该论文系统性地探讨了固件漏洞研究中语料库构建的科学性问题。作者指出，由于样本获取困难（如专有或加密数据）、内容未知、版权限制等挑战，现有固件语料库在可复现性、代表性和可靠性方面存在严重缺陷。他们首先分析了问题空间，提炼出影响语料库构建的实际二进制分析挑战，并据此推导出一套指导方针，旨在帮助研究人员提升语料库的可复现性和代表性。作者将这些方针应用于44篇顶级会议论文，系统评估了当前科学语料库构建实践，发现相关工作缺乏共同基础，存在方法论问题和文档缺失，导致代表性模糊和可复现性受阻。最后，作者展示了方针的可行性，构建了一个用于大规模Linux固件分析的新语料库LFwC，并分享了丰富的元数据以确保良好可复现性；该语料库经过解包验证、去重、内容识别并提供真实基准，证明了其在研究中的实用性。

该论文对零日攻击的本质进行了系统性的再审视，核心研究问题是：零日攻击究竟源于新颖的攻击行为还是新颖的漏洞？作者回顾了跨越20年的已记录零日攻击事件，发现这些攻击无一例外地源自对未公开漏洞（即零日漏洞）的利用，而非攻击者采用了前所未见的行为模式（TTPs）。基于这一发现，论文提出了一种基于漏洞类型的分类法，将零日漏洞分为内存破坏、逻辑错误、配置缺陷等类别，并统计了各类型在历史事件中的出现频率，结果显示内存破坏漏洞最为常见，而针对防御机制漏洞的攻击在近年呈上升趋势。作者进一步分析了现有基于机器学习（ML）的入侵检测系统（IDS）所依赖的假设，指出一个关键错位：事件报告强调漏洞利用，而许多ML检测器却旨在检测假设中的“新颖行为”，例如异常流量模式或异常系统调用。这种错位可能导致ML-IDS的零日检测能力被高估。论文认为，以漏洞为中心的方法（如自动补丁生成、内存安全强化）更贴合真实攻击机制，并呼吁业界谨慎解读行为检测的声称，同时推动开发更符合现实利用特征的自动漏洞检测框架。研究结论对于设计下一代入侵检测系统具有指导意义，强调应优先发展漏洞侧的方法，而非单纯依赖行为分析。