该论文通过一项终端用户研究，探讨了可执行的安全与隐私建议的有效性。研究招募了参与者，测试了不同形式的建议（如具体步骤、可视化指南等）对用户实际行为的影响。结果表明，提供具体、可操作的步骤能显著提升用户遵循建议的意愿和能力，而过于技术化的语言或模糊的指导则效果不佳。研究还发现，用户更倾向于信任来自可信来源（如安全专家或朋友）的建议。论文贡献包括：一套评估建议可操作性的框架，以及针对设计更有效用户安全通知的设计指南。

欧盟计划于2026年底推出EUDI数字身份钱包，允许用户在设备上存储数字凭证（如官方身份证明的电子表示），并安全、隐私地向网站披露身份属性。然而，用户在做凭证披露决策时可能过度分享，导致隐私泄露风险。本文通过大规模用户与专家调查（研究一）以及评估Credential Assistant工具的有效性（研究二），揭示了以下关键发现：首先，用户普遍存在过度披露行为——例如约20%的用户会将官方身份证明披露给新闻网站，表明用户难以保护隐私，这将严重影响EUDI钱包的可用性，并可能导致隐私侵犯、身份盗用等后果。其次，研究者设计的Credential Assistant工具通过显示专家建议和用户观点，显著降低了用户的凭证披露错误率，从约15%降至约7%。然而，该工具并未完全消除不良决策，尤其是对于敏感属性，可能需要更强有力的干预措施。研究贡献在于系统揭示了数字钱包场景下的凭证披露风险，并提出了一种可行的缓解方案。本文适合隐私研究人员、身份认证系统设计者、政策制定者以及安全从业者阅读，以理解用户行为风险并设计更好的隐私保护机制。

该论文研究了短租房产（如Airbnb）中房东使用智能设备（如智能音箱、智能门锁、恒温器等）时对房客隐私的考虑。研究通过半结构化访谈（N=24）和一项大规模调查（N=207）收集数据，发现房东虽然出于安全、便利等目的部署智能设备，但往往缺乏对房客隐私的系统性考量。许多房东未能主动告知房客设备的存在、数据收集范围或提供退出机制，即使有部分房东采取了简单措施（如关闭摄像头），但整体上存在“善意却半心半意”的现象。研究还揭示了房东在隐私与利益之间的权衡矛盾，以及技术与法律认知的缺失。主要贡献包括：提出短租场景下房东隐私实践的分类框架，指出当前隐私通知与控制的不足，并为改善房东-房客隐私关系提供设计建议。适合人机交互、隐私安全及短租平台从业者阅读。

该论文通过三项研究（在线调查、拦截式研究、日记研究）深入探讨了Android用户对应用权限的感知与控制行为。研究1（N=103）调查了用户对权限请求的警觉性及权限撤销意愿；研究2（N=61）在真实场景中拦截权限请求并询问用户对其必要性及类型的理解；研究3（N=20）通过7天日记记录用户权限相关互动。结果显示：用户对权限请求的警觉性较低，多数用户忽略权限请求或不清楚权限用途；缺乏清晰的权限说明和上下文信息导致用户难以做出知情决策；用户往往高估其控制能力；部分用户采用规避行为（如拒绝所有请求）而非理性判断。论文贡献了用户权限行为的实证模型，并为改进Android权限界面提出设计建议，如提供更明确的权限用途说明及互动式权限管理工具。

该论文针对移动短信钓鱼（SMiShing）攻击的用户易感性开展研究。作者通过在美国进行的半结构化访谈，探索手机用户如何判断文本信息的真伪，以及哪些因素影响其决策过程。研究发现，用户主要依赖内容线索（如拼写错误、链接域名）、上下文（如与已知联系人的对话历史）以及直觉（如“感觉不对”）来识别钓鱼短信。同时，用户普遍存在过度自信和低估威胁的倾向。该工作揭示了用户认知与攻击者策略之间的差距，为设计更有效的反钓鱼培训和工具提供了实证基础。

该论文通过用户研究深入探讨了恶意软件分析的实践过程。研究团队招募了来自18家不同公司的21名专业恶意软件分析师，这些分析师具有多样化的背景。研究旨在回答三个核心问题：（1）实践中恶意分析师的不同目标是什么？（2）典型的专业恶意软件分析工作流包含哪些步骤？（3）当分析师决定进行动态分析时，他们考虑哪些因素来设置动态分析系统？基于参与者的回答，研究人员提出了一种恶意分析师分类法，并识别出五种常见的分析工作流。此外，研究还揭示了分析师在工作流不同阶段面临的挑战。根据这些挑战，论文提出了两个潜在的未来研究方向。最后，研究人员为恶意软件分析工具的开发者提供了改进工具可用性的建议。该研究填补了学术界对实际恶意软件分析流程理解的空白，为安全社区提供了宝贵的实践洞察。

本研究聚焦于如何向非技术用户解释可信执行环境（TEE）这一技术安全概念。TEE通过创建隔离执行环境来保护可信应用的机密性和完整性，以往研究表明用户了解TEE能提升其数据共享意愿。作者首先分析了现有的TEE解释材料，提炼出候选解释方案，然后通过场景化的小短文（vignette）对966名众包工作者进行实验评估。结果发现，最能提升理解度的解释是非技术性的、强调TEE能防范的具体威胁（如防止恶意软件读取数据）的版本。然而，即使理解度得到提升，用户对使用TEE增强技术的意愿几乎没有改变。这表明，单纯解释技术安全机制可能不足以缓解用户隐私担忧，需要结合其他信任建立手段。该研究为人机交互领域的安全沟通设计提供了实证依据。

该论文对互联网服务提供商（ISP）和个人用户在物联网（IoT）安全方面的态度、障碍和激励因素进行了大规模调查研究。研究数据来自4961名ISP专家（通过全球多个ISP组织的网络）和3223名日本互联网用户（通过在线调查平台收集）。调查问卷覆盖了安全意识、感知风险、责任分配、安全实践、以及影响安全行为的经济与制度因素等多个维度。研究发现，ISP面临着缺乏统一标准、客户不配合、成本压力等障碍，而个人用户则普遍存在安全意识不足、对安全功能认知有限、以及认为安全责任应由制造商承担等问题。激励因素方面，经济补贴、政府法规、用户教育等被列为可能提升安全性的有效手段。论文基于实证数据构建了ISP和用户的安全行为模型，并提出了一系列政策建议，包括制定强制性安全标准、建立安全认证体系、以及提供税收优惠等激励措施。该研究为理解IoT生态系统中的安全角色分布提供了实证基础，对于制定有效的安全策略和行业发展具有重要参考价值。

本研究聚焦于大型语言模型（LLM）在对话中推断用户个人信息（如收入、病史等）所引发的隐私问题。以往研究已证明LLM能够做出潜在违反用户预期的推断，但用户对此类推断的实际感受及期望的控制机制尚不明确。为此，作者开发了“反思层”（Reflective Layer）可视化工具，它能够从用户的ChatGPT历史对话中提取出未明确陈述的推断示例。通过混合研究方法，对18名ChatGPT长期用户进行实验，共评估了215个从他们自身对话中提取的推断。出乎意料的是，参与者的主要反应是好奇和兴趣，而非困扰或担忧。不舒适感主要出现在推断被用户认为“不具代表性”或“与预期用途不符”时。此外，参与者对广告商或第三方应用使用这些推断的接受度显著低于平台提供商。这些发现表明，LLM推断的可接受性不仅取决于推断内容，还受到关于推断如何生成、在平台内保留以及传输到平台外部的上下文敏感性规范的制约。该研究为设计更符合用户期望的LLM隐私控制机制提供了实证依据。

本研究聚焦于中国用户在使用基于大语言模型（LLM）的医疗咨询服务时的隐私意识与期望。随着LLM在医疗领域的广泛应用，用户隐私问题日益突出。研究通过问卷调查和访谈，探索用户对医疗聊天机器人隐私实践的认知、担忧以及期望。核心发现是：尽管用户普遍关注隐私，但由于LLM医疗咨询的便捷性和普及性（即“普及性压倒关注”），用户往往在行为上妥协，对隐私风险认知不足。研究还揭示用户对数据存储、共享和匿名化有特定期望，但现有系统未充分满足。论文通过定性和定量方法，揭示了用户隐私态度与行为之间的差距，为设计更符合用户预期的隐私保护机制提供了依据。主要贡献包括：1）构建了中国用户对LLM医疗咨询隐私期望的理论框架；2）识别了影响用户隐私决策的关键因素；3）提出了面向开发者和政策制定者的隐私增强建议。适合隐私研究员、LLM应用开发者、医疗科技政策制定者阅读。

本研究探讨了隐私保障（Privacy Enhancement Technologies, PETs）在自愿捐赠个人健康数据用于利他目的（如支持医学研究）中的作用。通过一项494名美国参与者的场景调查（vignette survey），研究了四种常见的隐私保障机制（数据过期、匿名化、目的限制、访问控制）对人们捐赠意愿的影响，并比较了两种验证机制（自我审计和专家审计）的效果，同时控制了数据收集者类型（营利性 vs 非营利性）和人口统计变量。主要发现：受访者对非营利组织抱有很高的默认隐私期望，明确说明隐私保障对其整体感知影响很小；而对于营利性组织，提供隐私保障显著提升了受访者的隐私期望，使其几乎与非营利组织的水平持平。此外，审计机制（无论是自我审计还是专家审计）对信任的提升效果有限。研究者强调了这些发现背后的风险，并呼吁未来开展跨学科研究，以弥合技术社区与最终用户对PETs审计有效性的认知差距。