该论文提出 DOLMA，一种基于“瞬态不可观测性”原则的新型微架构安全方案，旨在彻底消除推测执行侧信道攻击（如 Spectre 与 Meltdown）的根源。作者首先分析了现有防御机制（如 lfence、MD 清空、延迟装载等）的局限——它们要么开销过高，要么覆盖不全。基于对瞬态执行中数据流与微架构状态的深度观察，论文定义了“瞬态不可观测性”标准：任何瞬态指令的执行结果不得被后续架构状态或微架构侧信道所观测，即所有瞬态状态的改变必须在提交前完全不可见。DOLMA 通过引入一种新的执行模式，确保只有架构上最终提交的指令才能影响缓存、TLB、分支预测器等共享资源。具体地，DOLMA 在处理器流水线中插入一个“不可观测区”，该区内所有存储操作的结果被暂时阻塞，而加载操作返回的值被标记为“可能不可信”；同时配合一种新型的“瞬态隔离缓冲区”来临时存放写入，直到指令完成提交。实验基于 gem5 模拟器在 x86-64 架构上实现，运行 SPEC CPU2017 与 PARSEC 基准测试。结果表明，与基线相比，DOLMA 的平均性能开销仅 6.7%，远低于现有软件加固方案（30%–100%），也优于大多数硬件方案。论文还从形式化角度论证了 DOLMA 满足瞬态不可观测性，并证明了其能够防御所有已知瞬态执行变种。主要贡献包括：提出瞬态不可观测性原则、设计 DOLMA 微架构、提供完整的形式化安全证明，以及通过模拟评估展示低开销的实用防御。该工作适用于处理器设计团队与微架构安全研究者，为后 Spectre 时代的硬件安全提供了新思路。

本论文提出了一种名为Tiktag的新型攻击方法，旨在通过推测执行绕过ARM架构中的内存标记扩展（MTE）安全机制。MTE是ARM v8.5引入的硬件安全特性，通过为每个内存分配随机标签并检查访问时的标签匹配来防御缓冲区溢出、释放后使用等内存安全漏洞。然而，作者发现推测执行过程中标签检查的时机存在微架构侧信道漏洞：攻击者可以利用分支预测错误或异常，在标签验证实际发生之前，通过推测执行访问具有错误标签的内存，从而泄漏标签信息或绕过保护。论文详细描述了攻击的微架构原理，包括如何触发推测窗口、如何利用缓存侧信道提取标签，以及如何在真实硬件（如Apple M1和ARM固定功能CPU模拟器）上实施攻击。实验表明，Tiktag能够以高成功率提取64位标签中的部分位，并进一步结合其他漏洞实现完整的内存读写。该研究揭示了硬件安全机制与微架构优化之间的新冲突，对依赖MTE的软件安全方案构成威胁。

该论文提出一种名为 GadgetMeter 的框架，用于定量且准确地评估推测执行元素（speculative gadgets）的可利用性。推测执行漏洞（如 Spectre）利用现代处理器中的推测执行机制，通过微架构侧信道泄露敏感信息。现有工作通常关注于发现新的 gadgets 或缓解措施，但缺乏对 gadgets 可利用性的统一量化标准。GadgetMeter 通过分析微架构行为、时序差异和缓存状态，建立了一套自动化的评估指标。该框架首先从二进制代码中识别出潜在的推测执行 gadgets，然后模拟推测执行路径，并测量不同条件下的执行时间差异和缓存访问模式，从而计算每个 gadget 的利用难度评分。实验在多个真实处理器（如 Intel、AMD）上验证，表明 GadgetMeter 能够有效区分高可利用性与低可利用性的 gadgets，并与已知攻击的成功率有良好相关性。该工作为安全研究人员提供了一种系统化的方法论，用于评估推测执行漏洞的威胁程度，并辅助设计更精准的缓解策略。

该论文提出了一种名为μCFI（微架构控制流完整性）的形式化验证方法，旨在解决现有控制流完整性（CFI）机制在微架构层面的安全漏洞。传统的CFI仅在软件或ISA（指令集架构）层面保证控制流安全，但无法抵御利用微架构侧信道或瞬态执行攻击（如Spectre、Meltdown）的控制流劫持。作者通过形式化建模微架构状态（如分支预测器、缓存、乱序执行单元）与控制流之间的关系，定义了微架构层面的安全策略。μCFI基于模型检验技术，能够验证处理器设计是否满足该策略，从而确保即使在微架构优化（如预测执行）下，控制流也不会被恶意操纵。实验在RISC-V处理器核心上实现，验证了多个已知攻击变种（如Spectre v1、v2）的缓解效果，并发现了新的潜在攻击路径。该工作首次将形式化验证应用于微架构CFI，为安全处理器设计提供了理论保证。