本文旨在探索用户对Web3生态系统中安全审计的看法。研究采用问卷调查和半结构化访谈的方法，收集了来自Web3用户（包括投资者、开发者、普通用户）的数据，分析了他们对安全审计的认知、信任程度、以及审计报告对决策的影响。研究发现，用户普遍认为安全审计是必要的，但对审计的独立性和覆盖面存在疑虑；同时，审计结果的呈现方式会影响用户的信任。论文提出了改进审计透明度、标准化报告格式、以及加强用户教育的建议。该研究为Web3平台的安全审计实践提供了用户视角的洞察，有助于审计机构优化服务。

该论文针对基于大型语言模型（LLM）的静态分析在智能合约安全开发中的可靠性和局限性进行了系统基准测试。研究背景是区块链交易的不可逆性使得智能合约漏洞检测成为安全开发的必备环节，而LLM虽被越来越多地集成到开发者工作流中，其作为自主安全审计工具的可靠性尚未得到证实。研究者评估了当前生成模型能否替代传统的静态分析工具，或仅作为其补充。实验发现，LLM的效果受到词汇偏差和缺乏外部数据输入严格验证的削弱，这种对非语义启发式（如标识符命名）的依赖导致高误报率。此外，不同的提示技术在精确率和召回率之间呈现权衡。研究结果基于自定自动化框架得出，该框架在分类模型输出时达到了92%的准确率。论文核心贡献在于量化了LLM在智能合约漏洞检测中的局限性，并提出混合解决方案的可能性。适合安全研究人员、智能合约开发者以及LLM应用开发者阅读。

该论文提出并实现了一个名为 MVPNalyzer 的自动化审计框架，旨在系统性地评估移动 VPN（手机端 VPN 应用）的安全性与隐私保护水平。研究背景：移动 VPN 已被广泛用于保护用户网络通信，然而用户很难验证其是否真正做到了加密、不记录日志、无数据泄露等承诺。核心方法：MVPNalyzer 通过静态分析、动态流量捕获与分析、以及协议逆向工程等手段，对数百款来自主流应用商店的移动 VPN 应用进行自动化测试。它能够检测包括但不限于以下方面：（1）使用的加密算法与协议是否安全（如是否使用弱加密、是否支持不安全的协商参数）；（2）是否存在 IP 或 DNS 泄露；（3）应用是否在后台收集超出必要范围的个人信息；（4）日志记录策略是否透明或存在违规。实验覆盖了 iOS 和 Android 平台上的大量 VPN 应用，结果揭示了显著比例的 VPN 应用存在至少一项严重安全问题，例如使用了过时的加密套件、泄露用户真实 IP、未经明确同意收集数据等。主要贡献包括：开源了可复用的审计工具链；提供了对移动 VPN 全行业的首份大规模安全评估；总结了常见安全缺陷模式。该论文适合安全研究人员、移动应用开发者以及关注隐私的普通读者阅读。

本文提出 GoAT-X 框架，旨在解决跨链桥合约安全审计中的语义复杂性问题。跨链桥作为多链生态的关键基础设施，因实现缺陷已造成超过28亿美元损失。现有防御手段如字节码级静态分析难以处理跨链交互的语义复杂度，而基于大语言模型（LLM）的方法虽能理解源代码，但在复杂多合约依赖上容易出现幻觉推理。GoAT-X 将审计过程建模为“审计思维图”（Graph of Auditing Thoughts），模仿人类专家分解、推理和验证安全逻辑的方式。通过将LLM推理锚定在静态提取的数据流上，并将抽象安全属性显式链接到具体代码实现，该框架将语义约束在良定义的结构和状态边界内。在此受限空间中，GoAT-X 将跨链逻辑中的缺失约束和对抗绕过路径作为首要漏洞目标，动态探索推理路径以识别可被利用的语义鸿沟。在涵盖所有已知跨链代币交易攻击的综合基准测试中，GoAT-X 在细粒度审计点上达到92%的召回率，对存在漏洞的项目覆盖率达95%，并在实际场景中识别出117个经确认的风险，且运营成本较低，为可扩展的、逻辑驱动的跨链安全审计建立了新标准。