可能给TACT系统及其终端用户带来风险。本文系统性地分析了TACT系统中App扩展的安全风险。研究首先对主流TACT平台（如Slack、Microsoft Teams等）的App扩展机制进行调查，识别出潜在的攻击面。通过设计自动化工具对大量真实世界的App扩展进行安全评估，作者发现了一系列漏洞，包括权限过度授予、数据泄露、恶意行为以及跨应用攻击等。实验结果表明，许多流行的App扩展存在严重安全缺陷，攻击者可能利用这些缺陷窃取敏感信息、冒充用户或破坏协作流程。论文提出了一个安全风险分类框架，并针对平台开发商和App开发者给出了缓解建议。本文适合安全研究人员、TACT平台开发者和企业安全管理员阅读。

该论文首次系统研究了随机梯度下降（SGD）训练过程中的不可伪造性问题。SGD 是机器学习中的核心训练算法，许多安全应用依赖于判断某个步骤的模型参数是否可以通过多个不同的数据集得到（即可伪造性）。作者提出了一组高效可检查的条件，在训练过程中的具体检查点上验证这些条件是否满足，从而证明该检查点的参数在当前步骤是"不可伪造"的，即唯一对应于某组特定数据样本。实验表明，这些条件相当宽松，在作者采样的所有检查点上均自然满足。值得注意的是，该结果与先前工作的结论形成鲜明对比：先前研究曾认为某些检查点是可伪造的，但作者采用相同方法和实验设置重新验证后发现，由于定义中的细微未明确差异，这些检查点实际上被证明是不可伪造的。作者进一步通过实验证实，微小的定义偏差会在训练过程中放大，导致最终训练出的模型存在显著可观测的差异。该工作强调了在可伪造性定义及相关安全论证中代数精确性的关键作用，为机器学习模型训练过程的完整性验证提供了理论基础。

本文研究了次要认证因素（Secondary Authentication Factor，如硬件令牌、手机推送通知等）的管理问题。尽管多因素认证（MFA）已广泛应用，但用户管理多个认证因素（如备份码、更换设备后的重新绑定）仍面临可用性挑战。作者设计并实现了一个次要认证因素管理器（Secondary Authentication Factor Manager, SAFM），旨在简化用户对多设备、多服务下认证因素的生命周期管理。SAFM 提供了一个统一界面，允许用户查看、添加、删除和同步认证因素，并处理设备丢失或升级的场景。通过用户研究（N=24），参与者完成了一系列管理任务，如注册新因素、迁移到新手机等。结果显示，SAFM 显著降低了任务完成时间和错误率，且用户满意度高。参与者反馈“如果我能做到这一点，我觉得任何人都可以”，表明系统易用性。主要贡献包括：1）系统化分析认证因素管理的痛点；2）设计并实现 SAFM 原型；3）通过实证研究证明其有效性。该工作对提升 MFA 用户体验和实际部署率有重要意义。

该论文首次对以太坊交易池（txpool/mempool）的设计安全性进行系统研究。Txpool是存储未确认交易的缓冲区，控制着下游服务（如挖矿、交易传播）所能看到的内容。研究发现txpool存在拒绝服务（DoS）攻击面，攻击者可能通过特定策略耗尽节点资源或操纵交易池状态，从而影响交易正常处理。论文分析了Ethereum客户端中txpool的实现逻辑，识别了多种潜在的漏洞模式，并通过实验验证了攻击的可行性。研究的主要贡献在于填补了以太坊txpool安全分析的空白，为后续防御机制设计提供了基础。

该论文对苹果无线生态系统（包括蓝牙低功耗（BLE）、AWDL和Wi-Fi）的安全性进行了系统分析。研究者发现了多个设计缺陷，使得攻击者能够在未配对的情况下对苹果设备进行跟踪、发起拒绝服务（DoS）攻击以及实施中间人（MitM）攻击。具体而言，利用BLE中的隐私漏洞可以持续跟踪设备；通过操纵AWDL协议可导致网络中断；结合跨协议交互（如Wi-Fi和蓝牙）可实现会话劫持。论文提出了相应的缓解措施，并推动了苹果修复多个漏洞。该研究对iOS和macOS设备用户的隐私与安全具有重要影响，强调了无线协议设计中的安全考虑不足。

多模态大语言模型（MLLMs）在接收多图像输入时存在安全隐患。现有越狱方法仅使用单张图像，限制了攻击空间：无法将有害请求分布到多张图像、携带丰富信息或利用额外视觉推理任务分散模型注意力。本文提出一种组合式越狱框架DMN，通过分布式指令（Distributed instruction）、多模态证据（Multimodal evidence）和数字链任务（Number chain task）全面增强越狱效果。分布式指令将有害内容拆解到多张图像中，绕过单图安全审查；多模态证据利用图像与文本的关联构建推理链条；数字链任务强制模型进行数值排序，分散其对危险内容的警觉。实验表明，DMN在GPT-4o、Gemini-2.5-pro和Claude Sonnet 4上攻击成功率超过90%，显著优于现有基准。该框架揭示出当前多模态安全对齐机制在组合式、多图像输入场景下的根本性弱点。研究为多模态AI安全评估提供了新视角，提示开发者在多图像条件下需强化安全对齐策略。

本文提出了一种基于注意力引导的1D与2D CNN融合框架，用于鲁棒的ECG生物特征识别。现有方法大多单独处理一维时间信号或二维时频表示，泛化能力有限。作者构建了一个端到端的混合架构：1D分支（采用InceptionTime）从原始ECG信号中提取时域和形态特征，2D分支（采用ResNet-34）从时频表示中捕获判别性频谱信息，并通过注意力机制动态加权两个模态，克服了静态融合的局限。在ECG-ID、MIT-BIH和PTB三个基准数据集上，识别准确率分别达到99.56%、100.00%和99.89%。在跨越十年的多会话Heartprint数据集上，同会话准确率为94.93%–99.09%，跨会话准确率约53%–56%，证明能捕获稳定的长期生物特征。消融实验表明注意力融合优于传统融合方法。该框架为ECG生物特征识别提供了鲁棒、可扩展的高性能解决方案。

本文针对当前广泛使用的虚拟专用网（VPN）技术，在洪水型拒绝服务（DoS）攻击下的韧性进行了系统性评估。现有文献多聚焦于VPN实现（如OpenVPN、WireGuard、IPsec等）在正常环境下的性能对比，缺乏对抗性场景的考量。作者提出了一种对抗性测试框架，通过向不同VPN实现发送高流量洪水（如SYN洪水、UDP洪水等），测量其连接保持率、吞吐量下降程度及恢复时间等指标。实验在受控网络环境中进行，测试了多种主流VPN软件在不同配置下的表现。结果表明，部分实现存在显著脆弱性：某些VPN在低速率洪水下即出现连接中断，且恢复缓慢；而另一些则表现出较强的韧性，能在持续攻击下维持服务。研究还发现，VPN的认证握手阶段及密钥协商过程是常见瓶颈，攻击者可利用少量精心构造的报文引发拒绝服务。该工作首次为VPN系统在对抗性环境下的鲁棒性提供了量化基准，揭示了部署VPN时应考虑的安全冗余机制，如流量整形、连接速率限制或多路径冗余。本文的贡献在于：提出了一种可复现的VPN DoS测试方法；揭示了不同实现之间的韧性差异；为VPN开发者和运维人员提供了加强抗攻击能力的指导建议。

现代深度神经网络模型在训练过程中需要大量数据、复杂设计和计算资源，因此模型本身蕴含了模型开发者的知识产权。然而，当模型被部署后，获取模型访问权限的实体（模型控制器）可能未经授权使用模型，侵犯模型所有者的权益。本文提出了一种名为 CORELOCKER 的细粒度模型使用控制方法，通过从神经网络中战略性地提取一小部分重要权重子集作为“访问密钥”，来解锁模型的全部能力。模型所有者可以根据需要定制密钥包含的效用级别：授权用户持有密钥即可获得模型的完整功能，而未授权用户仅能访问模型的部分能力，从而实现对模型使用的差异化控制。方法基于形式化基础，提供了保护前后网络效用差异的理论上下界。作者在 Fashion-MNIST、CIFAR-10、CIFAR-100 等数据集以及 VGGNet、ResNet、DenseNet 等真实模型上进行了实验，验证了 CORELOCKER 的有效性，并证明其对基于微调和剪枝的高级模型恢复攻击具有鲁棒性。该研究为神经网络模型的知识产权保护提供了一种新的、可量化的解决方案。

本文提出了一种新颖且通用的数字水印移除攻击方法。核心观察是：攻击水印的过程本质上与水印嵌入过程相似——两者都在寻找对图像不可察觉的修改以触发特定检测器。基于此类比，作者假设可以用水印去攻击水印，即对已加水印的图像再次施加另一个水印（称为重水印），从而抑制原始水印信号。通过在96种不同数据集、受害者水印和攻击水印组合上的严格实验，作者验证了这一假设，表明重水印能可靠地抑制原始信号，且无需梯度、代理模型或检测密钥。此外，作者还设计了一个简单分类器用于检测图像中是否存在水印及其身份，实验显示准确率高达0.878-0.953。该分类器独立具有安全意义：它揭示了水印识别可被利用来实施更强力的移除（比黑盒攻击显著更强）。结合水印识别与重水印，攻击流水线能将比特准确率降低至少25%，最高达48%。这项工作构成了一种廉价、通用且高效的攻击管道，质疑了当前水印方案在面对如此简单攻击时的可靠性，也挑战了现有复杂攻击的价值。该研究适用于对数字水印安全感兴趣的研究者和安全从业者。

该论文提出了一种新型后门攻击方法 MetaBackdoor，利用 Transformer 架构中位置编码 (Positional Encoding) 的内在特性作为触发器，而不需要修改输入文本内容。现有的后门攻击大多依赖内容触发器（如特定词语、句子），容易被基于文本异常的防御机制检测。作者的核心洞察是：Transformer 模型在处理有序序列时必须编码 token 位置信息，因此输入长度相关的结构会反映在模型内部计算中，可以被用作非内容触发器。论文展示了即使简单的基于长度的位置触发器也能激活隐匿的后门行为。与之前攻击不同，MetaBackdoor 作用于可见且语义正常的输入，使后门 LLM 在满足长度条件时泄露敏感内部信息（如专有系统提示），甚至出现自激活场景——正常的多轮交互可将对话上下文推至触发区，诱导恶意工具调用行为，而无需攻击者提供触发文本。此外，MetaBackdoor 与基于内容的后门正交，可组合使用以创建更精确、更难检测的触发条件。实验证明该方法在多种 LLM 架构上有效。该工作扩展了 LLM 后门的威胁模型，揭示了位置编码这一被忽视的攻击面，对现有侧重文本异常检测的防御策略提出了挑战。

Python 的原生序列化协议 pickle 虽然功能强大，但由于存在已知的安全风险，在处理不可信数据时非常不安全。它常被用于保存机器学习模型等场景，但攻击者可能通过构造恶意的 pickle 数据来执行任意代码。开发者有时会通过限制反序列化时的导入或使用静态/动态分析工具来缓解风险，但这些方法容易出错，且高度依赖对 Pickle 虚拟机（PVM）操作码的准确解释。Python 的三个原生 PVM 模块（pickle、cPickle、_pickle）之间存在实现差异，这些差异会导致错误检测恶意负载，从而削弱现有防御。为了高效且可扩展地识别这些差异，本文提出了 PickleFuzzer，一种基于生成的定制化模糊测试工具。PickleFuzzer 通过语法生成 pickle 对象，将其传递给每个实现，并检测抛出的异常或关键内部状态的变化。它通过比较每个测试实现的执行行为来确定差异，而不需要依赖于规范派生的 oracle。PickleFuzzer 发现了 14 个新的差异，其中 4 个是关键的，可用于绕过 Hugging Face 等流行模型托管平台上部署的安全扫描工具。作者向 Python 软件基金会披露了所有发现，并将安全问题报告给漏洞赏金平台，获得了 750 美元奖励。该工作证明了差分测试是识别重要 pickle 实现中安全相关差异的有效方法，并为通过更定向的模糊测试发现更深层的 pickle 漏洞提供了有前景的未来方向。

本研究针对漏洞修复提交（VFC）的自动化检测问题进行了系统性的实证评估。背景是：安全补丁部署的及时性至关重要，但官方漏洞建议库（advisory databases）平均比补丁发布延迟25天，且许多修复从未被收录为建议。当前该领域存在超过20个分散的数据集和评估方法，缺乏统一基准。本文构建了一个统一框架，整合了超过18万个提交，对基于代码语言模型的VFC检测进行了大规模实验（180余次），模型参数规模从1.25亿到140亿不等。关键发现包括：（1）仅凭代码变更，模型未能习得可迁移的安全相关代码理解能力；（2）当提交消息（commit messages）可用时，模型注意力几乎完全集中于此，而非代码变更本身；（3）移除提交消息后，即使通过过程内语义上下文丰富diff，注意力分析仍显示模型关注点未转向代码变更；（4）按项目分组的分层评估显示性能比随机分割下降约17%；（5）在聚合数据集上进行时间分割因底层项目分布的组合偏移而不可靠；（6）在0.5%的假阳性率下，所有微调后的纯代码模型漏检超过93%的漏洞。更大规模、更多样化的训练数据或生成式方法虽有初步改进，但未能解决根本局限。作者公开了统一框架和评估套件以支持未来研究。

该论文提出OPTIKS，一种优化的密钥透明度系统，旨在解决现有系统（如CONIKS）中存在的信任模型弱点和效率问题。OPTIKS引入了一种新的数据结构——密钥历史树（Key History Tree），结合聚合节点（Aggregator Nodes）来减少客户端存储和通信开销，同时保持可审计性。系统设计了正式的安全模型，并证明了其安全性。此外，OPTIKS通过差分隐私（Differential Privacy）机制来阻止确认/非确认攻击（confirmation/non-confirmation attacks），保护用户隐私。实验结果表明，OPTIKS在客户端负载、审计效率方面显著优于现有方案，适合大规模部署。该研究为端到端加密通信中的密钥验证提供了更高效、更安全的解决方案。

该论文作为海报展示，研究了拜占庭差异攻击在日历、集合交集以及国家等场景中的应用。拜占庭攻击是分布式系统容错和安全中的重要问题，通常指恶意节点以任意方式偏离协议。本文聚焦于“差异攻击”，即攻击者通过制造输入或状态差异来破坏系统的一致性。在日历系统中，攻击可能导致不同用户看到不同的日程安排；在集合交集计算中，攻击可能影响多方共享结果的一致性；在国家场景中，可能涉及分布式共识或数据共享。论文可能提出了新的攻击模型或漏洞分析，尚未提供实验验证。

联邦学习（FL）极易受到后门攻击的影响，恶意客户端会向全局模型中注入特定行为。现有的防御方法在真实世界的非独立同分布（non-IID）数据下存在较高的误报率，会错误地将良性客户端标记为恶意，即使正确识别了对手也会导致模型精度下降。本文提出了一种新颖的后门防御方法FedSurrogate，它通过结合双向梯度对齐过滤与层自适应异常检测来解决这一局限性。FedSurrogate通过方向散度分析识别安全关键层，并在这些层上进行选择性聚类，将检测信号集中到低维子空间中。双向软过滤阶段对受信任的客户端进行筛选以去除残留污染，同时从可疑客户端中救回误报，显著减少了异构条件下的误分类。FedSurcore不直接移除确认的恶意更新，而是用来自结构相似的良性客户端的降尺度替代更新来替换它们，从而在保持梯度多样性的同时中和对抗性影响。大量实验表明，FedSurrogate在所有数据集和攻击类型下将误报率保持在10%以下（最接近的可比较基线为31-32%），同时在具有挑战性的non-IID设置下实现了更高的主任务准确率，并将攻击成功率保持在2.1%以下。

该论文针对移动通信生态系统中基础设施测量工具匮乏、地理覆盖不均以及商业复杂性等问题，提出了一套开放的、可扩展的、地理多样化的测量方法。研究指出，蜂窝网络作为全球通信骨干网，其架构创新（如VoIP、eSIM）和商业动态（如漫游、虚拟运营商、零费率）导致网络复杂度急剧上升，但缺乏独立的测量手段。此外，移动接入方式已不仅限于传统无线电接口，语音WiFi（VoWiFi）通过第三方互联网基础设施提供替代连接，而OTT消息服务（如WhatsApp、Signal）已承担大量全球消息和语音流量，完全绕过运营商控制。为应对这些挑战，作者设计、实现并开源了多个测量平台，支持对蜂窝无线电网络、运营商提供的服务以及OTT消息应用进行受控实验，不依赖网络或平台运营商的合作。实验涵盖全球多个地区，评估了关键基础设施的安全性、性能及隐私风险，并揭示了集中化趋势带来的新威胁。论文主要贡献包括：构建独立的测量框架、提供公开可用的数据集、以及提出改进当前通信生态系统安全性的建议。适合网络研究人员、安全分析师、政策制定者以及移动运营商工程师阅读。

本论文对领域自适应语言模型在结构化威胁建模任务中的有效性进行了系统性的实证评估。研究聚焦于5G安全场景，采用STRIDE威胁分类方法，共使用52种不同配置（涵盖8种语言模型）进行实验。核心变量包括：1）领域自适应（电信与网络安全领域）与否、2）模型规模（大语言模型LLM与小语言模型SLM）、3）解码策略（贪婪解码与随机采样）、4）提示工程技术。结果表明：领域自适应模型并不一致优于通用模型，解码策略对模型输出和行为影响显著；虽然大模型通常表现更好，但提升并不稳定，且远未达到可靠威胁建模的要求。研究还报告了无效输出的类型与频率，并提出了针对STRIDE威胁建模的提示工程建议。论文揭示了当前LLM在结构化威胁建模任务中的根本局限，强调仅靠增加训练数据或模型缩放无法解决，需要更强的任务特定推理与安全概念基础。

本文研究了一种针对图像生成与编辑工作流的新型安全漏洞。用户在使用生成式AI进行图像设计和创作时，通常采用多轮交互方式：先通过文本生成图像（文本到图像），再通过文本引导进行图像编辑（图像到图像）。研究者发现，在输入图像中嵌入几乎不可见的提示（hint），例如品牌信息（logo），可以被下游生成模型识别，并在后续编辑过程中重新渲染到语义相关的物体上，即使用户提示中并未明确提及该内容。这种隐藏有效载荷注入具有隐蔽性。论文提出了两种现实攻击场景：一是钓鱼场景，攻击者控制在线图像生成服务，在返回给用户之前向生成图像中注入隐藏内容；二是投毒场景，攻击者分发受损的文本到图像扩散模型，其输出包含隐藏内容。实验使用六种注入载荷（包括知名logo和定制设计），两种攻击的平均成功率分别为44.4%和32.2%，同时注入的logo在视觉上难以察觉。此外，研究者还开发了一种缓解方案，针对钓鱼和投毒攻击的平均防御成功率分别达到87.4%和92.3%。该工作揭示了多步生成流程中的安全隐患，并提出了有效防御。适合图像生成服务提供商、安全研究人员以及关注生成式AI安全的人员阅读。

该论文研究了大型语言模型（LLM）在代码生成场景下，可用性需求如何被用作攻击面，从而破坏安全编码实践。作者提出了一种名为UPAttack的新型威胁，并设计了自动化框架U-SPLOIT。其核心思想是：现实中的可用性需求（如添加新特性、满足性能约束或追求简洁性）往往是明确且高信号的，而安全需求则通常是隐式或低规格的。这种不对称性导致LLM在代码生成时倾向于优先满足显式的可用性目标，而忽略隐式的安全约束，形成一种奖励黑客（reward hacking）行为。U-SPLOIT框架的工作流程包括：（1）选择模型初始状态下能够安全编码的场景；（2）通过三种向量（功能性、实现方式、权衡）合成可用性压力，即识别不安全替代方案中能够满足可用性需求的奖励；（3）利用现有测试用例和动态生成的PoC验证安全回归。作者在75个种子场景（覆盖25个CWE，每个3个案例）上，针对Python、C和JavaScript三种语言，对多个最新LLM（如GPT-5.2-chat、Gemini-3-Flash-Preview）进行测试，攻击成功率高达98.1%。结果表明，即使模型在原始提示下能够生成安全代码，添加可用性导向的需求后，模型仍会生成包含安全漏洞的代码。该工作揭示了LLM在软件自动开发中一个被忽视的风险，为安全社区提供了新的攻击视角和防御切入点。

本文定义了一种名为“Oracle Poisoning”的新攻击类别，攻击者通过破坏AI代理在运行时通过工具使用协议查询的结构化知识图谱，导致代理在正确推理的前提下得出错误结论。与提示注入不同，Oracle Poisoning操纵的是代理推理所依据的数据，而非指令。作者针对一个包含4200万节点的生产级代码知识图谱演示了六种攻击场景，首次在真实规模的代理系统中提供了知识图谱投毒的经验性证据，区别于传统的CTI嵌入投毒。主要评估使用来自三家提供商的九个模型的真实SDK工具调用（每个模型N=30），模型自主调用图查询工具并从结果中推理。结果明确：在中等攻击者复杂度（L2）下，每个测试模型以100%的概率信任中毒数据，在270次定向查询试验中有269次接受了伪造的安全声明。在开放式提示下，信任率下降至3-55%，证实提示框架是一个混杂变量；论文报告了两种条件。攻击者复杂度梯度揭示了离散的转折点，即信任从0%跃升至100%所需的最低技能水平，将攻击重新定义为“不是是否发生，而是程度如何”的问题。受控的交付模式比较表明，内联评估会产生假阴性：GPT-5.1在内联下显示0%信任，但在模拟和真实代理工具使用下均为100%，证明交付模式是一阶混杂变量。作者评估了五种防御措施；只读访问控制消除了直接修改向量，其余四种是部分且模型依赖的。对另外四个平台的分析表明，该攻击可能在知识图谱生态系统中普遍存在。

本文提出 Kronos，一种用于分片区块链的安全且通用的共识协议，旨在解决跨片交易带来的安全与效率挑战。现有分片共识在安全性和低开销之间缺乏通用方案。Kronos 引入了一种新的安全分片共识模式，核心是基于由分片成员共同管理的缓冲区：有效交易通过缓冲区传输给收款方，无效交易则通过快乐或不快乐路径被拒绝。理论证明，在恶意客户端下，Kronos 能实现原子性安全，且片内开销达到最优的 O(kB)（k 为涉及分片数，B 为拜占庭容错成本）。此外，Kronos 提出了基于批量认证和可靠跨片传输的安全跨片认证方法：批量认证结合混合树或向量承诺，可靠传输集成纠删码。处理 b 笔交易时，跨片开销仅为 O(n b λ)（n 为分片大小，λ 为安全参数）。Kronos 不限制底层 BFT 协议类型，也不依赖时间假设，各模块提供可选构造。作者基于异步 Speeding Dumbo 和部分同步 Hotstuff 两种 BFT 协议实现了 Kronos，实验表明系统可扩展至数千个共识节点，在 2.0 秒延迟下达到 320 ktx/sec 的吞吐量，相比已有方案吞吐量提升最高 12 倍，延迟降低 50%。该工作适合区块链研究者、系统安全工程师及对分片共识感兴趣的从业人员阅读，提供了兼顾安全与性能的通用设计思路。

该论文提出一种名为 GadgetMeter 的框架，用于定量且准确地评估推测执行元素（speculative gadgets）的可利用性。推测执行漏洞（如 Spectre）利用现代处理器中的推测执行机制，通过微架构侧信道泄露敏感信息。现有工作通常关注于发现新的 gadgets 或缓解措施，但缺乏对 gadgets 可利用性的统一量化标准。GadgetMeter 通过分析微架构行为、时序差异和缓存状态，建立了一套自动化的评估指标。该框架首先从二进制代码中识别出潜在的推测执行 gadgets，然后模拟推测执行路径，并测量不同条件下的执行时间差异和缓存访问模式，从而计算每个 gadget 的利用难度评分。实验在多个真实处理器（如 Intel、AMD）上验证，表明 GadgetMeter 能够有效区分高可利用性与低可利用性的 gadgets，并与已知攻击的成功率有良好相关性。该工作为安全研究人员提供了一种系统化的方法论，用于评估推测执行漏洞的威胁程度，并辅助设计更精准的缓解策略。

本论文针对蓝牙安全协议中的 Secure Simple Pairing（SSP）机制存在的主动攻击漏洞，提出了一种增强方案：通过引入可延迟认证（Deferrable Authentication）来提升蓝牙安全连接（Bluetooth Secure Connections）的安全性。论文首先分析了现有蓝牙配对协议在面对中间人攻击（MITM）等主动攻击时的脆弱性，指出其核心问题在于认证过程过于同步，攻击者可以利用时间差实施攻击。然后，作者提出了一种改进协议，允许设备在配对过程中将认证步骤延迟到后续的数据交换阶段，从而增加了攻击者的难度。具体而言，该方案通过修改密钥派生过程和认证确认的时序，使得即使攻击者能够干扰初始配对，也无法在后续通信中绕过认证。安全性分析表明，该方案能够有效抵御已知的主动攻击类型，且对性能的额外开销较小。实验模拟结果验证了该方案的可行性和有效性。论文的主要贡献在于提出了一种新颖的延迟认证思想，为蓝牙安全协议的改进提供了新思路，适合蓝牙协议设计者、安全研究人员以及物联网设备厂商阅读参考。

该论文系统性地研究了安全领域研究人工制品（research artifacts）的安全性。研究人工制品通常用于支持实验可复现性，并被广泛共享，但现有的artifact evaluation（AE）主要关注功能正确性和可复现性，忽略了潜在的安全风险。作者从顶尖安全会议（如S&P、CCS、USENIX Security等）收集了509个研究人工制品，通过静态分析发现大量制品包含不安全的代码模式，可能引入攻击向量。为了进行结构化分析，他们提出了一种上下文感知的安全评估分类法，能够结合代码语义、执行上下文和实际利用可能性来过滤误报并识别真实风险。分析表明，在发现的常见问题中，41.60%在实用场景下可能构成安全威胁。为进一步支持规模化分析，作者提出了SAFE（Security-Aware Framework for Artifact Evaluation）框架，该框架是一个自治系统，能够自动判断工具报告的安全问题是否真正具有风险。SAFE在区分安全风险与非安全风险时达到84.80%的准确率和84.63%的F1分数。论文强调在AE中引入安全性评估有助于促进负责任和安全的共享。该研究适合安全研究人员、会议组织者、artifact evaluators以及任何共享或使用研究人工制品的学者。

该论文提出了 VeriLoRA，首个将低秩适配（LoRA）微调与零知识证明（ZKP）相结合的框架，旨在解决大语言模型（LLM）在不可信环境下微调的安全性和可验证性问题。LoRA 通过低秩矩阵分解大幅降低微调所需的计算和存储资源，但标准 LoRA 过程无法保证参数更新的正确性和数据隐私。VeriLoRA 利用先进的密码学原语——包括查找参数（lookup arguments）、和校验协议（sumcheck protocols）以及多项式承诺（polynomial commitments）——为基于 Transformer 架构的 LLM 微调中的前向传播、反向传播和参数更新提供端到端的可验证性。该框架能确保微调过程的正确性，同时保护模型参数和训练数据的隐私。实验基于开源 LLaMA 模型（最大 13B 参数），使用 GPU 实现验证了其实际可行性。VeriLoRA 填补了参数高效微调与可验证安全之间的空白，为在敏感或不可信环境中安全部署 LLM 提供了关键技术支持。适合对 LLM 安全、隐私保护、密码学应用感兴趣的研究人员阅读。

该论文提出了一种名为Odysseus的新型越狱攻击范式，针对商业多模态大语言模型（MLLM）集成系统。当前的安全过滤器通常假设恶意内容必须在输入或输出中显式可见才能被检测，但多模态系统允许攻击者利用图像等多重模态隐藏恶意意图。Odysseus采用双重隐写术：首先将恶意查询（如生成有害内容的指令）通过隐写技术编码到看似正常的图像中，作为输入提交给MLLM；然后MLLM生成的响应同样通过隐写术隐藏在另一张图像中输出。整个攻击过程中，输入和输出的文本表面均无恶意内容，从而绕过基于显式文本检测的安全过滤器。实验在多个商业MLLM集成系统（如GPT-4V等）上进行，攻击成功率高达99%。该研究揭示了现有防御机制的根本盲点，即过度依赖单模态的显式内容审查，而忽视了跨模态隐写承载恶意信息的能力。论文呼吁重新设计多模态系统的安全架构，考虑跨模态一致性和隐写检测。

本文针对低秩适配（LoRA）模型在开源社区（如Hugging Face）中广泛使用所带来的安全挑战展开研究。LoRA作为一种高效的大语言模型微调方法，其适配器文件可被轻易分享和传播，但这也为恶意攻击者提供了植入后门的机会。现有后门攻击方法在LoRA场景下面临三个主要问题：依赖原始训练数据（通常不可获取）、未考虑LoRA特有的结构属性、以及高虚假触发率（False Trigger Rate, FTR）导致隐蔽性差。为此，作者提出了一种因果引导去毒后门攻击框架（CBA），该框架无需访问原始训练数据即可实施攻击。CBA的核心创新包括两点：一是基于覆盖引导的数据生成流水线，通过行为探索合成与任务对齐的输入；二是因果引导的去毒策略，通过保留任务关键神经元来合并中毒适配器和干净适配器。与以往方法不同，CBA允许攻击者在后训练阶段通过因果影响权重分配来控制攻击强度，无需重复训练。在六个LoRA模型上的实验表明，CBA在实现高攻击成功率的同时，将FTR相比基线方法降低了50-70%。此外，该方法对现有先进的后门防御方法表现出增强的抵抗力，凸显了其隐蔽性和鲁棒性。本文的研究揭示了开源LoRA模型生态中存在的严重安全隐患，提醒社区关注此类新型后门攻击的威胁。

该论文对 JSON Web Token（JWT）实现的安全性进行了系统评估。JWT 被广泛应用于分布式系统中的身份认证和授权，但已知存在多种安全漏洞。作者首先收集了来自 GitHub、Maven、npm 和 Go 生态系统的 43 个 JWT 实现库，包括 22 个 Java 库、11 个 Node.js 库和 10 个 Go 库。接着，他们设计并实现了自动化模糊测试工具 JWT-Fuzzer，该工具能够生成包含 12 种已知 JWT 攻击类型的测试用例，例如签名旁路（将算法改为 'none'）、密钥混淆（如从 RSA 切换到 HS256 并滥用公钥作为 HMAC 密钥）、弱密钥破解（使用已知弱密钥或暴力破解短密钥）、令牌伪造（利用算法混淆或密钥泄露）等。JWT-Fuzzer 对每个库执行黑盒测试，分析其是否容易受到这些攻击。实验结果显示，43 个库中的 35 个（约 81%）存在至少一种安全漏洞。最普遍的漏洞是密钥混淆（28 个库受影响）和弱密钥（12 个库）。此外，作者还发现一些库在签名验证中存在逻辑错误或实现偏差。论文还讨论了漏洞的成因，包括不规范的标准实现、文档不清晰以及开发者对安全性的忽视。最后，作者向相关维护者报告了漏洞，并提出了改进建议。该研究旨在提高 JWT 生态系统的整体安全性。

该论文深入研究了RPKI（资源公钥基础设施）中标记为“无效”的前缀背后的隐藏原因和潜在安全风险。RPKI旨在通过验证BGP路由的起源授权来增强互联网路由安全性，但实际部署中大量前缀被标记为无效，其原因和后果尚未得到充分理解。作者通过大规模测量和案例分析，系统性地分类了RPKI无效前缀的成因，包括：配置错误、ROA（路由起源授权）过期、覆盖范围不完整、以及故意伪造等。论文进一步评估了这些无效前缀被实际路由的可能性，发现大量无效前缀仍被全球BGP路由器接受和传播，揭示了RPKI验证机制与实际路由决策之间的差距。实验表明，攻击者可以利用这些漏洞实施前缀劫持、流量拦截等攻击。最后，作者提出了改进RPKI部署和验证策略的建议，以降低无效前缀带来的安全风险。该研究对网络运营商、安全研究人员和RPKI标准制定者具有重要参考价值。

隐写术是一种将秘密信息隐藏在公开载体中的技术。生成式隐写术利用生成模型（如GAN）生成载体并嵌入秘密，但面临容量、效率和安全性的三难问题：传统方法往往牺牲其中一方。本文提出ANStega（Adversarial Network-based Steganography），通过设计一个对抗性训练框架，同时优化三个目标。该方法采用编码器-解码器架构，编码器将秘密信息映射为生成载体的隐空间扰动，解码器从扰动中恢复秘密；判别器确保载体与自然数据分布不可区分。实验表明，ANStega在保持高安全性的同时，实现了接近理论极限的嵌入容量和实时编码/解码效率。作者在多个数据集上验证了该方法在抵抗隐写分析方面的鲁棒性。论文主要贡献是首次系统性解决了生成式隐写术的三难问题，为实用化隐写系统提供了新范式。

本文旨在揭示以太坊MEV（矿工可提取价值）机器人全生命周期的盈利策略。研究背景是MEV机器人在以太坊生态中广泛存在，但其内部运作机制和盈利手段尚不透明。核心问题是如何系统性地理解MEV机器人的行为模式、盈利策略及其演变。作者提出了一种基于链上数据的方法，通过分析交易池、区块构建和机器人交易序列，构建了MEV机器人生命周期的四阶段模型：启动、策略执行、调整和退出。主要贡献包括：1) 首次全面分类了MEV机器人的盈利策略，包括抢先交易、三明治攻击、套利和清算等；2) 揭示了不同策略在不同时期的收益分布和风险特征；3) 通过大规模实证分析（覆盖数百万笔交易），量化了机器人之间的竞争效应和利润来源。实验结果表明，MEV机器人的盈利高度依赖网络延迟和私有交易池的使用，且部分策略存在可持续性风险。本文适合区块链安全研究人员、以太坊协议开发者及DeFi参与者阅读。

本论文是一篇系统化知识（SoK）研究，旨在从攻防双视角深入评估Linux内核加固机制的有效性。研究首先系统梳理了现有Linux内核安全加固技术，包括内核地址空间布局随机化（KASLR）、堆栈防护、控制流完整性（CFI）、内核控制流完整性（kCFI）、指针认证（PAC）、内存标记扩展（MTE）以及各种内存安全缓解措施。接着，论文从攻击者角度出发，分析了这些加固机制在实际漏洞利用中被绕过的可能性，总结了常见绕过技术及其适用条件。从防御者角度，作者评估了不同加固方案在阻止漏洞利用链各阶段（如信息泄露、控制流劫持、权限提升）的实际效果，并指出当前加固方案的覆盖盲区和性能开销权衡。论文还探讨了近年来提出的新型防御思路，如基于机器学习的异常检测和形式化验证的内核模块。通过对比实验和案例研究，作者揭示了以下关键发现：1）虽然现代内核集成了多层加固，但攻击者仍可通过组合特定绕过技术（如利用侧信道泄露KASLR基址）实现成功利用；2）不同加固方案之间存在依赖关系，单一机制的失效可能导致整个防御链崩溃；3）当前加固方案在兼容性与安全性之间尚未达到理想平衡。最后，论文提出了未来研究方向，包括开发自适应防护策略和硬件辅助安全机制。该研究成果对系统安全研究人员、内核开发者和安全运维人员理解内核防御现状与提升加固有效性具有重要参考价值。

这篇论文从开发者视角系统研究了扩展现实（XR）领域的隐私与安全威胁。随着XR技术在娱乐、教育、医疗等领域的广泛应用，其沉浸式特性带来了传统安全范式难以应对的新型风险——例如丰富的传感器数据采集、用户生成内容界面等。作为XR应用的主要构建者，开发者在应对这些新兴威胁中扮演关键角色。然而，现有研究缺乏从开发者认知角度出发的深入、威胁感知式分析。为此，作者对23位专业XR开发者进行了半结构化访谈，聚焦两类研究问题：一、开发者如何感知XR中的安全隐私威胁？二、现有缓解措施及支持体系存在哪些不足？研究发现：(1) XR开发决策（如大量传感器数据收集、用户生成内容接口）与安全隐私威胁紧密相关，但开发者普遍对相关风险缺乏认知，导致威胁感知存在认知偏差；(2) 现有缓解方法存在局限，加之战略、技术和沟通支持不足，削弱了开发者应对威胁的动机、能力和意识。基于上述发现，论文提出了可操作且兼顾多方利益相关者的建议，以改进整个XR开发生命周期中的安全隐私保障。这是首次在XR领域开展威胁感知式、以开发者为中心的研究，揭示了沉浸式、数据密集型技术带来的独特挑战。该工作适合XR开发者、安全研究人员、平台设计者以及关注新兴技术安全隐私的从业者阅读。

该论文深入研究了函数内联（function inlining）对基于机器学习的二进制分析安全任务的影响。函数内联是编译器优化中常见的技术，但极端内联可能显著改变二进制代码的统计特征，从而影响依赖这些特征的机器学习模型的性能。作者针对五个关键安全任务进行了系统评估：二进制相似性检测（T1）、函数名预测（T2）、恶意软件检测（T3）、恶意软件家族预测（T4）和漏洞检测（T5）。他们构建了包含不同编译配置和极端内联行为的二进制数据集，并复用了TikNib等特征提取管道。实验结果表明，极端内联会导致ML模型的准确率大幅下降，特别是在依赖函数边界和调用图结构的任务中。论文提供了完整的代码、数据集和脚本，以便复现实验。该研究揭示了当前ML驱动的二进制分析工具在面对编译器优化时的脆弱性，为提升其鲁棒性提供了重要见解。

本研究报告探讨了字符串逻辑 FC（Function-or-Constraint）在解析器组合中的应用。FC 逻辑最初在数据库理论中用于信息抽取，本文提出其应用范围可以更广，特别是作为统一框架来组合多种解析器，并与语言理论安全（LangSec）原则保持一致。首先，论文回顾了 FC 及其扩展的最新研究文献，并阐述了对于效率的不同评判标准。接着，描述了如何将 FC 及其扩展视为正则表达式的替代品，并在语言理论安全的背景下对其进行定位。最后，利用该模型天然的组合性，将 FC 的多种扩展整合为一个组合解析器的框架。论文的核心贡献在于展示了 FC 逻辑能够统一不同解析器的解析逻辑，减少因解析器互操作产生的安全漏洞，从而提升软件安全性。该工作对于从事形式化方法、解析器设计以及语言理论安全的研究人员和工程师具有参考价值。

本论文聚焦于Chainlink预言机中的Off-Chain Reporting (OCR)协议的安全缺陷。OCR协议是Chainlink用于在链外聚合预言机数据并提交至链上的关键组件，其设计目标是通过签名聚合和离线计算提高效率。然而，作者发现仅验证数据的有效性（如签名正确性、数据格式）不足以防范攻击；存在一种新的安全漏洞，允许恶意节点在特定条件下提交不一致或操纵的数据，从而影响链上合约的正确性。论文通过形式化建模和实验分析，揭示了OCR协议在数据聚合逻辑中的隐含假设，即所有节点诚实且数据源一致，但实际中攻击者可利用网络延迟或节点妥协引入冲突数据。作者提出了改进建议，包括增强验证机制和引入额外的数据一致性检查。该研究对区块链预言机安全具有重要警示作用，尤其对依赖Chainlink的DeFi应用构成直接威胁。

该论文重新审视了DNS安全领域中的区域隔离原则（Zone-Based Isolation），特别是针对Bailiwick检查的信任假设。传统上，DNS解析器依赖Bailiwick检查来防止跨区域数据污染，即确保只有与查询域名处于同一区域的授权服务器才能提供应答。然而，随着DNS架构的复杂化（如CNAME链、DNSSEC、CDN分发），该原则的有效性受到挑战。论文通过分析现有实现中的弱点，提出必须重新思考“我应该信任你吗？”这一核心问题，可能提出了新的信任评估模型或改进方案。实验部分或许展示了在真实网络场景下传统原则的失效案例。适合DNS安全研究员、协议开发者及安全运维人员阅读。

该论文针对区块链网络中脱链（off-chain）拍卖的可扩展性问题进行研究。传统的链上拍卖受限于区块大小和交易吞吐量，难以支持高频或大规模竞拍。作者提出一种新的脱链拍卖协议，通过将大部分计算和通信移出链外，仅在链上提交结算证明，从而大幅降低链上开销。协议的核心是利用安全多方计算（MPC）和承诺方案来保证竞拍过程的公平性、隐私性和不可抵赖性，同时防止恶意参与者欺诈。实验结果表明，所提方法在竞拍者数量增加时仍能保持线性或次线性的通信复杂度，且链上事务数量恒定，显著优于现有的链上拍卖方案。该工作适用于去中心化金融（DeFi）中的代币销售、NFT拍卖等场景，为构建可扩展的链上拍卖基础设施提供了理论和技术支撑。

本文对认证字典（Authenticated Dictionaries, AD）——一类支持密钥透明、二进制透明、可验证键值存储及完整性保护文件系统等应用的密码学数据结构——进行了系统化综述。首先，作者提出了一个统一框架，捕获了五种常见部署场景背后的信任和威胁假设。其次，他们梳理并调和了文献中分散的各种安全定义，阐明了每种定义提供的保证及其适用场景。第三，他们开发了AD构造的分类法并分析了渐近成本，揭示了一个尖锐的二分法：每个已知方案要么在查找和更新上均需O(log n)时间，要么通过为另一操作付出O(n)代价在某一操作上实现O(1)时间。令人惊讶的是，即使引入更强的信任假设，这一障碍依然存在，推翻了“更多信任带来更高效率”的直觉。最后，他们提出了应用驱动的研究问题，包括现实的审计模型以及为当前未提供任何可验证完整性的系统引入认证字典的激励措施。该论文适合对密码学数据结构、系统安全以及可验证计算感兴趣的研究者和从业者阅读。

本文研究了蜂窝网络中公共预警系统（PWS）的安全问题，该系统用于在地震、恶劣天气等威胁事件中向特定地理区域内的所有移动电话广播紧急警报。攻击者可能伪造这些警报，传播虚假新闻或钓鱼链接，导致公众恐慌或用户受害。作者首次提出并实现了开源的5G紧急警报欺骗攻击：通过修改OpenAirInterface（OAI）无线接入网（RAN）代码，利用软件定义无线电（SDR）执行伪造警报的广播，并辅以自定义网络管理系统自动配置网络和警告参数。实验分析了不同智能手机在多种条件下的行为，结果表明设备容易显示欺骗警报，且警报机制支持多种实际攻击场景，而不仅仅是简单显示警告。为应对这一威胁，作者在OAI中提出并实现了一种轻量级跨小区验证机制：设备将接收到的警报与相邻小区的广播进行比较，将单一来源的警报标记为可疑。该工作揭示了5G紧急警报系统的安全脆弱性，并提供了实用的检测方法。