该论文以RPM包管理器为案例，系统研究了软件系统中由于输入语言的复杂性和交互导致的“怪异机器”（Weird Machines）现象。怪异机器是指软件中原本不存在的、通过语言元素意外组合而产生的可组合计算工件。作者提出了一种系统化的方法来发现和分类复杂系统输入空间中存在的潜在功能语义。通过分析RPM包管理器的输入规范和解析逻辑，他们成功构造了一个嵌入在RPM包管理基础设施中的图灵完备自动机，证明了包管理器不仅执行预定义的操作，还可能被诱导执行任意计算。这项研究揭示了包管理器这类处理复杂输入的系统在输入语言设计上的安全隐含风险，即攻击者可能利用输入语言的冗余或未预期交互来触发隐藏的计算能力，从而绕过安全检查或实现供应链攻击。论文的主要贡献包括：形式化定义了怪异机器的概念在包管理器场景下的表现；提出了一套逆向工程输入规范语义的方法；实际演示了RPM中图灵完备自动机的存在；并讨论了此类发现对软件供应链安全、输入验证和系统弹性的启示。该工作适合对软件供应链安全、形式化方法、系统安全感兴趣的读者。

A prototype pollution vulnerability affects example-js < 3.5.0. Dependents that merge untrusted input may be impacted.

An authentication bypass vulnerability exists in ExampleLib 1.x. Services using the default configuration may allow unauthenticated access to privileged endpoints.