该论文聚焦于3D打印中G代码（一种用于控制3D打印机的标准指令集）的安全隐患。随着3D打印技术在制造业、医疗和航空航天等领域的普及，G代码的安全性变得至关重要。恶意攻击者可能通过篡改G代码文件或注入恶意指令，导致打印出的物体结构强度不足、尺寸偏差，甚至引发打印机硬件损坏。论文提出了一种系统性的安全分析框架，通过静态分析和动态模拟相结合的方法，检测G代码中的异常模式，例如非预期的温度变化、速度突变或材料挤出异常。作者实现了一个原型工具，并在多种3D打印机和真实G代码数据集上进行评估。实验结果表明，该工具能够有效识别已知的攻击模式（如层高篡改、支撑结构移除），同时误报率较低。此外，论文还讨论了当前3D打印流程中的安全缺口，如缺乏数字签名验证、切片软件易受攻击等，并给出了防御建议，包括引入G代码完整性校验和运行时监控。该研究为3D打印供应链安全提供了重要参考，适合工业安全研究员、制造商以及安全架构师阅读。

该论文探讨了持续集成（CI）系统的信任问题，核心关注点是：即便源代码本身没有恶意代码，基于容器的CI系统仍可能被植入隐形恶意软件，且不在源码中留下任何痕迹。作者借鉴了Ken Thompson经典的编译器后门思想，证明了攻击者可以通过多种初始感染手段（例如利用CI系统的镜像拉取机制、缓存污染、或插件漏洞）入侵CI环境，随后通过绕过CI系统更新的持久化机制长期潜伏。攻击载荷包括数据窃取、在生产软件中植入后门等。此外，攻击者还能利用隐蔽信道对受感染的CI系统进行远程控制，动态更新攻击载荷或规避防御措施。作者在GitLab CI上实现了概念验证，并指出该攻击可迁移至主流CI平台。研究指出传统代码审查、静态分析等防护手段对此类攻击几近无效，揭示了现代软件供应链中一个被忽视的信任盲区。

该论文针对SOHO（小型办公室/家庭办公室）设备中因使用过时Linux内核版本引发的安全漏洞问题进行了系统研究。作者首先通过高精度模板CVE检测机制，对306款SOHO设备的900多个GPL源代码固件进行分析，实际验证了内核相关漏洞的存在。然后，首次大规模溯源了这些易受攻击设备的供应链，发现内核锁定（kernel lock-in）是根本原因：SOHO制造商因依赖SoC（片上系统）厂商提供的SDK而被锁定在特定（通常较旧）的内核版本上。这种锁定期造成了漏洞债务，该债务沿着供应链从SoC供应商传递到固件创建者（ODM/OEM），再到路由器/IP摄像头厂商，最终由终端用户承受。数据显示，所有五家SoC供应商使用的SDK中的Linux内核在其被用于SOHO设备前的至少一年前已停止维护（EOL）。最后，论文评估了个人、监管和社区治理三种缓解措施的潜力，发现仅靠法规遵从不足，只有与社区合作进行内核升级的SoC供应商才提供了可行的缓解路径。研究提供了数据与代码。

AI 编码代理（如 Claude Code、Gemini CLI）通过第三方技能包扩展功能，这些技能包同时包含自然语言指令、可执行脚本和工具权限，构成了代码与指令混合的供应链依赖。现有检测工具从未在同时涵盖代码和指令的恶意技能 ground truth 上进行过评估，导致其有效性未知，且仅依赖野外样本的评估存在偏差。本文提出 MalSkillBench，首个运行时验证的恶意代理技能基准测试。该基准包含 3,944 个恶意技能，按 108 个单元的三维分类法标注。其中 3,214 个通过闭环的生成-验证-反馈管道产生，仅保留在 Docker 沙箱中通过系统调用监控和 LLM 判断器确认触发恶意行为的样本；另加入 703 个野外样本和 4,000 个匹配的良性技能。实验测量结果一致：代码注入的验证成功率达 94.5%，但提示注入仅 75.8%，这种脆弱性也导致后续难以检测；野外样本分布狭窄，由单次加密货币窃取活动主导（86.6% 为同一行为，81% 来自两个账户），但存在少量攻击代理控制平面的新架构；最强的技能专用检测器在代码注入上达到 98.4% 召回率，但在提示注入和代理控制攻击上完全失效；仅使用野外样本评分会使排名波动高达 66 个召回点；供应链扫描器和提示注入防御各自仅看到技能的一半，且没有任何组合能恢复代码与指令的关系。因此，检测恶意技能需要联合推理任务意图、代码和指令。该基准为 AI 代理供应链安全评估提供了关键工具。

该论文提出了一种名为“保管封套阈值”（Custody Envelope Threshold, CET）的模型，旨在解决现代机构基础设施中对外部工件（如包注册表依赖项、CI/CD actions、容器镜像、Terraform 提供者和模块、开发者扩展、模型工件及AI工具服务器）的准入治理问题。论文指出，直接由机构准入这些工件，仅在对象标识、入口路径和撤销能力相对于委托给工件的执行权限足够封闭时才是可辩护的。当这一阈值未达到时，机构会采取代理、策略中介、供应商中介、内部化、隔离或拒绝等方式处理工件。CET模型被操作化为一个四条件顺序工具，并基于参考监视器推理、最小权限原则和交易成本经济学进行理论支撑。论文将CET应用于六个具体领域：包依赖、GitHub Actions、容器镜像、Terraform提供者和模块、开发者扩展以及开放模型工件，并将Model Context Protocol (MCP) 服务器作为保留证据进行额外分析。此外，论文还指定了验证设计、确定性预测函数和开放科学框架（OSF）复制包，用于测试高审查机构是否对高权限工件收敛于更强的保管封闭性。核心贡献在于：提供了一个可操作的工件准入决策框架，将安全原则与经济成本结合，帮助机构在不同权威级别下做出合理的保管决策。该工作适合基础设施安全工程师、DevOps团队、供应链风险管理者和学术研究者阅读。

本文针对模型上下文协议（Model Context Protocol, MCP）服务器中普遍存在的描述-代码不一致（Description-Code Inconsistency, DCI）问题进行了系统性研究。MCP是大语言模型（LLM）调用外部工具的关键标准，其工作流程中，LLM依赖MCP服务器提供的自然语言描述来选择和执行函数。这一交互隐含地假设工具描述忠实反映底层实现，但实际中该假设并未得到强制验证。本文首先正式定义了DCI问题，并提出了一个全面的分类体系，涵盖功能不一致和未声明的副作用。基于该分类，开发了自动化框架DCIChecker，该框架结合结构感知的静态分析和直接-反向-仲裁（Direct-Reverse-Arbitration）提示方法，对工具描述与实际代码实现进行交叉验证。研究人员将框架应用于包含2214个真实MCP服务器中19200个描述-代码对的大规模数据集。测量结果表明DCI普遍存在，9.93%的对存在不一致。进一步分析显示DCI会造成关键防御盲区，可能引发从操作失败到隐蔽恶意行为等多种风险。最后，本文提出了强制语义一致性的缓解策略，以增强新兴代理生态系统的可靠性。该研究适合AI安全、LLM应用安全、软件工程等领域的从业者阅读。

本文提出了 RogueMerge，一个针对大语言模型（LLM）模型合并过程的统一攻击框架。模型合并通过聚合来自未经验证的公共平台的任务向量，将多个专用能力组合到单个 LLM 中，这暴露了关键的供应链攻击面：因为任何恶意行为都可以编码到任务向量中，且合并过程授予第三方向量对模型权重的直接写入权限，攻击者提供的任务向量可以启用或放大多种下游威胁。之前的工作仅研究针对分类器的静态算术启发式后门攻击，无法有效处理生成式 LLM 上的多种攻击，原因有三：(i) LLM 依赖自回归解码，合并引入的微小参数漂移会在 token 间累积，迅速降低攻击效果；(ii) 攻击者不知道受害者合并配置，静态攻击向量容易被稀释或破坏；(iii) 实际威胁诱导必须泛化到优化期间未见过的攻击提示，静态向量无法充分编码。RogueMerge 解决了这三个挑战：为处理自回归生成，它用联合优化替换静态算术，显式地确保合并后攻击成功；为处理未知合并设置，它将攻击注入形式化为随机最小-最大问题，并通过元学习风格模拟求解；为跨异构攻击提示泛化，它采用分布鲁棒优化并推导出 LLM 规模下可处理的一阶泰勒近似，具有可证明的误差界。在四种威胁、六种合并算法和超过 170 个合并 LLM 上，RogueMerge 持续优于现有攻击，且在不同合并设置下保持稳定，并能抵抗标准防御。

本文针对开放智能体平台中社区贡献的技能（skills）带来的供应链安全风险，提出了一个两阶段安全审查基准——SkillVetBench。第一阶段对每个技能的自然语言规范进行语义审查，检测隐藏的恶意意图；第二阶段在沙箱中执行标记的技能以观察运行时行为并收集可审计证据。基准测试基于OpenClaw生态系统中的真实恶意技能构建，包括近期ClawHavoc供应链攻击活动中的样本。实验表明：（1）仅依赖语义或签名的基线方法不足，最多漏掉89%的恶意技能，这些技能的攻击源自自然语言指令、多组件逻辑或跨组件交互；（2）运行时攻击集中在少量高权限原语上，特别是exec、write_file、install_skill和spawn；（3）SkillVetBench提供了沙箱执行直接支持恶意判定并附带具体运行时证据的案例研究。

本文针对Android生态系统中负责固件空中更新（FOTA）的应用进行了首次大规模系统性安全与隐私分析。FOTA应用具有极高系统权限，对设备安全更新至关重要。研究团队设计并实现了一个检测工具，从422,121个预装应用中识别出2,013个FOTA应用，构建了分析数据集。通过静态代码分析、第三方库检测及真实设备遥测数据，作者揭示了多个关键问题：1）43%的FOTA应用由第三方开发，部分设备上最多存在5个FOTA应用，增加了攻击面；2）部分应用存在隐私侵入行为，如收集与唯一硬件标识符绑定的地理位置数据，并内置大量第三方跟踪器；3）存在严重实现漏洞，例如使用公开的AOSP测试密钥签名FOTA应用和更新验证，使得任何使用相同签名的更新均可被安装，攻击者可借此推送恶意固件；4）遥测数据表明FOTA应用被用于安装非系统应用（如娱乐应用、游戏），其中包括恶意软件和潜在不受欢迎程序（PUP）。这些发现表明FOTA开发实践与Google的安全建议严重不符。本文为设备制造商、安全审计人员和平台监管者提供了关于FOTA生态风险的重要参考。

本文针对当前Web应用供应链中资源完整性缺乏有效验证的问题，提出了一种链接完整性管理系统（Link Integrity Management System）。研究背景指出，尽管Web持续增长，但依赖监控工具和资源完整性标准的发展滞后，导致供应链攻击成为Web应用攻击面中最受关注的部分。目前没有一种既通用又高性能的方法来验证Web资源的完整性。作者设计的系统旨在提供一种可扩展且高效的完整性验证机制，通过自动检测外部资源链接的变更、失效或被篡改，从而帮助开发者及时识别并修复潜在的安全风险。实验部分（基于论文内容推测）可能展示了该系统在真实Web应用中的部署效果，验证了其在检测完整性违规方面的准确性和低性能开销。主要贡献包括：提出了一种系统化的链接完整性管理方法；实现了对资源变更的实时监控；为防御供应链攻击提供了新的技术手段。适合Web安全研究人员、DevOps工程师以及关注供应链安全的安全从业者阅读。

本文针对Visual Studio Code（VS Code）扩展市场中的安全漏洞进行了系统研究。研究者首先识别了VS Code扩展中可能存在的四种不可信输入源和三种代码目标，这些可被用于代码注入和文件完整性攻击。基于此，他们利用CodeQL设计了污点分析规则，对包含代码的25402个扩展进行了生态级分析。结果显示，虽然漏洞并不普遍，但它们确实存在并影响了数百万用户。具体而言，研究者发现了21个扩展存在已验证的概念验证代码注入漏洞，总计影响超过600万次安装。此外，他们还揭示了Node.js生态系统对VS Code扩展的影响：13655个扩展每个都有超过100个npm传递依赖，而9710个扩展依赖于存在严重级别建议的易受攻击的npm包。该研究强调了IDE扩展安全性需要更多关注。

本论文复现并扩展了 Spracklen 等人 (USENIX Security '25) 关于代码生成大语言模型 (LLM) 产生包名幻觉的研究。Spracklen 的工作表明，LLM 在生成 Python 或 JavaScript 代码时会虚构不存在的包名（幻觉率在商业模型上 5.2%，开源模型上 21.7%），这为 slopsquatting 攻击（注册幻觉包名以投递恶意包）创造了攻击面。本文选取五款在 2025 年 10 月至 2026 年 3 月间发布的前沿代码模型：Claude Sonnet 4.6、Claude Haiku 4.5、GPT-5.4-mini、Gemini 2.5 Pro 和 DeepSeek V3.2，使用 199,845 组 Python 和 JavaScript 提示词，并对照 PyPI 和 npm 官方包列表进行验证。结果表明，整体幻觉率处于 4.62%（Claude Haiku 4.5）到 6.10%（GPT-5.4-mini）之间，模型间差距较 Spracklen 的发现大幅缩小（从数量级压缩到约 1.5% 跨度），但威胁并未消失。更重要的是，论文识别出 127 个所有五款模型都一致虚构的包名（109 个在 PyPI，18 个在 npm），构成模型无关的供应链攻击面——这是单一模型研究无法发现的。此外，论文还记录了 Python 幻觉率高于 JavaScript 的反转（与 Spracklen 2024 年发现相反），Anthropic 系列中 Haiku 的幻觉率低于 Sonnet 的反常现象，以及 DeepSeek V3.2 与 GPT-5.4-mini 之间 Jaccard 相似度峰值 (J=0.343)，暗示两者训练数据可能有共同来源。该研究对 LLM 供应链安全、软件包生态系统防御以及模型训练数据审计具有重要启示。

本文提出了一种针对扩散模型的新型供应链后门攻击方法——DiffusionHijack。该攻击不修改模型权重，而是通过注入恶意的伪随机数生成器（PRNG）来劫持生成过程中的噪声采样，从而实现对生成图像内容的精确控制。攻击者通过第三方或已受感染的Python包替换标准PRNG（如PyTorch的default_generator），使得每次生成时，尽管用户提示不同，模型都会输出攻击者预设的图像（SSIM=1.00）。该攻击在Stable Diffusion v1.4、v1.5和SDXL上验证成功，且不受随机采样（eta>0）和CLIP安全检查器的影响（绕过成功率98-100%）。由于恶意PRNG完全脱离神经网络计算图，现有模型审计和内容审核机制无法检测到该后门。作为防御，作者提出将PRNG替换为量子随机数生成器（QRNG），利用信息论上的不可预测性彻底消除确定性后门。实验表明，QRNG防御可将输出图像相似度降至基线水平（SSIM<0.20 for SD 1.x, <0.45 for SDXL）。该研究揭示了生成式AI供应链中一个被忽视的安全漏洞，并提出基于硬件的根本性缓解措施。

该论文研究大型语言模型（LLM）生态系统中以代码实现的技能（programmatic skills）的描述与实现不一致性问题。这类技能通常包含自然语言描述和可执行代码文件，用户或LLM依赖描述来理解其功能范围，但实现代码可能执行描述中未声明的安全相关操作（如凭据访问、网络通信、命令执行）。作者首先手动分析了920个真实世界的程序化技能，构建了一个包含11类安全属性的分类法（security property taxonomy），涵盖文件操作、网络通信、进程执行、编码/解码、代码执行、Shell命令、凭据访问、加密操作、持久化、系统信息收集等行为。基于该分类法，他们提出了SKILLSCOPE方法：从技能实现代码中构建源代码级安全属性图（Security Property Graphs, SPGs），SPG节点保留源代码层面的具体模式而非抽象分类标签，从而保留细粒度的证据；然后利用LLM辅助进行一致性检查，判断实现代码的安全相关行为是否超出了描述中声明的范围。在4556个程序化技能上，经过双盲人工审核，SKILLSCOPE识别不一致的精确率达到84.8%，召回率达到96.5%。确认不一致的技能占9.4%，而描述粒度较粗但实现细节仍在声明范围内的案例占24.3%。消融实验表明，分类法将精确率从87.8%提升至（原文未提及，但在摘要中实际影响是去除分类法后精确率降至72.3%），去除SPG则召回率从94.7%降至79.0%。该工作首次系统性地关注了LLM技能描述与实现之间的安全语义鸿沟，为构建更可信的LLM技能生态提供了检测方法。适合安全研究人员、LLM平台开发者、以及关注AI供应链安全的人员阅读。

该论文针对C/C++软件供应链中的漏洞分析问题提出了一种社区级别的软件组成分析方法（SCA）VulSCA。现有SCA工具（如OSSFuzzer、OSSGadget、OSV-Scanner）在识别第三方库漏洞时存在高误报率和难以理解的问题，主要原因包括漏洞库不完整、版本匹配不精确以及缺乏上下文信息。VulSCA利用社区信息（如GitHub issues、commit logs、安全公告）构建增强的漏洞数据库，并结合代码相似性与补丁分析技术，精确识别受影响函数，从而减少误报。实验结果表明，在多个真实C/C++项目数据集上，VulSCA在召回率和精确率方面均优于现有工具，误报率显著降低。论文还展示了VulSCA能够发现之前未知的漏洞变种，并提供了详细的漏洞影响分析。该方法对于提升C/C++软件供应链安全性具有重要参考价值。

本文提出了一种面向开放无线接入网（Open RAN）无线智能控制器（RIC）应用的零信任供应链保证评分标准（rubric）。Open RAN允许第三方xApps和rApps以运营节奏进行上线和更新，形成了跨越开发者、持续集成系统、注册表、上线管道和运行时执行点的软件供应链。该研究主要贡献包括：首先，针对RIC应用在构建、签名、发布、上线、运行、更新/回滚等阶段的应用中心生命周期威胁模型；其次，与O-RAN联盟WG11对齐的威胁-控制-证据映射，将生命周期威胁与O-RAN安全基线及补充性供应链证据相关联；第三，面向运营商的保证配置文件，将安全软件开发实践、SBOM透明度和SLSA风格的来源证明组合为渐进式上线级别。通过分析性案例研究演练和最小证据检查工作流，展示了该评分标准如何支持在RIC应用上线期间做出明确的接受、升级或阻止决策。评估旨在评估适用性而非部署规模性能；运营开销、决策一致性和检测覆盖率的实证测量留待未来工作。本文适合O-RAN安全研究人员、运营商安全架构师以及供应链安全从业者阅读。

本文研究了ASIC加密货币矿机的固件分发生态系统的安全性。矿机是区块链基础设施的核心组件，直接转换算力和能源为货币价值，但其安全性很少被系统评估。作者提出了一种可扩展的方法论，基于收集和静态分析公开分发的固件工件，无需设备访问或运行时交互。他们利用该方法重构并分析了134个固件镜像，覆盖了Bitmain、MicroBT、Canaan、Iceriver等制造商，这些制造商占已部署矿机总量的99%以上。研究发现，仅凭固件工件就足以恢复内部架构、识别安全弱点，并重构出完整的攻击链路，从而实现高影响力的对抗目标。具体而言，分析揭示了导致真实大规模攻击场景的漏洞，包括固件钓鱼和利用仍运行Stratum V1协议的矿机。在两个真实设备上的验证证实，公开分发的工件与已部署软件高度一致，且这些弱点可转化为实际攻击能力。总体而言，研究表明固件分发机制本身构成了主要攻击面，显著降低了ASIC挖矿生态系统的被攻破门槛。该工作为安全社区提供了对矿机供应链安全的新视角，并强调了保护固件分发流程的必要性。

该论文针对AI包生态系统中日益严重的依赖混淆攻击，提出了一种基于密码学的分发溯源系统。依赖混淆攻击利用了软件分发过程中的结构性缺陷：一旦包被安装，没有任何密码学证据证明它来自哪个注册表。现有的防御措施均为配置驱动，且在配置错误时会静默失效。本文设计的系统包含三个核心组件：(1)密码学注册表身份，每个注册表持有Ed25519密钥对，为分发的每个工件签名；(2)双重签名模型，发布者在打包时签名，注册表在发布时副签；(3)权威命名空间绑定，消费者固定注册表指纹，解析器密码学地拒绝来自未授权注册表的工件。这三个组件形成三层防御，攻击者必须同时攻破所有层才能成功。论文对八个主要包生态系统（npm、Cargo、Hex.pm、PyPI、Go模块、Docker/OCI、NuGet、Maven）进行了对比分析，结果显示没有一个现有系统同时具备强制发布者签名、密码学注册表身份、强制注册表副签和消费者端密码学强制这四个特性。系统还扩展到AI生成溯源，将签名属性作为治理强制依赖解析的一部分。案例研究将分发溯源与一个三层运行时治理架构集成，创建了无密码学间隙的四阶段生命周期链。主要贡献在于提供了针对依赖混淆的结构化防御方案，不依赖配置，而是通过密码学机制根除攻击面。适合安全工程师、软件供应链安全研究人员、包管理器开发者阅读。

该论文聚焦于软件供应链漏洞消除问题，提出了一种主动库学习与再生（Active Library Learning and Regeneration, ALR）技术。供应链攻击常利用广泛使用的组件，通过文件系统或网络访问等不影响客户端可观察行为的操作实施攻击。ALR技术通过多轮递增的探索，为组件生成输入、观察输出，从而推断出组件行为模型，并以领域特定语言程序形式再生该行为。作者实现了Harp系统，专门针对字符串处理组件。实验对JavaScript和C/C++编写的字符串处理库进行测试，结果表明Harp能在多数情况下于1分钟内完成再生，且与原始库完全兼容，性能无明显差异。更重要的是，Harp成功消除了多个高知名度安全事件涉及的库中的漏洞，包括event-stream、left-pad和string-compare。该研究为供应链漏洞自动化修复提供了新思路。

本文揭示了一种针对本地大语言模型（LLM）微调过程的供应链攻击新范式。传统观点认为本地离线微调能够保护训练数据中的敏感信息（如API密钥、个人标识符、金融记录等），但本文证明，通过向模型代码中植入伪装成标准架构定义的后门，攻击者即可实现高成功率的秘密窃取。不同于以往被动的预训练权重投毒（主要依赖概率性语义前缀，难以捕获稀疏高熵的目标），本文提出了一种主动执行劫持方法：攻击者将恶意代码伪装为模型架构定义（如PyTorch模块），在微调时触发执行劫持。核心技术包括：1）确定性全链记忆机制，通过在线张量规则匹配锁定动态计算流中的令牌级秘密；2）值-梯度解耦技术，隐蔽地注入攻击梯度，克服梯度淹没问题迫使模型记忆秘密；3）首次实现攻击者可验证的秘密窃取——通过黑盒查询精确区分真实泄露与幻觉。实验表明，该方法在保持主任务性能的前提下，严格攻击成功率（Strict ASR）超过98%，并能有效绕过差分隐私（DP-SGD）、语义审计和代码审计等防御措施。该研究提醒安全社区，模型代码供应链是不可忽视的攻击面。

A prototype pollution vulnerability affects example-js < 3.5.0. Dependents that merge untrusted input may be impacted.

An authentication bypass vulnerability exists in ExampleLib 1.x. Services using the default configuration may allow unauthenticated access to privileged endpoints.