本文提出一种名为 PhishPrint 的新方法，旨在通过预先分析钓鱼检测爬虫的行为特征，生成针对性的规避策略，从而绕过基于爬虫的钓鱼检测系统。研究背景是当前钓鱼网站广泛采用各种技术逃避检测，尤其是针对自动爬虫的识别与屏蔽。核心问题在于如何有效地绕过主流钓鱼检测爬虫的探测机制。PhishPrint 方法首先对目标爬虫进行 profiling，收集其请求模式、IP 范围、User-Agent、行为时间等特征，然后利用这些信息生成与正常访问无异的请求，同时调整页面内容或响应策略，使得爬虫无法准确识别钓鱼页面。论文通过实验评估了 PhishPrint 在多个真实钓鱼检测爬虫上的表现，证明其能够显著降低检测率，并分析了不同 profiling 策略的有效性。主要贡献包括：提出了基于 prior profiling 的规避框架，量化了多种规避技术的效果，以及揭示了当前钓鱼检测爬虫的脆弱性。该研究适合安全防御者和钓鱼检测系统开发者阅读，以改进爬虫的鲁棒性。

本文是首项针对GitHub CI工作流中由大语言模型（LLM）引入的安全风险的系统性研究。随着越来越多的CI工作流集成LLM来自动化代码审查、分类、内容生成和仓库维护，外部可控的工作流输入可以塑造LLM的提示词和输出，进而影响安全决策、仓库状态或特权执行，形成新的攻击面。作者沿着完整的执行链对问题进行了刻画，建立了高层次风险类别和具体威胁向量的分类法。为在实践检测此类风险，设计了Heimdallr混合分析框架，该框架将工作流标准化为LLM-Workflow属性图（L-WPG），并结合可触发分析、LLM辅助数据流摘要和确定性传播来合成具体的威胁向量发现。在300个手动标注的独特工作流上评估，Heimdallr在LLM节点识别（F1≈0.994）、可触发分类（99.8%）和威胁向量检测（微平均F1≈0.917）上取得高精度。作为持续检测和披露工作的一部分，作者已负责任地披露了759个仓库中的802个易受攻击的工作流实例，并获得71份致谢。

该论文是一篇系统化知识综述（SoK），旨在为使用社交媒体数据进行安全研究的隐私问题提供一个分析框架。研究背景在于，社交媒体数据常包含个人敏感信息，尽管已有关于此类研究伦理的广泛讨论，但针对具体隐私风险及缓解措施的精细分析仍不足。作者从计算机科学、社会科学、人机交互、法学、犯罪学等多个学科中，系统梳理了16年间（2004-2020）使用社交媒体数据研究安全议题的601篇论文。主要发现包括：仅有35%的论文提及数据匿名化、可用性和存储方面的考虑，表明透明度严重缺乏。作者应用Solove的隐私风险分类法对社交场景中的隐私风险进行归类，发现Solove的分类法能有效捕捉聚合风险，但现代数据科学中数据的规模、时效性和微观细节带来了20年前未考虑的新风险。论文贡献在于揭示了当前学术实践中对隐私保护的不足，并为研究人员、伦理委员会和出版机构提出了改进建议，主张通过一些小的行为改变即可显著提升用户隐私保护水平。该研究适合安全领域研究者、学术伦理审查者以及关注研究数据隐私的从业者阅读。

本研究通过分析内部滥用数据，深入探讨了反滥用生态系统的运作机制。作者来自荷兰代尔夫特理工大学，他们获取了一个大型在线平台的内部滥用举报记录，包括举报者、被举报内容和处理结果。研究发现，反滥用系统面临诸多挑战，例如攻击者利用自动化工具批量生成虚假举报来淹没真实举报，或者通过精心构造的申诉来绕过审查。论文揭示了滥用举报处理流程中的效率瓶颈和公平性问题，并提出了改进建议，例如引入基于信誉的举报者评分机制和自动化决策辅助工具。实验部分对实际数据集进行了统计分析，量化了不同滥用类型的分布和处理延迟。该研究为安全从业者理解平台内部反滥用工作的真实状况提供了宝贵视角。