该论文针对SOHO（小型办公室/家庭办公室）设备中因使用过时Linux内核版本引发的安全漏洞问题进行了系统研究。作者首先通过高精度模板CVE检测机制，对306款SOHO设备的900多个GPL源代码固件进行分析，实际验证了内核相关漏洞的存在。然后，首次大规模溯源了这些易受攻击设备的供应链，发现内核锁定（kernel lock-in）是根本原因：SOHO制造商因依赖SoC（片上系统）厂商提供的SDK而被锁定在特定（通常较旧）的内核版本上。这种锁定期造成了漏洞债务，该债务沿着供应链从SoC供应商传递到固件创建者（ODM/OEM），再到路由器/IP摄像头厂商，最终由终端用户承受。数据显示，所有五家SoC供应商使用的SDK中的Linux内核在其被用于SOHO设备前的至少一年前已停止维护（EOL）。最后，论文评估了个人、监管和社区治理三种缓解措施的潜力，发现仅靠法规遵从不足，只有与社区合作进行内核升级的SoC供应商才提供了可行的缓解路径。研究提供了数据与代码。