自从买了token套餐之后，每天不把token用完就有点焦虑。于是，放假这2天，就打算用GPT-5.4来打CTF比赛。网上找了下，刚好南京邮电大学在举办NCTF 2026比赛，就拿来作实验，看一个人带着GPT-5.4，如何单挑整个团队赛（4人赛）。

刚才9点（4月6日）的时候，比赛已结束。

最终成绩：24道题，成功解出22道，解题率91.7%。

排名34，共有参赛队伍915支，有得分的433支队伍。

在这场所谓的“技术对决”中，我没有写一行代码，没有做任何手动分析，甚至连IDA、JADX这些最基本的反编译工具都没装。我不装任何MCP，不给任何技术指导，我在这场比赛中的唯一身份是——“题目的搬运工”，最多在任务失败时，让它再重试下。

别问我为什么没用 claude， 因为穷。今天，可以聊聊这场实验背后的细节，以及它对当前安全行业释放的信号。

01 极致的“躺平”：我是如何打这场比赛的？

我的武器库极其简单：Codex + GPT-5.4以及Trae + GPT-5.4。

我的工作流可以用“三步走”概括：

搬运：把题目描述、附件原封不动地扔给AI。容器有启动时长限制，有时超时会重启换端口，这个需要再告诉下AI。

装死：绝对不给任何“你可以试试看XX算法”、“这里有个XX漏洞”的提示，完全不引导。

重试：当AI报错或解不出时，我的回复只有三类：“重试”、“换个思路再试下”、“这么简单你都做不出来？再想想”。

除agent自带工具外，不再提供任何工具，也没有手工搭建环境（全靠AI在沙盒里自己搞），遇到二进制文件和APK，全靠AI自己找工具逆向，反汇编它会用objdump，apk逆向会安装baksmali与Androguard，也会自动gdb调试。在失败中不断让AI自我反思、自我迭代，直到把Flag吐出来。

本地没有的工具就连网搜索，比如盲打后台XSS，自己从网上找webhook.site来接收flag。

就这样，比赛还没结束，22道题的Flag就已经躺在我的屏幕上了。

比赛中1个账号最多只能开2个远程容器实例，如果放开的话，用AI去打将会更快，当然你也可以多建几个账号去开启，也能解决。

比赛2天，其中一天带娃去商场玩，昨晚又打了一晚麻将，就让AI在家干活：

手机通过 ToDesk远程控制电脑，看下处理进度，以及延长容器启动时间或提供新IP+端口的变更信息去重试。

02 工具大PK：同样的GPT-5.4，差距肉眼可见

在测试过程中，我对比了几个不同的环境，得出的结论非常残酷：

第一：国产大模型，真的打不过

期间我也尝试用几款主流的国产模型（GLM、Qwen、Kimi）去跑同样的题目，结果搞不出来。很多稍微复杂一点的逻辑绕过、非标准加密、或者长代码的逆向分析，国产模型找不到真正的漏洞点或者算法逆向出现幻觉。在深度的安全攻防推理上，GPT-5.4展现出的逻辑链条完整度，目前国产模型确实难以企及。

第二：Trae + GPT-5.4 搞不定的，Codex + GPT-5.4 能搞定

手上刚好同时买了gpt和trae，就想设置完全一样的底层模型GPT-5.4进行比较，但两者的解题率却有差异。为什么？

答案在于Agent工程能力。

个人感觉Trae在使用体验上要比codex好，但在CTF这种需要“试错-报错-修改环境-再试错”的长链路Agent任务中，它的工具调用、循环反馈、纠错能力要弱于codex，除agent工程能力差异外，可能gpt本身也针对codex作一些适配性训练，使得codex + gpt搭配能达到更好的效果。

而Codex的Agent调度极其强悍，它能自主搭建本地漏洞环境、自主写脚本编译、自主网上找源码进行现场漏洞挖掘、自主调试Segmentation Fault修改exp，甚至在遇到死胡同时能自己推翻重写。这证明了在AI时代，上层的Agent工程框架，其重要性完全不亚于底层的基座模型。

03 给出题方的“降维打击”：AI时代的出题困境

站在参赛者的角度，91.7%是个爽文成绩；但站在行业观察者的角度，这反映出当前CTF赛事的一个巨大危机：出题方对AI能力的评估严重不足。

本次NCTF整体题目难度偏低，完全没有针对AI的“抗性设计”。

2天的比赛，第1天基本就被人（或者说被AI）做完了。由于AI拉平了个体之间的技术鸿沟，导致各个团队之间根本拉不开差距——以前是你懂PWN我不懂，现在是只要会复制粘贴，大家都是PWN手。

传统的“套壳题”、“标准算法变种题”、“常规框架漏洞题”，在GPT-5.4面前犹如裸奔。出题人如果还停留在“我把这个点挖深一点、代码混淆厚一点”的传统思路上，注定会被AI轻易秒杀。

04 凛冬已至：安全研究员的生存挑战

这场实验证明：当一个只会“搬运题目”的人，能靠AI打出91.7%的解题率时，大量初级安全研究员、渗透测试员、甚至部分中级研究员的饭碗，已经在摇摇欲坠了。

AI对安全行业的影响不是未来式，而是现在进行时。面对这种冲击，我们更应该全面拥抱AI，学会使用它，用AI来解决个人过往搞不定的事情，让自己变强。

未来的安全研究者，将是那些能够与AI建立"共生关系"的人：既懂得借助AI突破算力边界，又能在关键节点注入人类独有的直觉、伦理判断和创造性思维。

写在最后

24道题解出22道，我并没有感到任何“技术上的成就感”，反而有一种强烈的危机感。

当安全技术的门槛被大模型彻底踏平，当我们引以为傲的“手搓ROP链”、“逆向硬刚”变成了历史遗迹，我们不禁要问：剥离了工具和代码技巧后，安全研究员最核心的能力到底是什么？

但玩笑归玩笑，潮水已经涌来，别做那个还在沙滩上用沙子堆城堡的人。

跳转微信打开

刚和朋友们聊起读书这件事，突然发现一个很有意思的现象：许多人越来越害怕“独自阅读”，反而热衷于把读书变成一场集体仪式。

有人说，读书本就是很私人的事。只有两个人聊得来、三观合，才有分享的必要；不然，再多的倾诉，根本不是交流，更像在“传教”——硬要大家一起感动、一起共鸣，甚至让彼此的读后感都变得“整齐划一”。

可现实是，我们总被推着往前走：

- 明明只想安安静静读完一本书，却要在社交平台打卡、晒进度；
- 明明对某段文字有自己的理解，却要附和“主流解读”，生怕显得“没看懂”；
- 明明更享受独处的阅读时光，却要挤进读书群、参加读书会，仿佛“不社交就不算读书”。

我们渐渐忘了，读书的本质，从来不是和别人比进度、比见解，而是自己跟自己对话，跟作者对话。

一、读书，从来都是“私人的事”
同一本书，有人看到悲悯，有人看到力量，有人看到清醒，有人看到迷茫。这些独一无二的感受，没有对错，也不该有标准答案。

就像有人读《百年孤独》，看见的是家族轮回的宿命；有人读它，看见的是对抗孤独的勇气。没有谁的理解更“高级”，也没有谁的感受更“正确”——因为每个人的成长经历、心境处境、思考角度，都截然不同。

读书的意义，从来不是强行统一观点、灌输“标准答案”，而是让你看见相似的热爱与共鸣，也看见各异的理解与碰撞。它让你在文字里找到自己，也让你明白：阅读的自由，就在于允许不同的声音存在。

真正的阅读，不是“传教”，不是“打卡”，不是“完成KPI”，而是让你在文字里安顿自己，学会独立思考，包容不同的解读，让同频的人因书相遇，因理解而靠近。

它传递的正能量，应当是让人更爱阅读、更懂思考、更接纳差异，而不是用所谓“正确”的阅读方式，框定唯一的答案，消解阅读本身的自由与美好。

二、别让“社交阅读”，绑架了你的热爱

曾经见过太多人，把读书变成了一场“社交表演”：

- 为了融入圈子，硬着头皮读自己不感兴趣的书；
- 为了得到认可，刻意迎合别人的观点，不敢说出真实想法；
- 为了显得“合群”，把大量时间花在讨论、打卡上，反而没好好读完几本书。

他们害怕“不合群”，害怕“被孤立”，于是把读书变成了获取人脉、塑造人设的工具。可到头来，书没读透，心也累了——因为这份热爱，从一开始就被绑上了“社交”的枷锁。

其实，阅读从来不需要“合群”。你可以一个人看书，一个人散步，一个人写日记，在独处的时光里和文字深度对话；你也可以偶尔走出去，遇见同频的人，分享彼此的感悟。

但前提是：你的阅读，永远要先取悦自己。

如果一场读书会让你觉得压抑、疲惫，如果一群人的讨论让你觉得虚伪、刻意，那不如转身离开——真正的阅读，从来不需要勉强自己融入不属于自己的圈子。

正因如此，我前两年就把微信读书的排行榜给关了！

三、守住阅读的“私人与真诚”，才是对文字最好的尊重

有人说，现在的读书氛围太“浮躁”了。大家忙着晒书单、晒笔记、晒感悟，却很少有人愿意沉下心来，好好读完一本书，好好和自己对话。

或许我们都该慢下来：

- 放下“必须分享”的执念，允许自己有“读不懂”“不喜欢”的时刻；
- 放下“必须合群”的焦虑，允许自己独自享受阅读的宁静；
- 放下“必须正确”的枷锁，允许自己有独一无二的感受与思考。

读书，从来不是为了证明什么，也不是为了迎合谁。它是你和文字的私会，是你和自己的对话，是你在喧嚣世界里，为自己留的一方净土。

别让读书，变成一场“正确”的表演。守住这份私人与真诚，让阅读回归本质，才是对文字最大的尊重！

跳转微信打开

PS：以前采集论文是通过写爬虫到调用LLM API完成内容生成的，虽然有用到的大毛已做代码生成和翻译，但多少还是有一点点人工，怎么判断以及token付费。但是现在很多自主Agent出来后（都是claude code开的好头），一切都变得更加简单和自动化。今天这篇文章，我是直接用GML agent模式，直接发送1条指令全自动搞定的，一切变得如此顺畅。

当前你看到的这段内容，也是微信语音输入自动生成的，略有修改，同时支持五笔和拼音。现在大家都用大模型，但是整天打prompt也累，因此一直尝试想找到一种可替代敲字的方式，感觉语音输入就是我要找的方法。试过很多工具，包括系统自带的语音输入、trae语音输入、闪电说、typeless等方法，语音识别都不够准，或者生成速度慢，或者翻墙账号登录 。相比之下，微信输入法速度和准确率相对更高，还是免费的，不过有时也是会识别错误的。之前看网上有人推荐另一款收费的语音输入wisper flow，我还没用过，还不太舍得为打字付费。若有更好的输入工具大家也可以推荐一下。

1、A Causal Perspective for Enhancing Jailbreak Attack and Defense

揭示大型语言模型（LLMs）中"越狱"背后的机制对于提高其安全性和可靠性至关重要，然而这些机制仍 poorly understood。现有研究主要通过探测潜在表示来分析越狱提示，往往忽视了可解释提示特征与越狱发生之间的因果关系。在这项工作中，我们提出了 Causal Analyst，一个将 LLMs 集成到数据驱动因果发现中的框架，用于识别越狱的直接原因并利用它们进行攻击和防御。我们引入了一个包含七个 LLMs 上 35k 次越狱尝试的综合数据集，该数据集从 100 个攻击模板和 50 个有害查询中系统构建，并标注了 37 个精心设计的人类可读提示特征。通过联合训练基于 LLM 的提示编码和基于 GNN 的因果图学习，我们重建了从提示特征到越狱响应的因果路径。我们的分析显示，特定特征如"积极角色"和"任务步骤数量"是越狱的直接因果驱动因素。我们通过两个应用展示了这些见解的实际效用：（1）一个 Jailbreaking Enhancer，它针对识别出的因果特征，显著提高了在公共基准上的攻击成功率；（2）一个 Guardrail Advisor，它利用学习到的因果图从模糊查询中提取真实的恶意意图。包括基线比较和因果结构验证在内的广泛实验证实了我们因果分析的稳健性及其优于非因果方法的性能。我们的结果表明，从因果角度分析越狱特征是提高 LLM 可靠性的有效且可解释的方法。我们的代码可在 https://github.com/Master-PLC/Causal-Analyst 获取。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f797-paper.pdf

2、A Deep Dive into Function Inlining and its Security Implications for ML-based Binary Analysis

函数内联优化是现代编译器中广泛使用的一种转换技术，它根据需要将调用点替换为被调用函数的主体。虽然这种转换能提高性能，但它会显著改变机器指令和控制流图等静态特征，而这些特征对二进制分析至关重要。然而，尽管函数内联的影响广泛，其安全影响至今仍未得到充分探索。本文首次从基于机器学习的二进制分析角度对函数内联进行了全面研究。为此，我们剖析了LLVM成本模型中的内联决策流程，并探索了能够显著提高函数内联比例的编译器选项组合，我们将其称为极端内联。我们重点关注五种基于机器学习的安全二进制分析任务，使用20个独特模型系统评估它们在极端内联场景下的鲁棒性。大量实验揭示了几个重要发现：i) 函数内联尽管本意是良性转换，但可能间接或直接影响机器学习模型的行为，可能被用于规避判别式或生成式机器学习模型；ii) 依赖静态特征的机器学习模型对内联可能高度敏感；iii) 微妙的编译器设置可被利用来刻意规避二进制变体；iv) 内联比例在不同应用程序和构建配置中差异显著，这削弱了机器学习模型训练和评估中一致性的假设。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1872-paper.pdf

3、A Hard-Label Black-Box Evasion Attack against ML-based Malicious Traffic Detection Systems

基于机器学习(ML)的恶意流量检测是一种有前景的安全范式。它能够识别各种高级攻击，优于基于规则的传统检测方法。然而，这些ML模型的鲁棒性在很大程度上尚未得到探索，从而使攻击者能够制作规避检测的对抗性流量样本。现有的规避攻击通常依赖于过于严格的条件(例如，加密协议、Tor或专用设置)，或需要针对目标的详细先验知识(例如，训练数据和模型参数)，这在现实世界的黑盒场景中是不切实际的。因此，硬标签黑盒规避攻击(即无需内部目标洞察即可适用于不同任务和协议)的可行性仍然是一个开放的挑战。为此，我们开发了NetMasquerade，它利用强化学习(RL)来操纵攻击流量，使其模仿良性流量并规避检测。具体而言，我们建立了一个名为Traffic-BERT的定制预训练模型，利用网络专用分词器和注意力机制来提取多样化的良性流量模式。随后，我们将Traffic-BERT集成到RL框架中，使NetMasquerade能够基于良性流量模式以最小修改有效操纵恶意数据包序列。实验结果表明，NetMasquerade能够在80种攻击场景下使暴力攻击和隐蔽攻击规避6种现有检测方法，攻击成功率超过96.65%。值得注意的是，它可以规避那些在经验上或可证明上能够抵抗现有规避攻击的方法。最后，NetMasquerade实现了低延迟的对抗流量生成，展示了其在实际场景中的实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s916-paper.pdf

4、A Unified Defense Framework Against Membership Inference in Federated Learning via Distillation and Contribution-Aware Aggregation

联邦学习能够实现去中心化的模型训练而无需暴露原始数据，使其成为隐私保护机器学习的一种有前景的范式。然而，它仍然容易受到成员推理攻击(MIAs)的威胁，攻击者可以推断特定数据点是否包含在训练集中，这带来了严重的隐私风险并破坏了数据本地性。现有的针对MIAs的防御方法存在显著局限性：一些会导致性能大幅下降，而另一些则无法同时防御被动和主动攻击向量。为应对这些挑战，本文提出了一种统一的防御框架，能够在保护目标模型实用性的同时，同时减轻联邦学习中的被动和主动MIAs。首先，我们在教师模型训练过程中引入改进的熵正则化，以增强成员数据的不确定性，比标准正则化提供更强的推理攻击抵抗力。其次，我们利用条件变分自编码器(CVAE)生成类条件合成数据用于监督学生训练，这避免了敏感数据的直接暴露，并提供比无标记替代方案更好的实用性。最后，我们设计了一种感知贡献的聚合策略，根据实用性调整本地模型的影响力，减轻恶意客户端在模型聚合过程中的影响。在四个基准数据集上的实验结果表明，所提出的方法显著降低了各种成员推理攻击的成功率，优于现有的最先进防御方法。此外，它始终保持高模型精度，证明了其在实际联邦学习部署中的实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s413-paper.pdf

5、Abuse Resistant Traceability with Minimal Trust for Encrypted Messaging Systems

加密消息系统为用户提供端到端安全，但阻碍了内容审核，使得打击网络滥用行为变得困难。可追溯性提供了一种有前景的解决方案，使平台能够识别消息的发起者或传播者，然而这种能力可能被滥用于对无辜消息进行大规模监控。为缓解这一风险，现有方法将可追溯性限制在由多个用户举报或处于预定义黑名单中的问题消息上。然而，这些解决方案要么过度信任特定实体（例如定义黑名单的方），要么依赖于同一平台运行的服务器之间不串通的不切实际假设。在本文中，我们提出了一种抗滥用的源追溯方案，将可追溯性分配给不同的现实世界实体。具体而言，我们形式化定义了其语法并证明了其安全属性。我们的方案实现了两个基本原则：最小信任原则，确保只要参与追溯的单一参与者是诚实的，即使其他所有参与者串通，追溯也不会被滥用；以及最小信息披露原则，防止参与者获取任何对追溯不必要的信息（例如通信方的身份）。我们使用Signal部署的技术实现了我们的方案，评估结果表明，它提供了与易受滥用的最新方案相当的性能。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f456-paper.pdf

6、Accurate Identification of the Vulnerability-Introducing Commit based on Differential Analysis of Patching Patterns

当在特定软件版本中发现漏洞时，追溯提交历史以准确识别引入该漏洞的首次提交（称为漏洞引入提交，VIC）至关重要。本文提出了一种基于漏洞修补模式差异分析的方法来准确识别VIC。首先，我们比较漏洞修补前后的两个文件，将补丁中与漏洞相关的语句分类为不同的修补模式，如编码错误、不适当的数据流、 misplaced语句和缺失的关键检查。然后，基于这些修补模式，我们从易受攻击的文件中提取漏洞关键语句序列，并将其与早期提交进行匹配，以确定引入提交。为了评估该方法的有效性，我们收集了一个包含6920个CVE和5,859,238个提交的数据集，数据来源于开源软件，包括Linux内核、MySQL和OpenSSL等。实验结果表明，该方法达到了94.94%的检测准确率和86.92%的召回率，显著优于现有方法。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s140-paper.pdf

7、ACE: A Security Architecture for LLM-Integrated App Systems

LLM集成应用系统通过系统LLM使用交错规划和执行阶段调用第三方应用来扩展大型语言模型（LLMs）的效用。这些系统引入了新的攻击向量，恶意应用可能导致规划或执行完整性受损、可用性中断或执行过程中隐私泄露。在本工作中，我们确定了影响LLM集成应用规划完整性以及执行完整性和可用性的新攻击，并在IsolateGPT（一种旨在缓解恶意应用攻击的最新解决方案）上展示了这些攻击。我们提出了Abstract-Concrete-Execute（ACE），一种新的LLM集成应用系统安全架构，为系统规划和执行提供安全保证。具体而言，ACE将规划分为两个阶段：首先仅使用可信信息创建抽象执行计划，然后使用已安装的系统应用将抽象计划映射为具体计划。我们通过结构化计划输出的静态分析验证了我们系统生成的计划满足用户指定的安全信息流约束。在执行过程中，ACE强制应用之间的数据和能力隔离，并确保执行按照可信的抽象计划进行。我们通过实验证明，ACE能够抵御InjecAgent和Agent Security Bench基准测试中的间接提示注入攻击以及我们新引入的攻击。我们还使用LangChain基准测试中的工具使用套件评估了ACE在实际环境中的实用性。我们的架构代表了使用系统安全原则强化基于LLM系统的重大进展。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s352-paper.pdf

8、Achieving Interpretable DL-based Web Attack Detection through Malicious Payload Localization

Web攻击对Web应用构成重大威胁。虽然基于深度学习的系统已成为检测Web攻击的有前景解决方案，但其缺乏可解释性阻碍了在生产环境中的部署。现有的可解释性方法无法解释Web攻击，因为它们忽略了HTTP请求的结构信息。它们仅识别一些重要特征，这些特征安全操作人员难以理解，也无法指导他们采取有效应对措施。在本文中，我们提出了WebSpotter，实现了可解释的Web攻击检测，通过定位HTTP请求中的恶意载荷来增强现有的基于深度学习的检测方法。这一方法源于观察发现恶意载荷通常对检测模型的预测有显著影响。WebSpotter识别HTTP请求中每个字段的重要性，然后利用机器学习模型学习这种重要性与恶意载荷之间的相关性。此外，我们展示了WebSpotter如何通过自动生成WAF规则来协助安全操作人员缓解攻击。在两个公共数据集和我们新构建的数据集上进行的大量评估表明，WebSpotter显著优于现有方法，与基线相比，定位准确率至少提高了22%。我们还从CVE和实际Web应用中收集的真实世界攻击进行了评估，以说明WebSpotter在实际场景中的有效性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1029-paper.pdf

9、Achieving Zen: Combining Mathematical and Programmatic Deep Learning Model Representations for Attribution and Reuse

先前的工作已经开发了能够从系统内存或程序二进制文件中提取通用格式的深度学习(DL)模型以进行安全分析的技术。不幸的是，这些技术忽略了模型重用和任何白盒分析技术所需的DL模型程序表示的恢复。针对这一问题，我们提出了一种新颖的恢复方法，并构建了原型系统ZEN，该系统能自动恢复DL模型的程序表示，补充了先前工作对数学表示的恢复。ZEN能够识别未知DL系统中相对于基础模型的新代码，并生成补丁，使得恢复的DL模型可以被重用。我们在21个最先进的DL模型上评估了ZEN，包括语言和视觉领域的模型，如Llama 3和YoloV10。ZEN能够以100%的准确度将自定义模型归因于其基础模型，实现了模型重用。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1628-paper.pdf

10、Action Required: A Mixed-Methods Study of Security Practices in GitHub Actions

GitHub Actions已成为主导的持续集成/持续交付(CI/CD)平台，但最近的SolarWinds和tj-actions/changed-files等供应链攻击凸显了此类系统中的关键安全漏洞。虽然GitHub提供了官方安全实践来缓解这些风险，但它们在现实世界中的实施程度仍不为人知。我们进行了一项混合方法研究，分析了338,812个公共仓库并对100多名开发者进行了调查，以了解GitHub Actions中的安全实践实施情况。我们的发现揭示了五个关键安全实践的实施率低得惊人，范围从0.6%到52.9%。我们确定了三个主要障碍：缺乏意识(高达71.6%的非采用者不了解这些实践)、对适用性的误解以及对运营成本的担忧。仓库特征，如组织所有权和最近的开发活动，与更好的安全实践实施显著相关。基于这些实证见解，我们得出了可行的建议，将干预策略与适当的自动化水平保持一致，改进通知设计以提高意识，加强平台和IDE级别的支持，并明确说明风险和适用性的文档。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f483-paper.pdf

11、Actively Understanding the Dynamics and Risks of the Threat Intelligence Ecosystem

尽管威胁情报（TI）生态系统已投入数十亿美元——这是一个由安全供应商和利他主义者组成的全球分布式网络，推动着关键网络安全运营——我们仍缺乏对其运作方式的理解，包括其动态和脆弱性。为填补这一空白，我们提出了一种新颖的测量框架，通过监控带有网络入侵指标（IoCs）水印的追踪二进制文件，来跟踪它们在生态系统中的传播。通过分析提交威胁情报的传播链的每个阶段（提交、提取、共享和阻断），我们发现一个生态系统，其中传播几乎总是导致威胁的阻断，但供应商选择性地共享他们提取的威胁情报，限制了生态系统的效用。此外，我们发现，试图遏制威胁的努力常常因"瓶颈"供应商延迟数小时至数天共享威胁情报而放缓。关键的是，我们确定了威胁情报供应链的多种威胁，其中一些目前已在野外被利用。供应商不必要的主动探测、对放置文件的浅层提取以及易于预测的沙箱环境指纹都威胁着生态系统的健康。为解决这些问题，我们为供应商和从业人员提供了可操作的改进威胁情报供应链安全的建议，包括已知滥用模式的检测特征。我们通过负责任的披露流程与供应商合作，了解了这些弱点背后的运营约束。最后，我们为积极测量威胁情报生态系统的研究人员提供了一套伦理最佳实践。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f102-paper.pdf

12、ACTS: Attestations of Contents in TLS Sessions

Web3大规模应用的一个基本要求是使用户能够从其数据中受益，即使在已部署的系统内也是如此。这提出了一个重要的开放性问题：现有的、广泛采用的软件如何能够验证用户是否从TLS服务器检索了特定数据？最近，令人印象深刻的科学成果（例如DECO [CCS20]和Xie等人[USENIX24]的工作）和工业产品（TLSNotary）在上述具有挑战性的方向上取得了进展。然而，虽然这些方法很好地保持了TLS服务器不变，但检索到的数据随后被用于与验证者的计算中，而验证者需要运行一些先进的非标准化密码方案（例如ZK-SNARKs），这显然限制了所提出技术的大规模应用。

在本文中，我们基于先前的方法并依靠Fuchsbauer和Wolf [Eurocrypt24]提出的谓词盲签名这一新概念，通过提出ACTS（一种分布式架构）来绕过先前工作的局限性。ACTS仍然保持TLS服务器不变，同时允许用户证明其拥有从TLS服务器检索的数据，仅需验证者的软件能够检查标准签名即可。我们的贡献包括一个轮次最优的谓词盲签名协议，该协议生成标准的RSA-PSS签名。我们展示了如何将这一基本构件集成到DECO架构（及其后续版本）中，以证明从TLS服务器检索的数据。此外，我们已经优化了我们的构建，使其在商用硬件上对于公证人（即负责无意识认证TLS数据并保持数据保密性的参与者）实现的大而重要的策略类别是实用的。我们提供了一个实验评估，评估的场景是从TLS服务器下载的PDF文档并编码为AES-GCM密文。然后，用户将通过标准PADES签名获得一个经过认证的PDF，该签名由公证服务无意识地添加到PDF中，并附带一些元数据。生成的标准签名PDF文档可以使用现成的PDF阅读器透明验证。我们的实验验证表明，我们的架构适用于具体场景的实际部署。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1861-paper.pdf

13、ADGFUZZ: Assignment Dependency-Guided Fuzzing for Robotic Vehicles

机器人车辆（RV）在现代社会中扮演着越来越重要的角色，在商业和军事领域都有广泛应用。RV控制软件是RV系统的核心，它通过持续计算车辆的内部状态、传感器读数和外部输入来调整系统行为，从而保持正常运行。然而，RV软件中可配置参数、命令输入和环境感知数据的巨大组合空间给系统带来了显著的安全风险。现有的模糊测试技术在有效探索这一巨大输入空间的同时发现深层漏洞方面面临重大挑战。为应对这些挑战，我们提出了ADGFuzz，一种专门用于检测RV控制软件中赋值语句漏洞的新型模糊测试框架。ADGFuzz静态构建赋值依赖图（ADG）来捕获程序内的变量间依赖关系。然后，通过利用命名相似性将这些依赖关系传播到RV输入空间，从而产生一组称为匹配输入集（MIS）的定向输入。在此基础上，ADGFuzz在MIS上进行感知熵的模糊测试，从而提高漏洞发现的总体效率。在我们的评估中，ADGFuzz在三种RV类型中发现了87个独特漏洞，其中78个是先前未知的。所有发现的漏洞都已负责任地披露给开发人员，其中16个已被确认修复。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1014-paper.pdf

14、AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks

为防止恶意Wi-Fi客户端攻击同一网络上的其他客户端，厂商引入了客户端隔离，这是一组阻止客户端之间直接通信的机制组合。然而，客户端隔离并非标准化功能，其安全保证尚不明确。在本文中，我们对Wi-Fi客户端隔离进行了结构化安全分析，发现了绕过此保护的新一类攻击。我们确定了这些弱点背后的几个根本原因。首先，保护广播帧的Wi-Fi密钥管理不当，可能被滥用以绕过客户端隔离。其次，隔离通常仅在MAC层或IP层执行，而非同时执行。第三，客户端身份在网络堆栈中的弱同步允许在网络层绕过Wi-Fi客户端隔离，从而能够拦截其他客户端以及内部后端设备的上行和下行流量。所有测试的路由器和网络都至少存在一种漏洞。更广泛地说，缺乏标准化导致各厂商实施的隔离措施不一致、临时且往往不完整。基于这些见解，我们设计并评估了端到端攻击，使现代Wi-Fi网络具备完整的中间人攻击能力。尽管客户端隔离有效缓解了诸如ARP欺骗等传统攻击，而ARP欺骗长期以来被认为是局域网中实现中间人定位的唯一通用方法，但我们的攻击提出了一种通用且实用的替代方案，即使在存在客户端隔离的情况下也能恢复这一能力。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1282-paper.pdf

15、Aliens Among Us: Observing Private or Reserved IPs on the Public Internet

伪造流量仍然是网络卫生的主要问题，因为它通过掩盖攻击来源并阻碍取证分析，使得分布式拒绝服务(DDoS)攻击成为可能。不良卫生状况的一个关键指标是公共互联网中存在"虚假流量"(Bogon traffic)——携带无效或不可路由源地址的数据包——这些数据包源于配置错误或过滤不足。尽管长期以来一直有源地址验证(SAV)的建议，如BCP 38和BCP 84，但虚假过滤的部署仍然不一致。在这项工作中，我们分析了CAIDA Ark平台八年间(2017-2024)的traceroute测量数据，并结合了RIPE RIS和RouteViews的历史BGP数据，以量化数据平面中虚假地址的普遍性和特征。我们观察到对最佳实践的广泛不遵守：在82.69%到97.83%的Ark观测点中，traceroute路径包含虚假IP地址，主要是RFC1918地址。总体而言，21.11%的traceroute包含RFC1918地址，较小比例涉及RFC6598(1.68%)和RFC3927(0.08%)。我们识别出超过15,500个传输虚假流量的自治系统(ASes)，但其中只有11.88%在超过一半的测量中这样做。与Spoofer项目和MANRS的交叉比对显示控制平面和数据平面保证之间存在显著差距：52.71%转发源自虚假数据包的ASes被分类为不可伪造，表明SAV部署不完整或无效。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1118-paper.pdf

16、An LLM-Driven Fuzzing Framework for Detecting Logic Instruction Bugs in PLCs

可编程逻辑控制器(PLC)利用供应商提供的逻辑指令库（编译到设备固件中）来自动化工业操作。这些库可能包含安全漏洞，当通过物理控制例程、面向网络的服务或PLC运行时子系统利用时，可能导致权限违规、内存损坏或数据泄露。本文提出了LogicFuzz，这是首个专门针对PLC固件中逻辑指令设计的模糊测试框架。LogicFuzz构建了一个语义依赖图(SDG)，该图捕获了PLC代码中的操作语义和指令间依赖性。利用SDG和使能信号机制，LogicFuzz自动合成针对特定指令的种子程序，显著减少了手动工作量，并能够在真实PLC硬件上进行可控、可重置的模糊测试。为了发现依赖于控制流触发器（即调用模式）的缺陷，LogicFuzz对SDG进行变异以多样化指令调用上下文。为了暴露数据触发的故障，它在有效的语义约束下执行基于覆盖率的参数变异。此外，LogicFuzz集成了一个多源预言机，用于监控运行时日志、状态LED和通信状态，以在模糊测试期间检测指令级故障。我们在来自三大厂商的六款商用PLC上评估了LogicFuzz，发现了19个指令级漏洞，其中包括四个先前未知的漏洞。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1081-paper.pdf

17、Analysis of the Security Design, Engineering, and Implementation of the SecureDNA System

我们分析了SecureDNA系统在设计、工程和实现方面的安全方面。该系统使DNA合成器能够根据危险品数据库筛选订单请求。通过应用涉及分布式无意识伪随机函数的新密码学，该系统旨在保持订单请求和危险品数据库的机密性。我们从源代码（版本1.0.8）中部分识别了系统的详细操作，我们的分析检查了密钥管理、证书基础设施、身份验证和速率限制机制。我们还对相互认证、基本请求和豁免处理协议进行了首次形式化方法分析。在不破坏密码学的情况下，我们的主要发现是，SecureDNA的自定义相互认证协议SCEP仅实现了单向认证：危险品数据库和密钥服务器永远不知道它们与谁通信。这种结构性弱点违反了纵深防御原则，并使对手能够规避保护危险品数据库机密性的速率限制，前提是合成器连接到恶意或被破坏的密钥服务器或哈希数据库。我们指出了另一个违反纵深防御原则的结构性弱点：不足的密码绑定使系统无法检测TLS通道中来自危险品数据库的响应是否被修改。因此，如果合成器通过相同的TLS会话重新连接到数据库，对手可以重播和交换来自数据库的响应，而无需破坏TLS。尽管SecureDNA实现不允许此类重新连接，但避免潜在的结构性弱点将是更强的安全工程。我们确定了这些漏洞，并建议并验证了缓解措施，包括添加强绑定。我们的工作表明，一个安全的系统不仅需要健全的数学密码学，还需要形式化规范、健全的密钥管理、协议消息组件的适当绑定以及对工程和实现细节的谨慎关注。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1138-paper.pdf

18、Anchors of Trust: A Usability Study on User Awareness, Consent, and Control in Cross-Device Authentication

跨设备认证（XDAuth）已成为实现多设备无缝账户访问的关键机制。在此模式下，用户可以通过在另一个持有活跃会话或存储凭证的可信设备（认证设备）上完成认证来登录目标设备，从而提升用户体验。然而，认证设备与目标设备的分离引入了新的风险：物理和上下文的分离破坏了常规的认证流程，造成了信息不对称，并使用户难以评估认证请求的合法性。因此，用户可能会无意中批准恶意登录并导致账户被入侵，特别是在缺少关键上下文信息、明确确认机制或撤销功能的情况下。

为解决这些风险，我们从以用户为中心的视角出发，基于三项基本用户权利（知情权、同意权和控制权）来保障XDAuth系统的安全性和可用性。我们通过研究27个采用三种典型XDAuth方案的主要服务，考察这些权利在实际应用中的支持情况。我们的发现令人担忧：超过一半的服务在认证过程中未提供任何关于目标设备的信息，并非所有服务都强制要求用户明确确认，且六个服务缺乏撤销可疑授权的途径。我们已负责任地向相关供应商披露了这些问题，其中多家供应商承认了问题并作出了积极回应。我们进一步对100名参与者进行了用户研究，发现绝大多数用户认为这些权利至关重要，并期望在XDAuth中得到保障。我们的研究揭示了当前实现与用户期望之间的明显差距，强调了需要加强对用户权利的支持，以开发更安全、以用户为中心的XDAuth系统。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f656-paper.pdf

19、ANONYCALL: Enabling Native Private Calling in Mobile Networks

移动网络运营商（MNOs）被曝出会泄露或出售用户的敏感信息，包括地理位置和通信历史记录。匿名移动用户认证方法，如文献{schmitt2021pretty}（USENIX Sec'21）、文献{yu2023aaka}（NDSS'24）、文献{alnashwan2024strong}（CCS'24），使用户能够访问移动网络而不必暴露电话号码或订阅永久标识符（SUPI）等长期标识符。然而，身份透明度和位置感知的缺失在现实移动网络中实施匿名访问带来了重大挑战，尤其对于呼叫路由、使用量测量和计费等基本功能。为解决这些局限性，我们提出了ANONYCALL，一种隐私保护的呼叫管理架构，它支持匿名移动网络访问，同时实现两项基本功能：匿名被叫方发现和基于使用量的计费。ANONYCALL集成了一种带外认证机制，用于安全地共享临时呼叫标识符，实现无缝呼叫路由而不暴露永久用户信息。此外，它引入了一种匿名但可负责的余额凭证，能够实现准确计费并防止双重支付，同时保持移动用户匿名性。ANONYCALL完全兼容现有移动网络，引入的开销极小，呼叫建立时间增加不到200毫秒。通过智能手机和标准呼叫系统进行的评估证明了其实用性，为隐私保护且功能完备的移动通信提供了可行的解决方案。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1064-paper.pdf

20、Anota: Identifying Business Logic Vulnerabilities via Annotation-Based Sanitization

检测业务逻辑漏洞是软件安全中的一个关键挑战。这些漏洞源于应用程序设计或实现中的错误，允许攻击者触发非预期的应用程序行为。传统动态分析中的模糊测试净化器在发现与内存安全违规相关的漏洞方面表现出色，但 largely 无法检测业务逻辑漏洞，因为这些漏洞需要理解应用程序特定的语义上下文。最近尝试推断这种上下文的方法，由于依赖于启发式和非可移植的语言特性，本质上存在脆弱性和不完整性。由于业务逻辑漏洞构成了实践中最危险的软件弱点（CWE前40名中的27个）中的大多数，这是现有工具的一个令人担忧的盲点。在本文中，我们提出了一种名为ANOTA的新型人机交互净化框架来应对这一挑战。ANOTA引入了一个轻量级、用户友好的注释系统，使用户能够直接将其领域特定知识编码为轻量级注释，这些注释定义了应用程序的预期行为。然后，运行时执行监视器观察程序行为，将其与注释定义的策略进行比较，从而识别出表示漏洞的偏差。为了评估ANOTA的有效性，我们将ANOTA与最先进的模糊测试工具相结合，并与兼容相同目标的其他流行错误检测方法进行比较。结果表明，ANOTA+FUZZER在有效性方面优于这些方法。更具体地说，ANOTA+FUZZER能够成功重现43个已知漏洞，并在评估过程中发现了22个先前未知的漏洞（已分配17个CVE）。这些结果表明，ANOTA提供了一种实用且有效的方法，可以发现传统安全技术经常遗漏的复杂业务逻辑缺陷。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f938-paper.pdf

21、Are your Sites Truly Isolated? Automatically Detecting Logic Bugs in Site Isolation Implementations

站点隔离是现代浏览器的核心安全机制之一。通过将JavaScript即时编译器或HTML渲染等方面限制在沙盒进程中，网络浏览器显著减少了内存损坏错误的影响。此外，该机制还能防御Spectre等微架构攻击。使用站点隔离时，浏览器会将与特定站点相关的所有处理限制在其各自的沙盒进程中。与特权浏览器进程的所有通信都通过交换IPC消息完成。然而，这要求浏览器进程跟踪哪个渲染进程属于哪个站点，否则攻击者可能利用渲染器中的内存损坏问题，通过发送恶意IPC消息攻击其他站点。这反过来又可能允许攻击者泄露敏感数据（如cookies），甚至实现跨站脚本攻击（Universal Cross-Site Scripting）。

本研究首次提出了在Firefox和Chrome中自动检测此类漏洞（称为站点隔离绕过漏洞）的方法。为此，我们提出了一种新的预言机制，通过标记进程级别的跨站点数据泄露来检测导致站点隔离绕过漏洞的语义错误。此外，我们还设计了一个模糊测试工具，模拟被攻陷的渲染进程，通过挂钩IPC通信，尝试利用浏览器进程作为受迷惑的代理。我们的研究在Chrome和Firefox中发现了四个安全漏洞：三个较轻微的漏洞会导致跨站点数据泄露，而第四个漏洞则允许完全控制目标站点。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f902-paper.pdf

22、Attention is All You Need to Defend Against Indirect Prompt Injection Attacks in LLMs

大型语言模型（LLMs）已被集成到许多应用（如网络代理）中，以执行更复杂的任务。然而，由LLM驱动的应用程序容易受到间接提示注入（IPI）攻击的威胁，其中指令通过不可信的外部数据源被注入。本文提出了Rennervate，一个用于检测和预防IPI攻击的防御框架。Rennervate利用注意力特征在细粒度的令牌级别检测隐蔽注入，实现精确的净化，在保持LLM功能的同时中和IPI攻击。具体而言，令牌级检测器通过两步注意力池化机制实现，该机制聚合注意力头和响应令牌以进行IPI检测和净化。此外，我们建立了一个细粒度的IPI数据集FIPI，将开源以支持进一步研究。大量实验验证了Rennervate优于15种商业和学术IPI防御方法，在5个LLMs和6个数据集上实现了高精度。我们还证明了Rennervate可迁移到未见过的攻击，并能抵御自适应对手。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f394-paper.pdf

23、Augmented Shuffle Differential Privacy Protocols for Large-Domain Categorical and Key-Value Data

协议的新型增强型洗牌DP协议来填补这一空白。我们的FME协议使用哈希函数过滤掉不流行项目，然后准确计算流行项目的频率。为了在用户与洗牌者之间的一次交互轮次内完成此操作，我们的协议通过多重加密在系统内进行精心通信。我们还应用FME协议进行更高级的KV（键值）统计估计，并采用额外技术来减少偏差。对于分类数据和KV数据，我们证明了我们的协议提供了计算差分隐私，对上述两种攻击具有高度鲁棒性，同时保持了高精度和效率。通过与十二种现有协议的比较，我们展示了我们提案的有效性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1124-paper.pdf

24、Automated Code Annotation with LLMs for Establishing TEE Boundaries

现代系统日益依赖可信执行环境（TEEs），如Intel SGX和ARM TrustZone，以安全地隔离敏感代码并减少可信计算基（TCB）。然而，识别应位于TEE中的精确代码区域，特别是涉及加密逻辑的代码区域，仍然具有挑战性，因为这需要深入的手动检查，且尚未得到自动化工具的支持。为解决这一开放性问题，我们提出了基于大型语言模型的代码标注逻辑（LLM-CAL），这是一种利用最新和先进的大型语言模型（LLMs）大规模自动化识别安全敏感代码区域的工具。我们的方法利用基础LLMs（Gemma-2B、CodeGemma-2B和LLaMA-7B），并通过使用新收集的包含4,000多个C源文件的手动标注数据集对这些模型进行了微调。我们将局部上下文特征、全局语义信息和结构元编码为紧凑的输入序列，引导模型捕捉代码中安全敏感性的微妙模式。微调过程基于量化LoRA——一种参数高效技术，在LLM架构中引入轻量级可训练适配器。为支持实际部署，我们开发了一个可扩展的数据预处理和推理流水线。LLM-CAL在识别敏感和非敏感代码方面达到了98.40%的F1分数和97.50%的召回率。这是首次尝试为启用TEE的平台自动化标注加密安全敏感代码，旨在最小化可信计算基（TCB）并优化TEE使用，以增强整体系统安全性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s709-paper.pdf

25、Automating Function-Level TARA for Automotive Full-Lifecycle Security

随着现代汽车演变为智能互联系统，其日益增长的复杂性带来了重大的网络安全风险。因此，在强制性法规下，威胁分析与风险评估（TARA）已成为管理这些风险的关键手段。然而，现有的TARA自动化方法依赖于静态威胁库，限制了其在行业所需详细功能级分析中的应用。本文介绍了DefenseWeaver，这是首个利用组件特定细节和大语言模型（LLM）自动化功能级TARA的系统。DefenseWeaver从扩展的OpenXSAM++格式描述的系统配置中动态生成攻击树和风险评估，然后采用多智能体框架协调专门的LLM角色以实现更强大的分析能力。为进一步适应不断演变的威胁和多样化的标准，DefenseWeaver集成了低秩适应（LoRA）微调和基于专家策划的TARA报告的检索增强生成（RAG）。我们通过在四个汽车安全项目中的部署验证了DefenseWeaver的有效性，它识别出11条关键攻击路径，这些路径已通过渗透测试验证，并由相关汽车制造商和供应商进行了报告和修复。此外，DefenseWeaver展示了跨领域适应性，成功应用于无人机（UAV）和导航系统。与人类专家相比，在六种评估场景中，DefenseWeaver在手动攻击树生成方面表现更优。集成到UAES和小米等商业网络安全平台后，DefenseWeaver已生成超过8,200个攻击树。这些结果凸显了其显著减少处理时间的能力，以及其在各行业网络安全方面的可扩展性和变革性影响。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1408-paper.pdf

26、BACnet or “BADnet”? On the (In)Security of Implicitly Reserved Fields in BACnet

楼宇自动化系统（BAS）对于管理现代建筑中的供暖、通风、空调和制冷（HVAC&R）以及照明和安全等基本功能至关重要。BACnet作为BAS广泛采用的开放标准，实现了异构设备之间的集成和互操作性。然而，传统的BACnet实现仍然容易受到各种安全威胁的攻击。虽然现有的模糊测试工具已被应用于BACnet，但其效率有限，主要原因是基于总线的通信介质速度慢且吞吐量低。为应对这些挑战，我们提出了BACsFuzz，一种行为驱动的模糊测试工具，旨在发现BACnet系统中的漏洞。与关注输入多样性和执行路径覆盖的传统模糊测试方法不同，BACsFuzz引入了令牌抢占辅助模糊测试技术，该技术利用BACnet的令牌传递机制提高模糊测试效率。令牌抢占辅助模糊测试技术被证明在发现由隐式保留字段滥用引起的漏洞方面非常有效。我们确定这是一个影响BACnet和KNX（另一种主要的BAS协议）的常见漏洞。值得注意的是，BACnet协会（ASHRAE）确认了协议级别的令牌抢占漏洞的存在，进一步验证了这一发现的重要性。我们在来自西门子、霍尼韦尔和江森自控等领先制造商的15个BACnet和5个KNX实现上评估了BACsFuzz。与最先进（SOTA）的方法相比，BACsFuzz将模糊测试吞吐量提高了272.49%至776.01%。总共发现了26个漏洞——18个在BACnet中，8个在KNX中——都与隐式保留字段相关。其中，24个漏洞已由制造商确认，9个已被分配CVE编号。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s794-paper.pdf

27、Benchmarking and Understanding Safety Risks in AI Character Platforms

AI角色平台允许用户与AI角色进行对话，是一个快速发展的应用领域。然而，其沉浸式和个性化的特点，加上技术漏洞，引发了重大的安全问题。尽管这些平台很受欢迎，但对其安全性的系统评估却明显缺失。为填补这一空白，我们进行了首个AI角色平台的大规模安全性研究，通过16个安全类别中的5000个基准问题对16个流行平台进行了评估。我们的研究结果揭示了一个关键的安全缺陷：AI角色平台的平均不安全响应率为65.1%，显著高于基线17.7%的平均水平。我们进一步发现，不同角色的安全性能差异显著，并与人口统计和性格等角色特征密切相关。利用这些见解，我们证明我们的机器学习模型能够以0.81的F1分数识别安全性较低的角色。这种预测能力对平台有益，能够促进更安全的交互机制、角色搜索/推荐和角色创建。总体而言，这些结果和发现为提升平台治理和内容审核以实现更安全的AI角色平台提供了宝贵的见解。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f575-paper.pdf

28、Better Safe than Sorry: Uncovering the Insecure Resource Management in App-in-App Cloud Services

在应用内应用生态系统中，超级应用为小程序开发者提供了访问各种敏感云服务的权限，如云数据库和云存储。这些服务使小程序开发者能够在超级应用服务器上高效地存储和管理小程序数据。为保护这些敏感资源，超级应用实施了身份管理机制，允许小程序开发者验证用户身份，确保只有授权和受信任的用户才能访问特定资源。然而，小程序开发者在资源管理实施中存在缺陷，可能导致敏感资源暴露给攻击者。在本文中，我们首次对应用内应用生态系统中的不安全云资源管理进行了系统性研究。我们设计并实现了一个名为ICREMiner的工具，该工具结合静态分析和动态探测技术，评估了在四个超级应用平台上访问应用内应用云服务的22,695个真实小程序的安全影响。研究结果显示，2,815个小程序（12.40%）受到不安全资源管理的影响，涉及8,062个不安全的云操作。我们发现一些知名企业的小程序也容易受到这些风险的威胁。此外，我们对该漏洞可能造成的重要安全危害进行了深入分析，例如允许攻击者窃取敏感用户信息和免费消费。作为回应，我们向超级应用平台和相应的小程序开发者进行了负责任的漏洞披露。我们还提供了几种缓解策略，帮助他们解决这些漏洞。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s194-paper.pdf

29、Beyond Conventional Triggers: Auto-Contextualized Covert Triggers for Android Logic Bombs

静态分析、模糊测试和基于学习的检测方面的最新进展显著提高了对触发型恶意软件的防御能力；然而，这些方法大多假设触发条件在语义上是明确的或与应用逻辑可区分的。在本文中，我们提出了SensorBomb，一种新颖的逻辑炸弹框架，它通过自动上下文化触发器和嵌入式传感器-执行器隐蔽信道利用了这一假设。SensorBomb不依赖于模糊或罕见的触发条件，而是构建与宿主应用的合法传感器使用、执行器行为和功能上下文紧密对齐的触发器，使其与良性行为无法区分。为此，SensorBomb自动分析宿主应用以选择兼容的传感器、执行器和敏感操作，构建隐蔽触发信道，并动态调整触发模式以逃避静态分析、模糊测试、传感器状态异常检测和用户怀疑。我们实现了三种此类触发器的代表性原型，并在不同设备和环境中进行了评估。结果表明，SensorBomb能够持续规避最先进的检测技术，实现高触发可靠性且无假阳性。对真实APK的大规模注入实验进一步证明，SensorBomb可以在不影响正常应用功能的情况下部署。这项工作揭示了移动恶意软件防御中一个关键且先前未被充分探索的攻击面，并呼吁开发更先进的检测机制。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f348-paper.pdf

30、Beyond Jailbreak: Unveiling Risks in LLM Applications Arising from Blurred Capability Boundaries

LLM应用（即LLM应用程序）利用大语言模型的强大能力为用户提供定制化服务，革新了传统的应用开发模式。尽管日益普及的LLM驱动的应用为用户提供了前所未有的便利，但也带来了新的安全挑战。对于这样一个新兴的生态系统，安全界对LLM应用生态系统的理解尚不充分，特别是对应用自身能力边界的认识。在本文中，我们系统分析了新的开发范式，并定义了LLM应用能力空间的概念。我们还揭示了在现实场景中，由于能力边界模糊而可能产生的超越越狱攻击的新风险，即能力降级和能力升级。为评估这些风险的影响，我们设计并实现了一个LLM应用能力评估框架LLLMApp-Eval。首先，我们在4个平台上收集了应用元数据，并进行了跨平台生态系统分析。然后，我们对4个平台上的199个流行应用和6个开源大语言模型进行了风险评估。我们发现178个（89.45%）应用可能受到影响，这些应用能够执行来自15种以上场景的任务或具有恶意性。我们甚至在研究中发现了17个应用程序，它们直接执行恶意任务，而未应用任何对抗性重写。此外，我们的实验还揭示了提示设计质量与应用稳健性之间的正相关关系。我们发现精心设计的提示能增强安全性，而设计不佳的提示则可能助长滥用。我们希望我们的工作能够激励社区关注LLM应用的现实风险，促进更稳健的LLM应用生态系统的发展。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2941-paper.pdf

31、Beyond Raw Bytes: Towards Large Malware Language Models

恶意软件对关键计算基础设施构成日益增长的威胁，推动了对更先进的检测和分析方法的需求。尽管原始二进制恶意软件分类器显示出潜力，但其功能有限，难以应对长序列建模的挑战。与此同时，大型语言模型（LLMs）在自然语言处理领域的崛起展示了大规模、自监督模型在异构数据集上训练的力量，为众多下游任务提供了灵活的表示。这些模型成功的根源在于其训练数据的大小和质量、神经网络架构的表现力和可扩展性，以及其以自监督方式从未标记数据中学习的能力。在这项工作中，我们迈出了开发大型恶意软件语言模型（LMLMs）的第一步，这是LLMs在恶意软件领域的对应模型。我们解决了这一目标的核心方面，即关于数据、模型、预训练和微调的问题。通过使用语言建模目标预训练恶意软件分类模型，我们能够在各种实际的恶意软件分类任务上将下游性能平均提高1.1%，最高提高28.6%，这表明这些模型可以取代原始二进制恶意软件分类器。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s103-paper.pdf

32、Beyond RTT: An Adversarially Robust Two-Tiered Approach For Residential Proxy Detection

住宅IP代理网络已达到前所未有的规模，但它们通过将流量隐藏在合法的家庭地址背后，支持欺诈、网络抓取和复杂网络攻击等恶意活动，从而构成重大安全风险。现有的检测方法主要依赖于跨层往返时间（RTT）差异，但我们证明这些方法存在根本性缺陷：简单的流量调度攻击可以将检测召回率从99%降至仅8%，使得最先进的技术在面对基本对抗规避时变得不可靠。为解决这一关键漏洞，我们引入了新颖的流量分析和流关联特征，这些特征能够准确捕获网关和中继流量的特性，超越了易受攻击的基于时间的方法。我们进一步开发了CorrTransform，这是一种基于Transformer的深度学习架构，专为最大对抗弹性而设计。这实现了两种互补的检测策略：一种使用工程特征进行高效大规模检测的轻量级方法，以及一种在对抗环境中提供高保证的深度学习方法。我们通过对Bright Data的EarnApp进行为期15个月（900GB）涵盖超过110,000个代理连接的流量数据的综合分析，验证了我们的方法。我们的双层框架使ISP能够以>98%的精确率/召回率识别代理设备，在正常条件下以99%的精确率/召回率分类单个连接，同时在对包括调度、填充和数据包重塑在内的复杂攻击保持>92%的F1分数，而现有方法在这些攻击面前完全失效。对于内容提供商，我们的方法在区分直接流量与代理流量时实现了接近完美的召回率，同时假阳性率<0.2%。这项工作将代理检测从易受攻击的基于时间的方法转变为具有弹性的架构指纹识别，为应对日益增长的恶意住宅代理使用威胁提供了可立即部署的工具。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2086-paper.pdf

33、BINALIGNER: Aligning Binary Code for Cross-Compilation Environment Diffing

二进制差异比对旨在对齐两个二进制文件中对应相同源代码片段的控制流图部分，以用于软件安全分析，如漏洞和抄袭检测任务。先前的工作在跨编译环境场景中效果有限且支持不够灵活。主要原因是它们基于基本块的相似性比较进行匹配。在我们的工作中，我们提出了一种新的二进制级别差异比对方法BINALIGNER，以缓解上述局限性。为了减少对应相同源代码片段的错误匹配和漏匹配的可能性，我们提出了条件松弛策略来寻找候选子图对。为了支持跨编译环境场景中更灵活的二进制差异比对，我们使用指令无关的基本块特征进行子图嵌入生成。我们实现了BINALIGNER，并在四种跨编译环境场景（即跨版本、跨编译器、跨优化级别和跨架构）中进行了实验，以评估其有效性和对不同场景的支持能力。实验结果表明，在大多数场景中，BINALIGNER显著优于最先进的方法。特别是在跨架构场景和跨编译环境场景的多种组合中，BINALIGNER的F1分数平均比基线方法高出65%。使用真实世界漏洞和补丁的两个案例研究进一步证明了BINALIGNER的实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s649-paper.pdf

34、Bit of a Close Talker: A Practical Guide to Serverless Cloud Co-Location Attacks

无服务器计算通过为用户提供一种高效、经济的应用开发和部署方式而无需管理基础设施细节，从而彻底改变了云计算。然而，无服务器云用户仍然容易受到各种类型的攻击，包括微架构侧信道攻击。这些攻击通常依赖于受害者和攻击者实例的物理共存，攻击者需要利用云调度器来实现与受害者的共存。因此，研究无服务器云调度器的漏洞并评估不同无服务器调度算法的安全性至关重要。本研究解决了理解和构建无服务器云中共存攻击的空白问题。我们提出了一个全面的方法论，用于发现无服务器调度算法中的可利用特征，并制定通过正常用户界面构建共存攻击的策略。在我们的实验中，我们成功揭示了可利用的漏洞，并在流行的开源基础设施和微软Azure函数上实现了实例共存。我们还提出了一种缓解策略——双调度器（Double-Dip scheduler），以防御无服务器云中的共存攻击。我们的工作强调了当前云调度器中安全增强的关键领域，为加强无服务器计算环境抵御潜在的共存攻击提供了见解。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1376-paper.pdf

35、BKPIR: Keyword PIR for Private Boolean Retrieval

私有信息检索（Keyword PIR）使用户能够从数据库中检索与特定关键词相关的数据，同时保持查询的私密性。然而，现有的关键词PIR方案难以支持布尔检索模型，而该模型是实际应用中需要术语逻辑组合所必需的。本文提出了一种新颖的关键词PIR方案，利用了同态等值运算的进展。它支持在具有多对多关键词-值映射的数据库上进行隐私保护检索，同时支持布尔运算符以实现表达性搜索逻辑。重要的是，这种扩展保留了经典PIR的核心安全保证。据我们所知，这是首次将关键词PIR与布尔检索模型相结合的工作。实验评估表明，我们的方案实现了与多对多关键词-值数据库中值总数成比例的通信成本降低，同时获得了与值数量线性扩展的聚合查询处理性能提升。这些改进增强了其在隐私保护网络搜索和专利检索等实际应用中的可行性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s536-paper.pdf

36、Bleeding Pathways: Vanishing Discriminability in LLM Hidden States Fuels Jailbreak Attacks

大型语言模型（LLMs）仍然容易受到越狱攻击的威胁，这些攻击利用对抗性提示来规避安全措施。当前的安全微调方法面临两个关键限制。首先，它们往往难以在安全性和实用性之间取得平衡，更强的安全措施往往会过度拒绝无害的用户请求。其次，它们经常忽略隐藏在看似良性任务中的恶意意图，使模型容易受到攻击。我们的工作确定了这些问题的根本原因：在响应生成过程中，LLM区分有害输出和安全输出的能力会减弱。实验证据证实了这一点，揭示出安全响应和有害响应的隐藏状态之间的可分性随着生成过程的推进而降低。这种减弱的辨别力迫使模型在生成过程的更早阶段做出合规性判断，限制了它们识别正在形成的恶意意图的能力，并导致了上述两种失败。为了缓解这一漏洞，我们引入了DEEPALIGN——一种增强LLM安全性的内在防御框架。通过在响应生成的中点应用对比隐藏状态引导，DEEPALIGN放大了有害和良性隐藏状态之间的分离，使生成过程中能够持续进行内在毒性检测和干预。此外，它有助于对有害查询提供上下文适当的安全响应，从而扩展安全响应的可行空间。评估结果表明了DEEPALIGN的有效性。在跨越不同架构和规模的多样化LLM中，它将九种不同越狱攻击的成功率降低到接近零或最低水平。重要的是，它在保持模型能力的同时减少了过度拒绝。配备DEEPALIGN的模型在拒绝具有挑战性的良性查询时，错误率降低了高达3.5%，并且标准任务性能下降不到1%。这标志着在安全-效用帕累托前沿方面取得了重大进展。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f4-paper.pdf

37、BLERP: BLE Re-Pairing Attacks and Defenses

蓝牙低功耗(BLE)是一种无处不在的无线技术，被数十亿设备用于交换敏感数据。根据蓝牙核心规范v6.1的定义，BLE的安全性依赖于两个主要协议：配对协议，用于建立长期密钥；以及会话建立协议，用于使用新的会话密钥加密通信。尽管标准允许已配对设备重新配对以协商新的安全级别，但这种机制的安全影响仍未被探索，尽管存在设备伪装和中间人(MitM)攻击的相关风险。我们分析了标准v6.1中定义的BLE重新配对机制，并确定了六个设计漏洞，其中包括四个新发现的漏洞，如未经验证的重新配对和安全级别降级。这些漏洞是设计缺陷，影响任何使用配对的符合标准的BLE设备，无论其蓝牙版本或安全级别如何。我们还提出了四种利用这些漏洞的新型重新配对攻击，我们称之为BLERP。这些攻击能够以最小或无需用户交互(一键或零点击)的方式实现设备伪装和中间人攻击。我们的攻击是首个针对BLE重新配对的攻击，利用了BLE配对与会话建立之间的相互作用，并滥用了SMP安全请求消息。我们开发了一个新型工具包，实现了我们的攻击并支持BLE配对的测试，包括端到端的中间人攻击。重现该工具包仅需低成本硬件(nRF52)和开源软件(Mynewt、NimBLE和Scapy)。我们的大规模评估展示了攻击对22个目标的影响，包括15个BLE主机、12个BLE控制器、高达5.4版本的蓝牙以及最安全的配置(SC、SCO和认证配对)。在我们的实验中，我们还发现了影响Apple、Android和NimBLE BLE栈的实现重新配对漏洞。我们实施并评估了两种互补的缓解措施：一种向后兼容的重新配对逻辑加固方案，供应商可立即部署；以及一种认证重新配对协议，从设计上解决了这些攻击。我们通过实证验证了加固重新配对的有效性，并使用ProVerif形式化建模和验证了认证重新配对。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f121-paper.pdf

38、Breaking Isolation: A New Perspective on Hypervisor Exploitation via Cross-Domain Attacks

虚拟机监控程序面临关键内存安全漏洞的威胁，其中指针损坏是最普遍和最严重的形式之一。现有的利用框架依赖于识别宿主机中的高度受限结构并准确确定其运行时地址，但在虚拟机监控程序环境中，此类结构稀少且被地址空间布局随机化(ASLR)进一步混淆，因此这种方法无效。我们观察到现代虚拟化环境存在弱内存隔离问题——客户机内存完全由攻击者控制，但可从宿主机访问，这为利用提供了可靠的原始基础。基于这一观察，我们首次对跨域攻击(CDA)进行了系统性的特征描述和分类，这是一类通过重用客户机内存实现能力提升的利用技术。为自动化这一过程，我们开发了一个系统，用于识别跨域小工具，将其与损坏的指针匹配，合成触发输入，并组装完整的利用链。我们在QEMU和VirtualBox的15个真实世界漏洞上的评估表明，CDA具有广泛的适用性和有效性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f376-paper.pdf

39、Breaking the Bulkhead: Demystifying Cross-Namespace Reference Vulnerabilities in Kubernetes Operators

Kubernetes Operator是一种旨在管理Kubernetes集群内应用生命周期的自动化工具，它扩展了Kubernetes的功能，并减轻了人类工程师的操作负担。虽然Operator显著简化了DevOps工作流程，但也引入了新的安全风险。特别是，Kubernetes强制执行命名空间隔离以分离工作负载并限制用户访问，确保用户只能与其授权命名空间内的资源交互。然而，Kubernetes Operator通常需要提升的权限，并且可能与多个命名空间中的资源交互。这引入了一类新的漏洞——跨命名空间引用漏洞。其根本原因在于资源声明的范围与Operator逻辑实现范围之间的不匹配，导致Kubernetes无法正确隔离命名空间。利用此类漏洞，具有单个授权命名空间有限权限的攻击者可能利用Operator执行影响其他未授权命名空间的操作，导致权限提升及其他进一步影响。据我们所知，本文是首个系统性研究Kubernetes Operator攻击的论文。我们提出了跨命名空间引用漏洞及其两种攻击策略，展示了攻击者如何绕过命名空间隔离。通过大规模测量，我们发现野外环境中超过14%的Operator可能存在漏洞。我们的发现已报告给相关开发者，截至投稿时已获得8项确认和7个CVE编号，影响了包括Kubernetes发明者谷歌和Operator发明者红帽在内的供应商，这凸显了增强Kubernetes Operator安全实践的迫切需求。为缓解此问题，我们开源了静态分析工具套件，并提出了具体的缓解措施以造福整个生态系统。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f761-paper.pdf

40、Breaking the Generative Steganography Trilemma: ANStega for Optimal Capacity, Efficiency, and Security

生成式隐写术在隐蔽通信方面展现出巨大潜力，然而现有方法常受限于容量、效率和安全性三者的权衡困境。基于霍夫曼编码（HC）的方法效率低下且安全性不足，而基于算术编码（AC）的方法虽能实现最优容量，但也存在安全风险。尽管近期已有可证明安全的方法解决了安全问题，但往往以增加嵌入复杂度或降低容量为代价——无法达到基于AC方法的高容量水平。为解决这一三重困境，我们将非对称数值系统（ANS）应用于隐写术。我们的核心洞见是重新利用ANS状态机，将其解码函数用于嵌入，编码函数用于提取。为将这一概念转化为实用系统，我们引入了几项关键创新。首先，我们采用流式架构结合状态重归一化，以实现任意长度消息的稳定嵌入。其次，我们采用直接浮点运算，避免高概率到频率的转换，从而降低复杂度和精度损失。更重要的是，我们引入了一种创新的密码学掩码机制，确保采样过程由密码学安全的伪随机数生成器驱动，从而实现可证明的安全性。最后，通过将核心计算优化为高效的位移操作，ANStega实现了卓越的嵌入和提取速度。实验结果验证了ANStega同时实现了最优嵌入容量、最优效率（O(1)嵌入复杂度）和最优安全性，成功解决了生成式隐写术中长期存在的三重困境。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f605-paper.pdf

41、BSFuzzer: Context-Aware Semantic Fuzzing for BLE Logic Flaw Detection

蓝牙低功耗（BLE）已成为现代互联设备的基础通信标准。然而，其复杂设计引入了微妙的逻辑缺陷，如字段误解或无效状态转换，这些缺陷可能导致身份验证绕过、未经授权的控制或拒绝服务（DoS）攻击。这些问题常常逃避传统的模糊测试和形式化分析。为解决这一差距，我们提出了BSFuzzer，一种基于蓝牙核心规范指导的、黑盒的、上下文感知的语义模糊测试框架。BSFuzzer利用大型语言模型（LLM）代理来语义解析蓝牙规范，从文本、图表和上下文中提取状态机和数据包语义。然后生成两种类型的变异：协议规则的字段级违规和关键转换的状态级破坏。这些变异被组合成结构化测试序列并在目标设备上执行。LLM代理进一步用于验证响应是否符合预期行为，从而能够检测传统模糊测试器无法触及的微妙逻辑缺陷。我们在19个真实的BLE设备上评估了BSFuzzer，包括9个系统级芯片（SoC）模块和10部智能手机。它发现了36个安全问题，其中包括34个先前未知的漏洞，其中9个已获得CVE标识符。两个关键漏洞通过漏洞赏金计划被一家主要供应商认可。实验结果表明，BSFuzzer在基于LLM的规范分析（高达97%）和响应验证（高达85.8%）方面均达到高准确率，证明了其在语义提取和提升模糊测试性能方面的有效性。与四种最先进的BLE漏洞检测工具相比，BSFuzzer实现了9.34%更高的代码覆盖率，并暴露了更广泛的漏洞类别，证明了其在发现BLE协议实现中深层解释不一致方面的有效性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f94-paper.pdf

42、Bullseye: Detecting Prototype Pollution in NPM Packages with Proof of Concept Exploits

原型污染是JavaScript中的一个关键安全漏洞，特别是在Node.js包和应用程序中，攻击者可以操纵全局对象原型并向所有继承自该原型的对象注入恶意属性。最先进的静态和动态方法在检测此漏洞方面面临显著限制，无论是在准确性还是效率方面。静态方法难以识别不可利用的漏洞（例如，由于缺少带有预防机制的代码上下文），导致高误报率，同时还存在可扩展性问题。动态方法由于能够访问运行时信息，因此误报率较低；然而，由于代码可达性低（例如，由于使用了不适当的参数类型/值），其漏报率可能很高。在本文中，我们提出了Bullseye，一个全自动化动态分析框架，可对Node.js包中的原型污染漏洞提供经过验证且可扩展的分析。Bullseye的创新方法结合了广泛的入口点覆盖、上下文感知的漏洞生成和双运行时验证预言机。我们使用包测试套件中开发者提供的输入，以及从先前工作中提取的原型污染相关漏洞利用输入。然后，我们使用相关的漏洞利用输入候选执行每个入口点，并观察运行时以检测原型污染的迹象。我们在不到8小时内分析了44,513个高流行度的Node.js包（每周下载量超过10,000次）以及5,879个每周下载量较低的包。我们在290个包中检测到了零日原型污染漏洞，且没有误报。我们已负责任地向各包维护者披露了所有发现，并附带了概念验证漏洞利用代码。截至2025年7月22日，我们总共被分配了149个CVE；其中，66个已公开，25个被评为严重级别，34个被评为高危级别。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s211-paper.pdf

43、BunnyFinder: Finding Incentive Flaws for Ethereum Consensus

以太坊作为领先的区块链平台，依赖激励机制来提高其稳定性。最近，针对这些激励机制已出现多种攻击手段，例如所谓的重组攻击，这种攻击会导致诚验证者提出的区块被丢弃。在重组攻击中，诚验证者获得的奖励低于其应得的份额。然而，发现这些攻击严重依赖专业知识，且可能需要大量人工工作。我们提出了proto，一个只需少量人工工作即可发现以太坊激励缺陷的框架。proto受故障注入启发，这是一种在软件测试中常用的发现实现漏洞的技术。与发现实现漏洞不同，我们的目标是发现设计缺陷。我们的主要技术贡献包括一个精心设计的"策略生成器"，可生成大量攻击实例；一个自动工作流程，用于发起攻击并分析结果；以及一个集成了强化学习的工作流程，用于微调攻击参数并识别最具盈利能力的攻击。我们使用该框架模拟了总计7,991个攻击实例，并得出以下结果：首先，我们的框架重现了五种先前通过人工方式发现的已知激励攻击；其次，我们发现了三种可归类为激励缺陷的新攻击；最后且令人惊讶的是，我们的一个实验还发现了两个实现漏洞。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s281-paper.pdf

44、Cache Me, Catch You: Cache Related Security Threats in LLM Serving Frameworks

大型语言模型（LLMs）正在迅速重塑数字交互方式。其性能和效率高度依赖于先进的缓存机制，如前缀缓存和语义缓存。然而，这些机制引入了新的攻击面。与以往专注于训练阶段LLMs投毒攻击的研究不同，本文首次对LLM推理阶段出现的缓存相关安全风险进行了全面研究。我们对主流LLM服务框架中的缓存实现进行了系统性研究，随后确定了六种新型攻击向量，分为两类：（1）面向用户的欺诈攻击，通过前缀缓存碰撞和语义模糊投毒来操纵缓存条目，向用户传递恶意内容；（2）系统完整性攻击，利用缓存漏洞绕过安全检查，例如使用分块或多模态碰撞来规避内容审核。我们在领先的开源框架上验证了这些攻击向量，并评估了其影响和成本。此外，我们提出了五种多层防御策略并评估了其有效性。我们向受影响的供应商（包括vLLM、SGLang、GPTCache、AIBrix、rtp-llm和LMDeploy）负责任地披露了我们的发现。所有供应商都已确认这些漏洞，值得注意的是，vLLM、GPTCache和AIBrix已采纳我们提出的缓解方法并修复了其漏洞。我们的研究结果强调了在快速扩展的LLM生态系统中保护缓存基础设施的重要性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2812-paper.pdf

45、Cascading and Proxy Membership Inference Attacks

成员推理攻击（MIA）通过确定特定查询实例是否包含在数据集中，来评估训练好的机器学习模型对其训练数据的揭示程度。根据攻击者是否被允许在成员查询上训练影子模型，我们将现有的MIA分为自适应或非自适应两类。在自适应设置中，攻击者在访问查询实例后可以训练影子模型，我们强调了利用实例间成员依赖关系的重要性，并提出了一种称为级联成员推理攻击（CMIA）的攻击无关框架，该框架通过条件影子训练整合成员依赖关系，以提高成员推理性能。在非自适应设置中，攻击者被限制在获取成员查询前训练影子模型，我们引入了代理成员推理攻击（PMIA）。PMIA采用代理选择策略，识别与查询实例行为相似的样本，并利用它们在影子模型中的行为进行成员后验概率测试以执行成员推理。我们为这两种攻击提供了理论分析，大量实验结果表明，在两种设置下，CMIA和PMIA都显著优于现有的MIA，特别是在低假阳性区域，这对于评估隐私风险至关重要。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s661-paper.pdf

46、CAT: Can Trust be Predicted with Context-Awareness in Dynamic Heterogeneous Networks?

信任预测为决策制定、风险缓解和系统安全增强提供了有价值的支持。最近，图神经网络（GNN）已成为一种有前景的信任预测方法，因为它能够学习能够捕捉网络内复杂信任关系的 expressive 节点表示。然而，当前基于GNN的信任预测模型面临几个局限性：（i）大多数模型无法捕捉信任的动态性，导致推理结果存疑。（ii）它们很少考虑现实网络的异构性，导致丰富语义的丢失。（iii）它们都不支持上下文感知性，这是信任的基本属性，使得预测结果变得粗糙。为此，我们提出了CAT，这是第一个支持信任动态性并能准确表示现实世界异构性的基于GNN的上下文感知信任预测模型。CAT包含图构建层、嵌入层、异构注意力层和预测层。它使用连续时间表示处理动态图，并通过时间编码函数捕捉时间信息。为了建模图的异构性并利用语义信息，CAT采用双重注意力机制，识别不同节点类型以及每种类型内节点的重要性。为了实现上下文感知，我们引入了元路径的新概念来提取上下文特征。通过构建上下文嵌入和集成上下文感知聚合器，CAT可以预测上下文感知信任和整体信任。在三个真实数据集上的广泛实验表明，CAT在信任预测方面优于五组基线方法，同时展现出对大规模图的强大可扩展性以及对信任导向和GNN导向攻击的鲁棒性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2171-paper.pdf

47、CatBack: Universal Backdoor Attacks on Tabular Data via Categorical Encoding

机器学习中的后门攻击因其能够秘密破坏模型而引起了广泛关注，但大多数研究都集中在图像等 homogeneous 数据上。在这项工作中，我们提出了一种针对表格数据的新型后门攻击，由于同时存在数值和分类特征，这种攻击尤其具有挑战性。我们的核心思想是一种新颖的将分类值转换为浮点表示的技术。与传统方法如独热编码或序数编码相比，这种方法保留了足够的信息以保持干净模型的准确性。通过这种方法，我们创建了一种基于梯度的通用扰动，适用于所有特征，包括分类特征。我们在五个数据集和四种流行模型上评估了我们的方法。结果表明，在白盒和黑盒设置（包括 Vertex AI 等实际应用）中，攻击成功率高达100%，揭示了表格数据存在严重漏洞。我们的方法在性能上超越了先前的工作（如 Tabdoor），同时能够躲避最先进的防御机制。我们针对频谱签名、神经网络净化、Beatrix 和精细剪枝等防御方法评估了我们的攻击，所有这些方法都无法成功防御。我们还验证了我们的攻击能够成功绕过流行的异常检测机制。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1469-paper.pdf

48、Causal-Guided Detoxify Backdoor Attack of Open-Weight LoRA Models

低秩适应（LoRA）已成为微调大型语言模型（LLMs）的有效方法，并在开源社区中得到广泛应用。然而，通过Hugging Face等平台分发LoRA适配器会带来新的安全漏洞：恶意适配器可以轻易传播并规避传统监督机制。尽管存在这些风险，针对基于LoRA的微调的后门攻击研究仍然相对不足。现有的后门攻击策略并不适用于此场景，因为它们通常依赖于无法获取的训练数据，未能考虑LoRA特有的结构特性，或遭受高误触发率（FTR），从而损害了其隐蔽性。为应对这些挑战，我们提出了因果引导的去毒化后门攻击（CBA），这是一种专为开源权重LoRA模型设计的新型后门攻击框架。CBA无需访问原始训练数据，并通过两项关键创新实现高度隐蔽性：（1）一种覆盖引导的数据生成流程，通过行为探索合成任务对齐的输入；（2）一种因果引导的去毒化策略，通过保留任务关键神经元合并中毒和干净的适配器。与先前方法不同，CBA能够基于因果影响进行权重分配，实现训练后的攻击强度控制，无需重复重新训练。在六个LoRA模型上的评估表明，CBA实现了高攻击成功率，同时将FTR比基线方法降低50-70%。此外，它对最先进的后门防御表现出更强的抵抗力，凸显了其隐蔽性和鲁棒性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f168-paper.pdf

49、Cease at the Ultimate Goodness: Towards Efficient Website Fingerprinting Defense via Iterative Mutual Information Minimization

针对日益增长的网络隐私威胁，Tor网络通过去中心化、加密的基础设施路由流量，提供了针对监控的重要保护。然而，网站指纹攻击（WFA）对Tor的匿名性构成了严峻挑战。本文介绍了FRUGAL，一种利用网站流量与标签之间的互信息（MI）减少作为优化目标的流量混淆方法，为网站指纹防御（WFD）研究提供了新的视角。FRUGAL通过在最能累积减少互信息的位置 strategically 注入虚拟数据包，与最先进的（SOTA）防御机制相比取得了显著性能。它能在有效降低各种攻击模型下的攻击成功率（ASR）的同时，保持最小的带宽开销（BWO），并减轻对抗训练的影响。大量实验验证了FRUGAL在包括封闭世界、开放世界和真实世界模拟环境在内的各种场景中的有效性。例如，在封闭世界环境中，FRUGAL将DF模型的ASR降低至2.68%，带宽开销为30%，显著优于之前的SOTA防御方法，如Palette（11.54%的ASR，87%的BWO）。当FRUGAL的BWO增加到可比的80%水平时，ASR进一步降至1%以下，显示出显著的鲁棒性，即使在对抗训练后仍保持在9.42%，而Palette则为20.27%。这项研究不仅为WFD研究提供了新视角，还将FRUGAL确立为对抗WFA的强大通用防御框架。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f786-paper.pdf

50、CELLSHIFT: RTT-Aware Trace Transduction for Real-World Website Fingerprinting

网站指纹识别是一种隐私攻击，攻击者通过机器学习预测用户通过Tor网络访问的网站。近期研究提出使用Tor出口中继可测量的用户自然交互的"真实"模式或轨迹来评估WF攻击，但这些轨迹并不能准确反映入口侧WF攻击者所观察到的模式。在本文中，我们提出了将出口轨迹转换为入口轨迹的新方法，以便更准确地估计WF对实际Tor用户构成的风险。我们的方法利用轨迹时间戳和元数据提取多次往返时间估计，并使用它们将"转换"轨迹到目标观察点的视角。通过广泛评估，我们证明我们的方法在多个合成和真实数据集上均优于现有技术，且效率显著提高；它们使研究人员能够更准确地代表入口侧WF攻击者面临的现实挑战，并生成增强数据集，使攻击者能够提升现有WF攻击的性能。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1004-paper.pdf

51、CHAMELEOSCAN: Demystifying and Detecting iOS Chameleon Apps via LLM-Powered UI Exploration

变色龙应用在提交时展示合法功能以规避iOS应用商店审核，然后在安装后转变为非法版本。尽管这类应用普遍存在，但其底层转换方法和开发者-用户合谋机制仍鲜为人知。现有检测方法受限于静态分析或元数据依赖，对混合实现、新型变种或元数据稀缺实例无效。为解决这些局限，我们通过隐蔽渠道收集了500个iOS变色龙应用，构建了一个精心策划的数据集，系统识别出10种不同的转换模式（包括4种先前未记录的变种）。基于这些发现，我们提出了ChameleoScan，这是首个用于可靠验证变色龙应用的LLM驱动自动化UI探索框架。该系统通过其核心创新——预测性元数据分析、语义界面理解和类人交互策略，在保持本地决策可解释性的同时确保全局检测一致性。对1,644个iOS应用的全面评估展示了其操作效能（9.85%检测率，92.59%精确度），且研究结果已获Apple正式认可。实现代码和数据集可在https://github.com/ChameleoScan获取。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1906-paper.pdf

52、Character-Level Perturbations Disrupt LLM Watermarks

大型语言模型（LLM）水印已成为一种有前景的版权保护、滥用预防和机器生成内容检测技术。它在LLM生成过程中注入可检测信号，使相应的检测器能够进行后续识别。为了评估水印方案的鲁棒性，现有研究通常采用水印移除攻击，旨在通过修改水印文本来擦除嵌入的信号。然而，我们揭示现有水印移除攻击并非最优，这导致了一种误解，即有效的水印移除要么需要大的扰动预算，要么需要攻击者具备强大的能力，例如对目标LLM或其水印检测器进行无限查询。对移除攻击能力的系统性审视以及更复杂技术的发展在很大程度上仍未得到充分探索。因此，现有水印方案的鲁棒性可能被高估。为了填补这一空白，我们首先形式化了LLM水印的系统模型，并描述了两种受限于对水印检测器访问有限的真实威胁模型。然后我们分析了不同类型的扰动在其攻击范围上的差异，即单次编辑能够影响的标记数量。我们观察到，字符级扰动（如拼写错误、交换、删除、同形异义字）通过破坏标记化过程可以同时影响多个标记。我们证明，在最严格的威胁模型下，字符级扰动相比标记级或句子级方法在移除水印方面显著更有效。我们进一步提出了基于遗传算法（GA）的引导式移除攻击，该算法使用参考检测器进行优化。在具有对水印检测器有限黑盒查询的实际威胁模型下，我们的方法展示了强大的移除性能。在五个代表性水印方案和两个广泛使用的LLM上的实验一致证实了字符级扰动的优越性以及参考检测器引导的GA在现实约束下移除水印的有效性。此外，我们认为在考虑潜在防御时存在一种对抗困境：任何固定防御都可以通过适当的扰动策略绕过。基于这一原则，我们提出了一种自适应复合字符级攻击。实验结果表明，这种方法可以有效防御现有防御。我们的研究突显了现有LLM水印方案中的重大漏洞，并强调了开发新型鲁棒机制的紧迫性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s138-paper.pdf

53、Characterizing the Implementation of Censorship Policies in Chinese LLM Services

从中国防火墙实施的网络级审查，到TOM-Skype和微信等第三方服务实施的特定平台机制，中国的互联网审查一直在随着新技术的发展而不断演变。在当前的AI时代，像大语言模型（LLMs）这样的新兴工具也不例外。然而，确保符合中国严格的法定审查标准，对服务提供商来说是一项独特而复杂的挑战。虽然目前关于大语言模型内容审核的研究主要集中在对齐技术上，但这些技术缺乏可靠性，无法充分满足严格执行的信息管控要求。在这项工作中，我们首次对嵌入中文大语言模型（LLM）服务中的显性屏蔽进行了研究。我们利用活跃聊天会话期间服务器与客户端之间通信中的信息泄露，旨在找出屏蔽决策在LLM服务工作流程中的嵌入位置。我们观察到，百度文心一言、DeepSeek、豆包、Kimi和通义千问等知名服务持续依赖传统、过时的屏蔽策略。我们发现屏蔽设置在输入、输出和搜索阶段，后两个阶段会向客户端机器泄露不同数量的被审查信息，包括近乎完整的回复和未在浏览器中呈现的搜索参考内容。鉴于有必要在全球舞台上的竞争与本土审查限制之间取得平衡，我们实时观察到托管模型的服务提供商在自我矛盾中做出的让步。通过这项工作，我们强调了构建更全面的大语言模型（LLM）内容可访问性威胁模型的重要性，该模型应整合实时部署，以研究与现实世界使用相关的访问情况，特别是在审查严格的地区。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1761-paper.pdf

54、Chasing Shadows: Pitfalls in LLM Security Research

大型语言模型(LLMs)在安全研究中日益普及。然而，它们的独特特性引入了一些挑战，这些挑战削弱了可重复性、严谨性和评估的既定范式。先前的工作已经确定了传统机器学习研究中的常见陷阱，但这些研究早于LLMs的出现。在本文中，我们确定了九种常见的陷阱，这些陷阱随着LLMs的出现而变得(更加)相关，并且可能损害涉及它们的研究的有效性。这些陷阱贯穿整个计算过程，从数据收集、预训练和微调到提示和评估。我们评估了这些陷阱在2023年至2024年间所有72篇发表在顶级安全和软件工程会议上的同行评审论文中的普遍性。我们发现每篇论文至少包含一个陷阱，且每个陷阱出现在多篇论文中。然而，只有15.7%的当前陷阱被明确讨论，表明大多数陷阱仍未被认识到。为了了解它们的实际影响，我们进行了四个实证案例研究，展示了个别陷阱如何误导评估、夸大性能或损害可重复性。基于我们的发现，我们提供了可行的指导方针，以支持社区未来的工作。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1749-paper.pdf

55、Chimera: Harnessing Multi-Agent LLMs for Automatic Insider Threat Simulation

内部威胁可导致不可接受的损失，是一种普遍且重要的安全问题，因此其检测至关重要。近年来，基于机器学习的内部威胁检测（ITD）方法已被提出并取得了有前景的结果。尽管取得了这些成功，但一个主要挑战——数据不足——限制了这些ITD方法的进一步发展。矛盾之处在于，企业内部数据高度敏感且通常无法获取，而公共数据集要么在现实世界覆盖方面有限，要么在合成数据的情况下缺乏丰富的语义信息和真实的行为模式。因此，构建真实的内部威胁数据集至关重要。为应对这一挑战，我们提出了Chimera，这是首个基于大型语言模型（LLM）的多智能体框架，可自动模拟良性和恶意内部活动，并收集跨不同企业环境的日志。基于对组织构成和结构特征的分析，Chimera通过详细的角色建模定制每个LLM智能体以代表单个员工，并与小组会议、成对互动和自组织调度等模块相结合。通过这种方式，Chimera能够准确反映真实企业运营的复杂性。Chimera的当前版本包含15种不同类型的手工抽象内部攻击，如知识产权盗窃和系统破坏。使用Chimera，我们在三种典型的数据敏感型组织场景（包括科技公司、金融机构和医疗机构）中模拟良性和攻击活动，并生成了一个名为ChimeraLog的新数据集，以促进基于机器学习的ITD方法的发展。为评估ChimeraLog的质量和真实性，我们进行了全面的人类研究和定量分析。结果表明该数据集具有多样性和真实性。进一步的专业分析突显了真实威胁模式的存在以及可解释的活动轨迹。此外，我们在ChimeraLog上评估了现有内部威胁检测方法的有效性。平均F1得分为0.83，显著低于在基准数据集CERT上观察到的0.99分，从而说明了ChimeraLog在威胁检测任务中带来的更大难度。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f375-paper.pdf

56、Cirrus: Performant and Accountable Distributed SNARK

简洁非交互式知识论证（SNARKs）能够在许多应用中实现计算的高效验证。然而，为大规模任务（如可验证机器学习或虚拟机）生成SNARK证明在计算上仍然昂贵。一种有前景的方法是将证明生成工作负载分布在多个工作节点上。一个实用的分布式SNARK协议应具有三个特性：水平扩展性且开销低（每个工作节点线性计算和对数级通信）、可追责性（高效检测恶意工作节点）以及与电路和工作节点数量无关的通用可信设置。现有协议无法同时实现所有这些特性。在本文中，我们提出了Cirrus，这是首个同时实现所有三种理想特性的分布式SNARK生成协议。我们的协议基于HyperPlonk（EUROCRYPT'23），继承了其通用可信设置。它实现了工作节点和协调器的线性计算复杂度，同时具有低通信开销。为实现可追责性，我们引入了一种高效的追责协议来定位恶意工作节点。此外，我们提出了一种分层聚合技术，以进一步减少协调器的工作负载。我们在硬件适中的机器上实现并评估了Cirrus。实验表明，Cirrus具有高度可扩展性：使用32台8核机器，在40秒内即可为拥有3300万门电路的证明生成。与最先进的可追责协议Hekaton（CCS'24）相比，Cirrus在PLONK友好型电路（如Pedersen哈希）上的证明生成速度提高了7倍以上。我们的追责协议也能在4秒内高效识别出故障工作节点，使Cirrus特别适用于去中心化和外包计算场景。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f668-paper.pdf

57、CoLD: Collaborative Label Denoising Framework for Network Intrusion Detection

标签噪声在网络入侵检测中构成了重大挑战，导致错误分类和检测准确率下降。处理噪声标签的现有方法通常缺乏对网络流量的深入洞察，盲目重建标签分布以过滤带有噪声标签的样本，从而造成次优性能。本文从因果关联的角度揭示了噪声标签对入侵检测模型的影响，将性能下降归因于网络流量中跨类别的局部特征一致性。受此启发，我们提出了CoLD，一个用于网络入侵检测的协同标签去噪框架。CoLD将原始特征集划分为多个子集，采用局部联合学习来破坏局部一致性，迫使编码器学习细粒度和鲁棒的表示。它进一步应用因果协同去噪，通过分析多种表示与其潜在真实标签之间的因果差异来检测和过滤噪声标签，从而生成一个经过净化的数据集用于训练抗噪声分类器。在多个基准数据集上的实验表明，CoLD有效提升了分类性能和对标签噪声的鲁棒性，凸显了其在增强嘈杂环境中网络入侵检测系统的潜力。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1950-paper.pdf

58、Connecting the Dots: An Investigative Study on Linking Private User Data Across Messaging Apps

移动消息应用已成为日常交流的重要组成部分，拥有庞大的用户基础（例如，Telegram超过9.5亿用户，KakaoTalk达4870万用户）。为提升用户参与度和扩大用户规模，消息应用提供了丰富多样的上下文相关和平台特定功能，如附近用户搜索、联系人发现以及基于单点登录（SSO）的账户链接。虽然这些功能使用户能够在单个移动设备上使用多种消息应用，但它们也带来了跨多个消息应用链接私人用户信息的隐私风险，这一问题尚未得到充分研究。本文对韩国广泛使用的消息应用（包括KakaoTalk、Telegram、WhatsApp、Signal和Tinder）中的隐私威胁进行了深入分析，展示了利用联系人发现、基于SSO的账户链接和附近用户搜索功能的具体攻击实例，这些攻击会损害用户隐私。更重要的是，我们将这些攻击串联起来，实施了首个跨平台链接攻击，使攻击者能够去匿名化用户名，并推断大量非目标用户和目标用户的物理位置，平均误差范围为324米。我们的研究结果表明，保障联系人发现的安全性至关重要，因为宽松的联系人发现政策允许攻击者利用电话号码和个人资料图片作为链接键，跨多个消息应用连接私人用户信息。我们讨论并提出了缓解策略以减轻所呈现的威胁。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s556-paper.pdf

59、Consensus in the Known Participation Model with Byzantine Faults and Sleepy Replicas

我们研究了已知参与模型中的一致性问题，该模型同时存在拜占庭故障和休眠副本，其中诚实副本可能不可预测地进入休眠状态，且副本知道最少活跃诚实副本的数量。我们的主要贡献是对这种混合故障模型中的一致性问题进行了细粒度处理。首先，我们提出了一个同步原子广播协议，其期望延迟为$5Delta+2delta$，最佳情况延迟为$2Delta+2delta$，其中$Delta$是网络延迟的上界，$delta$是实际网络延迟。其次，在部分同步网络中（$Delta$值未知），我们表明可以使传统的拜占庭容错(BFT)协议容忍休眠副本，但必须做出稳定存储假设（副本需要将中间共识参数存储在稳定存储中）。最后，在部分同步网络但不假设稳定存储的情况下，我们展示了关于副本总数$n$、拜占庭副本最大数量$f$和同时休眠副本最大数量$s$之间关系的几个界限。利用这些界限，我们将HotStuff (PODC'19)转化为一个能够容忍休眠副本而不牺牲性能的协议。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s448-paper.pdf

60、Constructive Noise Defeats Adversarial Noise: Adversarial Example Detection for Commercial DNN Services

商业深度神经网络服务已以机器学习即服务（MLaaS）的形式发展起来。为缓解对抗样本的潜在威胁，已提出了各种检测方法。然而，现有方法通常需要访问目标模型的细节或训练数据集，这在MLaaS场景中通常不可用。在无法获取目标模型细节或训练数据集的情况下，这些方法的检测准确率会显著下降。在本文中，我们提出了Falcon，一种由第三方提供的对抗样本检测方法，能够同时实现准确性和效率。基于干净样本和对抗样本在噪声容忍度上的差异，我们探索了一种建设性噪声，这种噪声添加到干净样本中不会影响模型的输出标签，但当添加到对抗样本中时，会导致模型输出发生明显变化。对于每个输入，Falcon生成具有特定分布和强度的建设性噪声，并通过添加建设性噪声前后目标模型输出的差异来实现检测。我们在4个公共数据集上进行了大量实验，以评估Falcon在检测10种典型攻击时的性能。Falcon优于最先进的检测方法，实现了对抗样本的最高真阳性率（TPR）和干净样本的最低假阳性率（FPR）。此外，Falcon在6个知名商业深度神经网络服务上实现了约80%的TPR和5%的FPR，性能优于最先进的方法。即使对手完全了解检测细节，Falcon也能保持其准确性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s250-paper.pdf

61、Continuous User Behavior Monitoring using DNS Cache Timing Attacks

域名系统（DNS）是互联网的核心组成部分。客户端查询DNS服务器以将域名转换为IP地址。本地DNS缓存减少了查询DNS服务器所需的时间，从而降低了连接尝试的延迟。先前的研究表明，可以通过时序攻击利用DNS缓存来测试用户最近是否访问过特定网站，但这些研究缺乏驱逐功能，即无法精确监控用户访问网站的时间。其他研究则专注于路由器中的DNS缓存。所有先前的攻击都需要在受害者系统上执行某种形式的代码（例如原生代码、Java或JavaScript），而这并不总是可行的。我们引入了DMT，这是一种新颖的Evict+Reload攻击，可通过本地系统范围的DNS缓存持续监控受害者的互联网访问。DMT的基础是可靠的DNS缓存驱逐：我们提出了4种DNS缓存驱逐技术，用于在无权限和沙盒化原生攻击、虚拟化跨VM攻击以及基于浏览器的攻击（即带有JavaScript的网站和利用网站中字体串行加载的无脚本攻击）中驱逐本地DNS缓存。我们的攻击在默认设置以及使用DNS-over-TLS、DNSSEC或非默认DNS转发器进行安全防护时均有效。在我们的最快驱逐原语下，我们在所有上下文中观察到的平均驱逐时间为77.267毫秒，重新加载和测量时间在最佳情况（跨VM攻击）下为100个域名平均685.86毫秒，在最坏情况（基于JavaScript的攻击）下平均14.710秒。因此，对于五分钟粒度的攻击盲区，在最佳情况下小于0.26%，在最坏情况下为4.92%，这构成了可靠的攻击。在端到端的跨VM攻击中，我们可以在不到一秒的时间内可靠地检测出从103个网站列表（在开放世界场景中）的访问，F1得分为92.48%。在我们的基于JavaScript的攻击中，对于检测10个网站的访问，在有和无DNSSEC的情况下，我们分别实现了82.86%和78.89%的F1分数。我们认为DMT泄露了对敲诈和诈骗活动有价值的信息，或可用于提供针对受害者EDR解决方案的定制化漏洞利用。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2287-paper.pdf

62、Convergent Privacy Framework for Multi-layer GNNs through Contractive Message Passing

差分隐私(DP)已被集成到图神经网络(GNN)中，以保护敏感的结构信息，例如各种应用中的边、节点及相关特征。一种突出的方法是扰动消息传递过程，这是大多数GNN架构的核心。然而，现有方法通常会导致隐私成本随层数线性增长(例如，在Usenix Security'23上发表的GAP)，最终需要添加过多噪声以维持合理的隐私水平。当使用表现优于单层GNN的多层GNN处理包含敏感信息的图数据时，这一局限性尤为突出。在本文中，我们通过将隐私放大技术应用于消息传递过程，并利用标准GNN操作固有的收缩特性，从理论上证明了隐私预算随层数收敛。受此分析启发，我们提出了一种简单而有效的收缩图层(CGL)，它在确保理论保证所需收缩性的同时保留了模型效用。我们的框架CARIBOU支持训练和推理，配备了收缩聚合模块、隐私分配模块和隐私审计模块。实验评估表明，CARIBOU显著改善了隐私-效用权衡，并在隐私审计任务中取得了卓越的性能。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f255-paper.pdf

63、CoordMail: Exploiting SMTP Timeout and Command Interaction to Coordinate Email Middleware for Convergence Amplification Attack

本文介绍了一种名为COORDMAIL的新型且强大的邮件汇聚放大攻击。传统的邮件DoS攻击主要向目标邮箱发送垃圾邮件，对邮件服务器运行的影响有限。相比之下，COORDMAIL利用SMTP协议的固有特性，即长会话超时和客户端控制的交互，巧妙地协调来自各种邮件中间件的反射邮件，最终将它们同时定向到入站邮件服务器。因此，不同邮件中间件的放大能力被集中起来，形成高度放大的攻击流量。从SMTP会话状态机和邮件反射行为出发，我们确定了众多适用于COORDMAIL的现实世界邮件中间件，包括10,079个反弹服务器、584个开放邮件中继和6个邮件转发服务提供商。通过构建SMTP命令序列，COORDMAIL能够以极低的速率与这些中间件保持长时间的SMTP通信，并控制它们在任何给定时刻稳定地反射邮件。我们证明COORDMAIL以低成本高效：1000个SMTP连接可实现超过30,000倍的带宽放大。虽然大多数现有安全机制对COORDMAIL无效，但我们提出了可行的缓解措施，可将COORDMAIL的汇聚放大能力降低数十倍。我们已负责任地向邮件中间件和主流邮件服务提供商报告了COORDMAIL，其中一些已接受我们的建议。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1414-paper.pdf

64、CoT-DPG: A Co-Training based Dynamic Password Guessing Method

密码仍然是主要的身份验证方法，安全界研究密码猜测以增强密码安全性。动态密码猜测持续收集目标信息并在猜测过程中动态拟合分布，从而扩大了威胁。现有方法主要分为两类：动态调整密码策略和基于生成模型的动态生成。然而，这些方法从单一视角拟合目标分布，忽略了不同维度信息之间的互补效应。如果能充分利用多维度信息，动态密码猜解性能将大幅提升，但如何有效融合多维度信息仍是一个挑战。受此启发，我们提出了CoT-DPG，一种新型动态密码猜解框架，允许多个猜解模型协作学习并互补知识。这是协同训练方法在多视图学习中首次应用于密码猜解。首先，在特征层面，我们基于增量训练动态更新神经网络参数并拟合目标分布。其次，在字符层面，我们设计了策略分布优化方法以减轻策略选择的盲目性。第三，我们采用协同训练方法进行多维度互补学习、迭代训练和密码生成。最后，实验证明了所提框架的有效性，在八个真实世界密码数据集上，与最先进方法相比，破解率绝对提升了6.4%至26.7%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s755-paper.pdf

65、Crack in the Armor: Underlying Infrastructure Threats to RPKI Publication Point Reachability

RPKI在防止BGP前缀劫持方面的有效性不仅依赖于有效ROA的存在，还依赖于依赖方（RPs）从发布点（PPs）成功检索ROA的能力。在此检索过程中保证数据完整性和不间断连接，需要正确实施底层基础设施（即DNS和路由基础设施）中的安全措施。在本文中，我们收集了信息检索过程中使用的具体DNS和路由基础设施信息，并分析了影响RPKI PP可达性的基础设施威胁。关于DNS基础设施，我们报告显示31个PP（48.4%）容易受到DNS欺骗攻击，并指出了DNSSEC未保护区域出现的原因，例如重定向到未保护区域的CNAME和委托给第三方不安全DNS服务器的NS记录。关于与名称服务器通信的路由基础设施，我们的分析显示，多达55个PP（85.9%）在其解析路径上至少有一个未受ROA保护的名称服务器，并强调gTLD名称服务器缺乏ROA注册是其中44个PP存在漏洞的原因。关于RP-PP通信的路由基础设施，我们报告有5个PP未为其PP服务器的IP地址注册ROA。路由劫持攻击的模拟表明，在最脆弱的PP情况下，高达65%到83%的自治系统（ASes）可能会失去与该PP的连接。此外，我们研究了发布点之间的确定性和概率性依赖关系，发现了一个关键问题：一些由RIR运营的PP依赖于安全性较低的下层PP，这会显著放大不安全PP中的漏洞影响，可能导致级联故障。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1141-paper.pdf

66、CRISP: An Efficient Cryptographic Framework for ML Inference Against Malicious Clients

基于半诚实安全模型的机器学习推理协议在实际应用中容易受到恶意客户端的攻击，这些攻击可能导致机器学习模型参数的泄露。先前的研究引入了额外的MAC计算来确保客户端行为的正确性，但这在线上推理阶段增加了运行时间和通信成本。在本工作中，我们提出了CRISP，一个高效的两方密码学框架，旨在防御恶意客户端的攻击。具体而言：1）我们基于一种新的密码学原语（函数秘密共享）设计了非线性层的协议，我们方法的核心是优化MAC的重构过程。2）我们为线性层提出了一个复数域验证机制，该机制通过更好地利用同态加密CKKS中的复数空间，消除了额外的MAC计算。此外，在我们之前的工作（SIMC，USENIX Security'22）中，我们识别了实际应用中的兼容性问题。当应用某些混淆电路优化时，非线性层中的MAC重构过程可能会泄露模型的中间输入和输出。相比之下，CRISP有效地避免了这一问题。在SIMC考虑的安全推理基准测试中，CRISP将机器学习推理的总通信成本降低了高达94%，并将推理延迟减少了高达43%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s11-paper.pdf

67、Cross-Boundary Mobile Tracking: Exploring Java-to-JavaScript Information Diffusion in WebViews

WebViews是将基于Web的内容嵌入Android应用的常用方法。尽管它们提供与浏览器类似的功能并在隔离环境中执行，但应用可以通过在运行时动态注入JavaScript代码直接干扰WebViews。尽管先前工作已广泛分析了应用的Java代码，但现有框架对WebView中执行的JavaScript代码的可见性有限。因此，人们对WebView中执行的脚本的行为和特征以及是否存在隐私违规行为的理解有限。为解决这一差距，我们提出了WebViewTracer，这是一个旨在在运行时动态分析WebView中JavaScript代码执行情况的框架。我们的系统将WebView内部的JavaScript执行跟踪与Java方法调用信息相结合，以捕获Java SDK和Web脚本之间发生的信息交换。我们利用WebViewTracer对10K个Android应用数据集进行了首次大规模的WebView内部隐私违规行为动态分析。我们检测到4,597个加载WebView的应用，发现其中超过69%的应用将敏感和跟踪相关信息（通常是JavaScript代码无法访问的信息）注入到WebView中。这包括广告ID和Android构建ID等标识符。关键的是，90%的应用使用基于Web的API将这些信息泄露给第三方服务器。我们还发现了WebView中的JavaScript代码使用常见的Web指纹识别技术的具体证据，这些技术可以补充其跟踪信息。我们观察到，WebView的动态特性正在被积极利用，以便在移动跟踪生态系统中的多个参与者之间扩散敏感信息，这表明Android WebView存在隐私风险。通过揭示这些持续的隐私违规行为，我们的研究旨在促使平台利益相关者对嵌入式Web技术的使用进行更多审查，并强调需要额外的安全措施。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s910-paper.pdf

68、Cross-Cache Attacks for the Linux Kernel via PCP Massaging

尽管内存损坏防御研究已有数十年历史，内核内存分配器仍然是一个关键的攻击面。尽管最近的缓解策略降低了传统攻击技术的有效性，但我们证明稳健的跨缓存攻击仍然可行并构成重大威胁。在本文中，我们介绍了PCPLost，一种跨缓存内存按摩技术，它通过巧妙利用侧信道推断内核分配器的内部状态来绕过主流缓解措施。我们证明，诸如越界(OOB)漏洞——以及通过支点利用的释放后使用(UAF)和双重释放(DF)漏洞——可以通过跨缓存攻击可靠地利用，适用于所有通用缓存，即使在存在噪声的情况下也是如此。我们通过利用PCPLost利用6个公开披露的CVE漏洞，验证了我们方法的通用性和稳健性，并讨论了可能的缓解措施。我们的方法在获取跨缓存布局方面具有显著的可靠性（大多数情况下超过90%），这表明当前的缓解策略无法在Linux内核中为此类攻击提供全面保护。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f862-paper.pdf

69、Cross-Consensus Reliable Broadcast and its Applications

传统的拜占庭容错共识协议主要关注节点组内部的工作流程。近年来，许多共识应用涉及跨组通信。例如，不同基础设施上复制状态机之间的通信、基于分片的协议中不同分片节点之间的通信，以及跨链桥接。然而，很少有人致力于建模跨组通信的属性。在这项工作中，我们提出了一种名为跨共识可靠广播（XRBC）的新原语。XRBC原语建模了两个组之间通信的安全属性，其中至少有一个组执行共识协议。我们在不同假设下提供了三种XRBC构造，并展示了三种不同的XRBC协议应用：通过Reticulum（NDSS 2024）的案例研究实现的跨分片协调协议，通过Chainspace（NDSS 2018）的案例研究实现的跨分片交易协议，以及跨链桥接解决方案。我们的评估结果表明，我们的协议具有很高的效率，并能惠及不同的应用。例如，在我们对Reticulum的案例研究中，我们的方法比传统方法实现了61.16%的更低延迟。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s207-paper.pdf

70、Cryptobazaar: Private Sealed-bid Auctions at Scale

本文介绍了Cryptobazaar，一种可扩展、私密且去中心化的密封投标拍卖协议。特别地，我们的协议通过保护未中标出价者的出价机密性，同时确保结果的可公开验证性，并仅依赖单个不可信拍卖师进行协调，从而保护未中标出价者的隐私。Cryptobazaar的核心是将一个用于计算一元编码出价列表逻辑或的高效分布式协议，与多种新颖的零知识简洁知识论证相结合，这些论证可能具有独立的学术价值。我们提出了协议的多种变体，可用于高效进行第一价格、第二价格以及更一般的(p+1)价格拍卖，以及顺序第一价格拍卖。最后，我们对Cryptobazaar实现的性能评估表明该协议具有高度实用性。例如，一次包含128名出价者、价格范围为1024个值的拍卖在0.5秒内完成，且每个出价者仅需发送和接收约32KB的数据。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f481-paper.pdf

71、CryptPEFT: Efficient and Private Neural Network Inference via Parameter-Efficient Fine-Tuning

公开可用的预训练大模型（即主干网络）和用于参数高效微调（PEFT）的轻量级适配器已成为现代机器学习流水线的标准组件。然而，在推理过程中保护用户输入和微调适配器的隐私（这些适配器通常在敏感数据上训练）仍然是一个重大挑战。将密码学技术（如多方计算（MPC））应用于PEFT设置仍然会在主干网络和适配器之间产生大量加密计算，这主要是由于它们之间固有的双向通信。为解决这一限制，我们提出了CryptPEFT，这是首个专为私有推理场景设计的PEFT解决方案。CryptPEFT引入了一种新颖的单向通信（OWC）架构，将加密计算仅限制在适配器内，显著降低了计算和通信开销。为在此约束下保持强大的模型效用，我们探索了OWC兼容适配器的设计空间，并采用自动化架构搜索算法来优化私有推理效率与模型效用之间的权衡。我们在广泛使用的图像分类数据集上使用Vision Transformer主干网络对CryptPEFT进行了评估。结果表明，CryptPEFT显著优于现有基线，在模拟广域网（WAN）和局域网（LAN）环境中实现了20.62倍至291.48倍的加速。在CIFAR-100上，CryptPEFT仅需2.26秒的推理延迟即可达到85.47%的准确率。这些研究结果表明，CryptPEFT为现代基于PEFT的推理提供了一种高效且隐私保护的解决方案。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1102-paper.pdf

72、CTng: Secure Certificate and Revocation Transparency

我们提出了CTng，这是一种演进而实用的PKI设计，能有效解决现有PKI系统面临的多项关键挑战。CTng确保了强大的安全特性，包括证书的透明保证和明确无误的撤销保证，这些都是在NTTP安全模型下实现的，即无需信任任何单一的CA、日志记录方或依赖方。即使在这些实体存在任意腐败的情况下，这些保证仍然成立，只需假设腐败监控者的数量有一个已知上限（例如f=8），且对性能的影响最小。CTng还支持离线证书验证并保护依赖方的隐私，同时提供可扩展且高效的撤销更新分发。这些特性显著优于当前的PKI设计。特别是，虽然证书透明（CT）旨在消除单一信任点，但现有规范仍然假设日志记录方是善意的。通过日志冗余来解决这个问题是可能的，但效率较低，限制了部署配置中f≤2的情况。我们提供了对CTng开源原型（安全分析和评估），表明它在实际部署条件下是高效且可扩展的。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s213-paper.pdf

73、CtPhishCapture: Uncovering Credential-Theft-Based Phishing Scams Targeting Cryptocurrency Wallets

由于涉及巨大的经济利益，基于凭证窃取的加密货币钱包网络钓鱼（CtPhish）骗局已成为加密货币生态系统中最为普遍的恶意活动之一。在这些攻击中，受害者被诱骗访问CtPhish网站或应用程序，并受骗泄露其凭证，从而使攻击者能够窃取其加密货币资产。尽管存在几种网络钓鱼检测方法，但它们要么不适用于CtPhish，要么存在显著局限性。为填补这一空白，我们提出了CtPhishCapture，一个针对CtPhish网站和应用程序的大规模检测系统。CtPhishCapture访问可疑网站，采用基于大型语言模型（LLM）的检测方法来识别CtPhish网站，并尝试下载和分析潜在的CtPhish应用程序以进行进一步检测。经过六个月的部署，CtPhishCapture识别出5,138个CtPhish网站和10,612个CtPhish应用程序。值得注意的是，只有17%的网站和21%的应用程序先前被社区报告过，这表明CtPhishCapture新发现了83%的网站和79%的应用程序，使其成为迄今为止已知最大的CtPhish检测系统。利用收集的数据集，我们对CtPhish生态系统进行了全面的端到端测量和分析。我们的分析研究了攻击者如何诱骗受害者访问CtPhish网站和应用程序，如何获取用户信任，以及最终如何窃取受害者的加密货币资产。此外，我们还对相关网站和应用程序进行了深入测量，包括其特征、规避技术和估计的财务损失。最后，我们与一家领先的搜索引擎提供商合作部署了CtPhishCapture。通过整合CtPhishCapture的检测结果，每周关于CtPhish的用户投诉减少了5.8倍。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2854-paper.pdf

74、cwPSU: Efficient Unbalanced Private Set Union via Constant-weight Codes

私有集合并（PSU）允许两方在不泄露任何额外信息的情况下计算其私有集合的并集。尽管已有几种针对非平衡场景的PSU协议被提出，但随着较大集合规模的增加，这些构造方案仍存在显著的通信开销。此外，它们对无意识伪随机函数的多重调用导致通信轮次增加，这已成为实际应用中的瓶颈。在本工作中，我们提出了cwPSU，一种基于常重码和层次全同态加密的新型非平衡PSU协议。为防止信息泄露，我们引入了一种称为批量密文重排的新技术，实现了打包密文的安全重排序。此外，我们提出了一种优化的算术常重等价算子，将非标量乘法的数量减少到朴素方法所需的三分之一。我们协议的通信复杂度与较小集合的大小呈线性关系，且与较大集合的大小无关。值得注意的是，cwPSU仅需一轮在线通信。实验结果表明，cwPSU在各种网络条件下均优于现有最先进协议，实现了通信量减少5.1至32.4倍，运行时间加速3.1至13.3倍。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1128-paper.pdf

75、Dataset Reduction and Watermark Removal via Self-supervised Learning for Model Extraction Attack

为保护高价值深度神经网络的知识产权，黑盒水印技术已成为一种关键防御手段并日益受到重视。这些方法通过精心设计的触发样本将水印嵌入到模型的预测行为中，从而能够通过API查询进行验证。同时，模型提取攻击通过利用查询访问来复制带水印的模型，从而威胁专有深度学习模型。这些攻击也为水印方案的稳健性和对抗能力提供了见解。然而，先前的方法难以去除水印信息，无意中保留了防御机制。它们还存在效率低下的问题，通常需要数千次查询才能达到竞争性能。为解决这些局限性，我们提出了一个名为SSLExtraction的查询高效模型提取框架。SSLExtraction通过特征空间中的贪婪随机游走选择查询，从而实现有效的模型复制和水印去除。具体而言，SSLExtraction遵循自监督学习范式提取内在数据表示，将原始像素级输入转换为与水印无关的特征。然后，我们在特征空间中提出了一种贪婪随机游走算法，以构建一个分布良好的查询集，有效覆盖特征空间同时避免冗余查询。通过在特征空间中选择查询，我们的方法自然地将水印模式识别为异常值，从而实现同时去除水印。此外，我们提出了一种专门为水印任务设计的评估指标，强调良性模型与被盗模型之间的区别。与依赖手动预定义阈值的前期方法不同，我们的评估指标采用假设检验来衡量可疑模型与带水印模型和良性模型之间的相对距离，识别可疑模型最接近的模型。实验结果表明，与基线方法相比，我们的方法显著降低了查询成本，同时在各种数据集和水印场景中有效去除了水印。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f223-paper.pdf

76、Decompiling the Synergy: An Empirical Study of Human–LLM Teaming in Software Reverse Engineering

大型语言模型（LLMs）正在改变以往由人类主导的领域。本研究首次系统性地探讨了LLMs如何在软件逆向工程（SRE）过程中与分析师协作。为此，我们首先通过一项针对153名从业者的在线调查，记录了LLMs在SRE领域的应用现状，然后设计了一项细粒度的人类研究，研究对象是两个具有代表性的真实世界软件的"夺旗"风格二进制文件。在我们的研究中，我们对48名参与者（分为24名新手和24名专家）的SRE工作流程进行了监测，观察了超过109小时的SRE过程。通过18项研究发现，我们揭示了LLMs在SRE中的各种益处和危害。值得注意的是，我们发现LLM辅助缩小了专业知识差距：新手的理解率提高了约98%，达到专家水平，而专家则获益甚微；然而，LLMs也会产生有害的幻觉、无用的建议和无效的结果。已知算法函数的筛选速度提高了2.4倍，工件恢复（名称、注释、类型）增加了至少66%。总体而言，我们的研究结果确定了人类与LLMs在SRE中的强大协同效应，但也强调了当前LLMs集成中的显著缺陷。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f380-paper.pdf

77、Demystifying RPKI-Invalid Prefixes: Hidden Causes and Security Risks

资源公钥基础设施（RPKI）通过利用路由源授权（ROA）对象将IP前缀与其合法的源ASN关联起来，从而增强互联网路由安全性。尽管RPKI部署迅速——目前已有超过51.3%的互联网路由被ROA覆盖，但截至今天仍有6,802个RPKI无效前缀。本研究首次对RPKI无效前缀的隐藏原因进行全面研究和分类，揭示ROA配置错误通常发生在IP租赁和IP传输服务过程中。我们确定了导致这些配置错误的场景，并将96.9%的RPKI无效前缀归因于此类配置错误。我们进一步展示了它们对数据平面的级联影响，指出虽然大多数前缀的影响可以忽略不计，但3.1%的前缀会导致完全连接丢失，7.1%的前缀通过增加延迟和额外跳数来降低路由性能——在某些情况下甚至会绕过预期的安全机制；此外，我们发现此类配置错误正在触发劫持检测系统的误报。为验证我们的研究结果，我们通过与174个网络运营商直接合作，构建了一个包含294个配置错误前缀的真实数据集。我们还采访了16家大型ISP和主要租赁经纪人关于其ROA管理实践，并提出了避免ROA配置错误的建议。总之，这项研究不仅填补了先前研究的空白，还为网络运营商提供了可操作的改进ROA管理和减少RPKI无效公告发生的建议。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s161-paper.pdf

78、Demystifying the Access Control Mechanism of ESXi VMKernel

VMware ESXi是一种广泛部署的企业级1型管理程序，作为现代云基础设施的基础。为加强特权隔离，ESXi在VMKernel中引入了强制访问控制机制。然而，由于VMKernel的专有和闭源特性，其内部访问控制架构在很大程度上仍不透明且未被充分探索。先前的研究主要集中在虚拟设备漏洞和虚拟机逃逸上，而VMKernel的内部访问控制机制和特权模型则很少被检查。为填补这一空白，我们对VMKernel的访问控制机制进行了首次全面的安全分析。我们开发了一种面向域-控制结构的分析方法来重建关键内部权限逻辑，并设计了一种结构感知的调试框架以支持细粒度的运行时验证。利用该框架，我们发现了几个关键的设计缺陷，包括可写且不受保护的内存控制结构以及可被利用的开发者保留的系统调用接口。我们演示了三种实际攻击场景，这些场景利用这些缺陷来绕过沙箱限制、提升权限并获得持久访问。总之，我们向VMware报告了14个漏洞，所有漏洞均已得到确认和修复，共获得42,000美元的漏洞赏金。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f700-paper.pdf

79、DirtyFree: Simplified Data-Oriented Programming in the Linux Kernel

随着内核控制流完整性（KCFI）的出现，面向数据编程（DOP）已成为传统控制流劫持技术（如返回导向编程，ROP）的重要替代方案。与控制流攻击不同，DOP通过操作内核数据流实现权限提升，而无需违反控制流完整性。然而，传统的DOP攻击由于其多阶段特性仍然复杂且实用性有限，通常需要堆地址泄露、任意地址读取和任意地址写入能力。每个阶段都对内核对象的选择和使用施加了严格限制。为解决这些限制，我们引入了DirtyFree，这是一种利用任意释放原语的系统性利用方法。该原语能够强制释放攻击者控制的内核对象，显著降低利用要求并简化整体利用过程。DirtyFree提供了一种在多种内核缓存中识别合适的任意释放对象的系统方法，并提出了针对安全关键对象（如cred）的结构化利用策略。通过广泛评估，我们成功识别出覆盖大多数内核缓存的14个任意释放对象，通过成功利用24个真实世界内核漏洞证明了DirtyFree的实际有效性。此外，我们提出并实现了两种旨在缓解DirtyFree的缓解技术，有效防止了利用，同时仅产生微不足道的性能开销（分别为0.28%和-0.55%）。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f527-paper.pdf

80、Discovering Blind-Trust Vulnerabilities in PLC Binaries via State Machine Recovery

可编程逻辑控制器（PLC）是控制具有现实世界物理效应设备的工业计算机，这些系统中的安全漏洞可能导致灾难性后果。尽管先前的研究已提出检测PLC状态机中安全问题的技术，但大多数方法需要访问设计规范或源代码——这些资源通常对分析师或终端用户不可用。本文针对一类普遍存在的漏洞，我们将其命名为"盲目信任漏洞"，这些漏洞由外围输入上缺失或不完整的安全检查引起。我们引入了Ta'veren，这是一个新颖的基于静态分析的框架，可以直接从PLC二进制文件中识别此类漏洞，而不依赖于固件重托管，这仍然是固件分析中的一个开放研究问题。Ta'veren恢复了PLC二进制文件中的有限状态机，从而能够在各种规范下重复进行安全分析。为了将程序状态抽象为逻辑相关状态，我们利用了PLC一致使用特定变量表示内部状态的见解，从而允许进行激进的状态去重。这一见解使我们能够在不损害完备性的情况下有效去重状态。我们开发了Ta'veren的原型并在真实的PLC二进制文件上对其进行了评估。实验表明，Ta'veren能够高效地恢复有意义的有限状态机，并以高有效性发现关键的安全违规。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1624-paper.pdf

81、Distributed Broadcast Encryption for Confidential Interoperability across Private Blockchains

跨分布式账本技术(DLT)网络的互操作依赖于账本状态从一个网络到另一个网络的安全传输。对于访问权限仅限于注册成员的私有网络而言，这尤其具有挑战性。现有方法依赖于一个可信的集中式代理，该代理接收一个网络的加密账本状态，解密它，然后将其发送到另一个网络的成员。尽管这种方法有效，但它违背了DLT的基本原则，即避免单点故障（或单一信任源）。在本文中，我们利用全分布式广播加密(FDBE)构建了一个用于私有网络间机密信息共享的完全去中心化协议。与传统广播加密(BE)相比，FDBE的特点是分布式设置和密钥生成，即互不信任的各方无需可信设置即可就BE的公钥达成一致，并安全地派生其解密密钥。给定任何FDBE，两个私有网络可以安全地共享信息：一个网络中的发送者使用另一个网络的FDBE公钥为其成员加密消息。所构建的方案在简化的通用可组合性(UC)框架下是安全的。为进一步证明我们方法的实用性，我们提出了首个具有恒定大小解密密钥和密文的FDBE实例，并通过一个参考实现评估了其性能，该实现考虑了Hyperledger Cacti互操作框架内的两个私有Hyperledger Fabric网络。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1200-paper.pdf

82、DNN Latency Sequencing: Extracting DNN Architectures from Intel SGX Enclaves with Single-Stepping Attacks

深度神经网络（DNN）是现代计算的核心组成部分，支撑着图像识别、自然语言处理和音频分析等应用。这些模型的架构（例如，图层的数量和类型）被视为宝贵的知识产权，因为其设计需要大量的专业知识和计算投入。尽管可信执行环境（TEEs）如Intel SGX已被采用来保护这些模型，但最近关于模型提取攻击的研究表明，侧信道攻击（SCAs）仍可被用来提取DNN模型的架构。然而，许多现有的模型提取攻击要么没有考虑TEE的保护，要么仅限于特定类型的模型，降低了它们的实际应用性。在本文中，我们介绍了DNN延迟排序（DLS），这是一种新颖的模型提取攻击框架，针对在Intel SGX enclave中运行的DNN架构。DLS采用SGX-Step对模型执行单步操作并收集细粒度延迟轨迹，然后在函数和基本块级别进行分析以重建模型架构。我们的关键见解是，DNN架构本质上会影响执行行为，从而能够从延迟模式中实现准确的重建。我们在使用三种广泛使用的深度学习库（Darknet、TensorFlow Lite和ONNX Runtime）构建的模型上评估了DLS，并分别实现了97.3%、96.4%和93.6%的架构恢复准确率。我们进一步证明了DLS能够实现高级攻击，突显了其实用性和有效性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1455-paper.pdf

83、DOM-XSS Detection via Webpage Interaction Fuzzing and URL Component Synthesis

基于DOM的跨站脚本（DOM-XSS）是一种普遍存在的Web漏洞。先前关于此类漏洞的大规模自动化检测和确认工作存在若干局限性。首先，先前的研究不与页面交互，因此无法执行依赖于用户操作的事件处理程序中的漏洞。其次，先前的研究无法找到URL组件，如GET参数和片段值，这些组件在用特定键/值实例化时会执行更多代码路径。为此，我们引入了SWIPE，这是一种DOM-XSS分析基础设施，它使用模糊测试生成用户交互以触发事件处理程序，并利用动态符号执行（DSE）自动合成URL参数和片段。我们在来自Tranco前30,000个热门域名的页面中找到的44,480个URL上运行了SWIPE。与先前的工作相比，SWIPE的模糊测试工具发现了多15%的漏洞。此外，我们发现URL中缺乏参数和片段会显著阻碍DOM-XSS检测，并证明SWIPE的DSE引擎可以合成先前未见过的URL参数和片段，从而触发20个新的漏洞。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1467-paper.pdf

84、DUALBREACH: Efficient Dual-Jailbreaking via Target-Driven Initialization and Multi-Target Optimization

最近的研究集中在探索大型语言模型（LLMs）的漏洞，旨在从LLMs中引发有害和/或敏感内容。然而，由于针对LLMs和护栏的双重越狱攻击研究不足，当试图绕过受护栏保护的安全对齐LLMs时，现有攻击的有效性有限。因此，本文提出了DualBreach，一种面向双重越狱的目标驱动框架。DualBreach采用目标驱动初始化（TDI）策略动态构建初始提示，并结合多目标优化（MTO）方法，利用近似梯度联合调整针对护栏和LLMs的提示，从而在减少查询次数的同时实现高双重越狱成功率。对于黑盒护栏，DualBreach要么采用强大的开源护栏，要么通过训练代理模型来模拟目标黑盒护栏，从而将护栏整合到MTO过程中。通过对多个常用数据集的广泛评估，我们证明了DualBreach在双重越狱场景中的有效性。实验结果表明，DualBreach以更少的查询次数优于最先进的方法，在所有设置下都取得了显著更高的成功率。具体而言，DualBreach对受Llama-Guard-3保护的GPT-4实现了93.67%的平均双重越狱成功率，而其他方法达到的最佳成功率为88.33%。此外，DualBreach每次成功双重越狱仅使用平均1.77次查询，优于其他最先进的方法。在防御方面，我们提出了基于XGBoost的集成防御机制EGuard，该机制整合了多种护栏的优势，与Llama-Guard-3相比表现出优越的性能。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1062-paper.pdf

85、DualStrike: Accurate, Real-time Eavesdropping and Injection of Keystrokes on Commodity Keyboards

我们发现，在键盘上同时实现窃听和非侵入式单键注入是可行的，特别是对于快速普及的霍尔效应键盘。本文介绍了DualStrike，一种新型攻击系统，允许攻击者远程监听受害者输入并控制霍尔效应键盘上的任意按键。这种能力基于受害者的输入和上下文，开启了严重攻击（如文件删除、私钥窃取和篡改）的大门，且无需对受害者的计算机进行硬件或软件修改。我们在DualStrike中提出了几项关键创新，包括一种基于新型紧凑电磁铁的高频磁欺骗硬件设计、一种无需同步的攻击方案，以及一种使用商用现成组件的基于磁力计的监听机制。我们的真实世界实验表明，DualStrike可以可靠地攻击六种最新霍尔效应键盘模型上的任意按键。具体而言，DualStrike在所有测试模型上实现了98.9%以上的按键注入准确率。在端到端测试中，监听模块实现了高监听准确率（即超过99%）。为了提高DualStrike的鲁棒性，我们实现了一种校准算法来应对键盘位移，即使偏移达到4厘米，仍能保持98.5%的注入准确率。我们还发现了DualStrike对现有磁屏蔽机制的免疫性，并为霍尔效应键盘提出了一种新型屏蔽方法。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s46-paper.pdf

86、Efficiently Detecting DBMS Bugs through Bottom-up Syntax-based SQL Generation

基于语法的测试是发现数据库管理系统（DBMS）中错误的一种有前景的技术。所有现有的基于语法的SQL生成工具都采用自上而下的生成方法。为了构建SQL查询（语法树），生成器从根节点开始向前探索SQL语法，当无法将更多的语法规则应用于语法树的叶子节点时停止。然而，自上而下的生成方法倾向于投入更多精力探索接近根节点的浅层语法，而忽略了语法空间中更深层次的功能丰富的语法。因此，它在发现DBMS错误方面效率不高。本文提出了一种新的基于语法的自下而上SQL生成技术，将更多的测试资源投入到探索功能丰富的语法规则中。SQL语法的探索从一个有趣的语法规则开始，该规则概述了功能丰富的SQL功能的语法。然后，生成器将该语法规则回溯（自下而上）到根节点，创建一个揭示该有趣语法的语法路径。然后，扩展和合并多个自下而上生成的语法路径，以创建用于模糊测试的多样化SQL查询。原型工具SQLBull采用自下而上的生成技术进行模糊测试。在评估中，SQLBull在5个经过充分测试的DBMS中发现了63个零日漏洞：MySQL、MariaDB、CockroachDB、DuckDB和PostgreSQL。它在错误发现和代码覆盖率方面都优于所有现有工具。评估结果验证了自下而上生成技术的有效性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f198-paper.pdf

87、Enhancing Legal Document Security and Accessibility with TAF

数字时代使得越来越多的服务可以通过网络访问。然而，法律获取是一个关键例外，法律仍然以纸质形式发布或发布在过时的网络平台上。采用数字法律平台的司法管辖区通常面临确保法律在线安全的困难。在本文中，我们介绍了TAF系统，该系统旨在保护法律库免受未经授权的更改，并确保法律的完整性。与以往的档案或更新框架不同，TAF是首个针对攻击者完全控制托管库这一威胁模型设计的系统。它还将每个已签名的库状态与发布者定义的法律日期绑定，从而实现可验证的特定日期检索。首先，TAF使法律文档库无论发布时间多久，都能保持可访问和可验证。其次，TAF允许任何具有库读取权限的独立验证法律库的更改。第三，TAF可供没有技术背景或网络安全知识的用户使用。TAF建立在TUF的软件更新保证、Git的版本控制结构以及强时间概念的基础上，其中时间被视为与特定库状态绑定的签名的数据。TAF将法律文档的整个演变转变为可验证、有时间戳的状态序列，确保每个过去或现在的版本都可以通过密码学方式验证。这一特性单独由Git或TUF无法提供。我们证明了TAF的安全性、可扩展性和性能，分析了其在各种攻击场景中的行为、在大法律库上的性能以及易用性。作为TAF安全性和性能的证明，TAF已被美国14个司法管辖区投入使用，包括巴尔的摩市、马里兰州和华盛顿特区。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1002-paper.pdf

88、Enhancing Semantic-Aware Binary Diffing with High-Confidence Dynamic Instruction Alignment

二进制差异检测是检测两段二进制代码之间差异的技术，是各种安全分析任务中的基础技术。现有研究表明，足够数量的细粒度对齐作为锚点可以显著提高二进制差异检测的总体准确性。然而，现有方法仍存在诸多限制，阻碍了准确高效的锚点识别。基于语法的技术容易受到激进编译优化的影响，而基于语义的方法则受限于高计算成本或低代码覆盖率。本文重新审视动态分析，寻求新的见解以解决现有方法的局限性。我们的主要见解是，并非所有动态语义对于识别有效的指令对齐都是必要或同等有效的。因此，我们可以优先使用动态执行资源，部分揭示能够有效推导指令对齐的运行时值。基于上述见解，我们提出了Barracuda，一种基于从强制执行中提取的部分指令语义的高置信度指令对齐技术。我们已实现Barracuda并进行了大量实验以评估其有效性。广泛的实验结果表明，Barracuda能够检测到24.0%更多的指令对齐作为锚点，且精度高达92.1%。Barracuda检测到的锚点可以增强最先进的二进制差异检测工具DeepBinDiff和SigmaDiff，在各种二进制差异检测场景中，F1分数分别提高了12.3%至42.7%和2.2%至4.1%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f663-paper.pdf

89、Enhancing Website Fingerprinting Attacks against Traffic Drift

匿名通信系统，如Tor，容易受到各种网站指纹（WF）攻击的威胁，这些攻击通过分析网络流量模式来损害用户隐私。特别是，复杂的攻击采用深度学习（DL）模型来识别与特定网站相关的独特流量模式，使攻击者能够确定用户访问了哪些网站。然而，这些攻击并未设计用于处理流量漂移，如网站内容和网络条件的变化。由于流量漂移在现实生活中很常见，这些攻击在实际部署中的有效性显著降低。为解决这一局限性，我们开发了Proteus，这是第一个自适应WF攻击框架，能够在有效减轻流量漂移影响的同时，在实际场景中保持稳健的性能。Proteus的关键设计理念是仅使用漂移流量持续微调WF模型，而不需要收集部署模型时的真实标签，从而使模型能够近乎实时地适应复杂的流量漂移。具体而言，Proteus通过最小化最大均值差异来对齐原始流量和漂移流量的特征分布，并通过优化预测的熵分布来增强模型置信度。此外，它利用高斯混合模型获取可靠的伪标签，这些标签随后用于监督微调，以进一步增强其对漂移流量的鲁棒性。值得注意的是，Proteus可以与现有的基于DL的WF攻击无缝集成，以增强它们对流量漂移的适应能力。我们在包含超过35万个真实世界Tor浏览轨迹的六个流量漂移场景的大规模数据集上评估了Proteus。结果表明，对于识别漂移流量，Proteus在八种最先进的WF攻击上实现了平均94.24%的F1分数相对提升。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s59-paper.pdf

90、Entente: Cross-silo Intrusion Detection on Network Log Graphs with Federated Learning

基于图的入侵检测系统（GNIDS）在检测组织内部及跨边界的复杂网络攻击（如高级持续性威胁APTs）方面已展现出显著优势。尽管现有GNIDS取得了令人满意的检测精度，并能适应不断变化的攻击和正常行为模式，但它们大多假设数据集中式设置。然而，随着隐私法规约束的增加和操作限制，灵活的数据收集并不总是现实可行的。我们认为GNIDS的实际发展需要考虑分布式收集环境，并利用联邦学习（FL）作为一种可行的范式来解决这一挑战。我们观察到，将FL直接应用于GNIDS可能效果不佳，原因包括客户端图异构性以及不同GNIDS的多样化设计选择。我们提出了一系列针对图数据集的新技术来解决这些问题，包括参考图合成、图素描和自适应贡献缩放，最终开发了一个名为ENTENTE的新系统。通过利用领域知识，ENTENTE能够同时实现有效性、可扩展性和鲁棒性。在LANL、OpTC和Pivoting大规模数据集上的经验评估表明，ENTENTE优于最先进的FL基线模型。我们还评估了ENTENTE在针对GNIDS环境的FL投毒攻击下的表现，通过将攻击成功率限制在较低值，展示了其鲁棒性。总体而言，我们的研究为构建跨域GNIDS指明了一个有前景的方向。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s93-paper.pdf

91、Eviction Notice: Reviving and Advancing Page Cache Attacks

页面缓存攻击与硬件无关，并具有较高的时间和空间分辨率。自2019年以来部署的缓解措施仅保留了Evict+Reload风格的时序测量，但由于驱逐操作，这些测量方法具有极低的时间分辨率并对系统性能产生严重影响。在本文中，我们表明页面缓存攻击的问题比预期的要大得多。我们首先提出了一种基于四种基本操作的新系统化页面缓存攻击方法：刷新(flush)、重载(reload)、驱逐(evict)和监控(monitor)。基于这些基本操作，我们推导出五种针对页面缓存通用攻击技术：Flush+Monitor、Flush+Reload、Flush+Flush、Evict+Monitor和Evict+Reload。我们展示了所有基本操作的机制，这些机制可在最新的Linux内核上运行，绕过现有的缓解措施。我们在三种场景中展示了我们重新激活的页面缓存攻击的实用性，表明我们在攻击的空间和时间分辨率方面将技术水平提高了几个数量级：首先，使用我们最快的攻击方法(Flush+Monitor)，在跨进程隐蔽信道中实现了平均37.7 kB/s的信道容量。其次，对于低频攻击，我们展示了跨进程的按键间时序和事件检测攻击，空间分辨率为4 kB，时间分辨率为0.8 μs，将技术水平提高了6个数量级。第三，在网站指纹攻击中，我们在前100名的封闭世界场景中实现了90.54%的F1分数。我们得出结论，有必要针对页面缓存侧通道实施进一步的缓解措施。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f6-paper.pdf

92、EXIA: Trusted Transitions for Enclaves via External-Input Attestation

可信执行环境（TEE）已被采用以保障向不可信云外包的计算安全，相关的远程认证机制使用户能够在启动时验证外包计算的完整性。然而，内存损坏攻击在启动后认证的情况下不会被检测到，从而破坏TEE的安全保证。虽然控制流认证（CFA）方案旨在检测运行时妥协，但大多数现有CFA方案缺乏具体的验证方法，且可能被仅数据攻击绕过。在本文中，我们提出了外部输入认证的概念，用于认证对TEE保护应用程序的所有写入，基于内存损坏攻击通常始于意外写入的观察。该方法通过验证所有写入符合预期来确保可信飞地状态，将控制流劫持等安全问题转化为因意外输入导致的软件崩溃等可靠性问题。为了高效地推导和验证参考测量，当前版本的外部输入认证仅限于验证者已知其输入的飞地应用程序。该设计通过在AMD SEV-SNP和Penglai上实现和评估原型得到验证，其中安全性和性能评估显示，在包括安全模型训练、模型推理、数据库工作负载和密钥管理在内的案例研究中，性能开销最小。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2421-paper.pdf

93、Exploiting TLBs in Virtualized GPUs for Cross-VM Side-Channel Attacks

随着虚拟GPU在云计算中的日益普及，多租户共享GPU所带来的潜在安全问题在很大程度上被忽视了。本文通过研究GPU微架构组件中的信息泄露问题，迈出了揭示这些风险的基础性一步。具体而言，我们开发了一种针对虚拟化NVIDIA GPU中后备转换缓冲区（TLBs）的Prime+Probe攻击原语。我们讨论了GPU虚拟化环境带来的几个独特挑战，并展示了我们的设计如何有效克服这些挑战。利用这一原语，我们在云环境中进行了两个跨虚拟机侧信道攻击案例研究：一个是《反恐精英2》游戏中的作弊漏洞，可以揭示隐藏的对手；另一个是网站指纹攻击，可以识别虚拟桌面用户浏览的网页。据我们所知，这些是在云环境中针对虚拟化GPU展示的首个侧信道攻击，突显了先前未知的安全风险，值得进一步研究。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1480-paper.pdf

94、ExpShield: Safeguarding Web Text from Unauthorized Crawling and LLM Exploitation

随着大型语言模型越来越多地记忆网络爬取的训练内容，它们面临暴露版权或私人信息的风险。现有的保护措施需要爬虫或模型开发者的配合，从根本上限制了其有效性。我们提出了ExpShield，一种主动的自我保护机制，通过不可见的扰动来减轻记忆同时保持可读性，并将其表述为一个约束优化问题。由于缺乏针对自然文本的个体级风险指标，我们首先提出了实例利用（instance exploitation）这一指标，用于衡量在特定文本上进行训练会增加从一组候选文本中猜中该文本的可能性——零值表示完美的防御。对于缺乏足够知识的防御者来说，直接解决这个问题是不可行的，因此我们开发了两种有效的代理解决方案：单层优化和合成扰动。为了增强防御能力，我们揭示并验证了记忆触发假设，这有助于识别记忆的关键标记。利用这一见解，我们设计了有针对性的扰动，这些扰动（i）中和内在的触发标记以减少记忆，以及（ii）引入人工触发标记来误导模型记忆。实验验证了我们的防御在语言和视觉到语言建模中的各种攻击、模型规模和任务上的有效性。即使存在隐私后门，在防御下，成员推理攻击（MIA）的AUC值从0.95降至0.55，实例利用值接近于零。这表明，与理想的无滥用场景相比，尽管文本实例被包含在训练数据中，但其暴露的风险几乎保持不变。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f11-paper.pdf

95、Fast Pointer Nullification for Use-After-Free Prevention

像C和C++这样的低级编程语言提供了动态内存管理功能，但由于不当的释放处理，容易受到使用后释放（UAF）漏洞的攻击。这些漏洞源于通过悬空指针访问内存，构成了重大风险。尽管已经提出了各种防御机制，但现有解决方案往往面临性能开销高、内存使用过度或安全保证不足等挑战，限制了它们的实用性。指针置零（PN）作为一种有前景的UAF缓解技术，通过跟踪指针并在缓冲区释放时将其置零而受到关注。然而，现有的PN技术由于精确地将每个指针与其目标缓冲区关联而导致效率低下，造成昂贵的元数据查找。此外，它们忽略了指针存储的空间局部性，导致不必要的注册数量增加。本文介绍了快速指针置零（FPN），这是一种基于PN的新防御方法，它在区域级别组织元数据以消除昂贵的搜索操作，并使用基于块的注册来有效捕获指针局部性。在SPEC CPU基准测试和实际应用程序上的实验结果表明，与先前的PN技术相比，FPN提供了强大的安全保证，同时显著降低了性能和内存开销。FPN还兼容多线程环境和大规模Web应用程序。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f753-paper.pdf

96、Faster Than Ever: A New Lightweight Private Set Intersection and Its Variants

在本工作中，我们提出了一种新的轻量级双方隐私集合交（PSI）范式，适用于半诚实模型和恶意模型。它只需要少量基础OT（不经意传输）和一次不经意键值存储（OKVS）编码和解码。所有计算（除基础OT外）均可使用SIMD加速的对称密码指令和高效的位运算实现。此外，我们将所提出的PSI协议扩展到电路PSI，并进一步扩展到多种PSI变体，包括PSI基数、PSI求和和隐私连接与计算（PJC）。所有提出的协议均在局域网（LAN）和广域网（WAN）环境下进行了评估，并与现有工作进行了性能比较。实验结果表明，在相同设置下，所提出的PSI在运行时间上比最高效的基于VOLE（不经意线性评估）的PSI快约40%，同时通信开销更低。对于电路PSI，它比基于VOLE的电路PSI构造快3.7倍，通信量减少1.5倍。在PSI基数和PSI求和的情况下，分别实现了高达12.4倍和10倍的加速，同时仅产生适度的通信开销。对于PJC，所提出的协议在运行时间上比先前工作快762倍，通信量减少3.2倍，即使在低带宽条件下也能保持高效率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f131-paper.pdf

97、FidelityGPT: Correcting Decompilation Distortions with Retrieval Augmented Generation

反编译是一项关键技术，可将机器码转换为人类可读格式，在没有源代码的情况下促进分析和调试。然而，这个过程面临保真度问题，这些问题会显著降低反编译输出的可读性和准确性。现有方法部分解决了这些问题，如变量重命名和结构简化，但在复杂且实用的闭源二进制场景中，通常无法提供足够的检测和纠正。为此，我们引入了FidelityGPT，这是一个新颖的框架，通过系统性地检测和纠正反编译代码与其原始源代码之间的差异，提高反编译代码的准确性和可读性。FidelityGPT定义了针对闭源环境的失真提示模板，并采用检索增强生成（RAG）技术和动态语义强度算法。该算法基于语义强度识别失真行，并从数据库中检索相似代码。此外，还设计了一种变量依赖算法，通过分析变量间的依赖关系来识别冗余变量，并将冗余变量名整合到提示上下文中，从而克服了长上下文输入的局限性。这些综合技术使FidelityGPT成为首个能够有效解决基于大语言模型的反编译优化中反编译失真问题的框架。我们在二进制相似性基准测试的620个函数对上评估了FidelityGPT，实现了89%的平均检测准确率和83%的精确率。与当前最先进的模型DeGPT（平均修复率（FR）为83%，平均修正修复率（CFR）为37%）相比，FidelityGPT表现出优越的性能，其平均FR为94%，平均CFR为64%。FidelityGPT显著提高了准确性和可读性，强调了其在增强反编译方面的有效性及其推动逆向工程发展的潜力。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s989-paper.pdf

98、FirmAgent: Leveraging Fuzzing to Assist LLM Agents with IoT Firmware Vulnerability Discovery

物联网设备的快速普及带来了严重的安全漏洞。现有的漏洞检测技术存在多种缺陷：静态分析解决方案（包括大型语言模型，LLMs）存在高误报率且无法提供概念验证(PoC)样本，而动态分析解决方案（如模糊测试）则往往存在高漏报率。为应对这些挑战，我们提出了FirmAgent，这是首个利用模糊测试辅助LLM智能体在物联网固件中查找漏洞的混合解决方案。我们的设计基于一个关键观察：模糊测试能够准确识别固件中与输入相关的代码点，而静态分析则可以彻底分析从这些代码点开始的程序路径。FirmAgent利用模糊测试收集运行时输入点（即污点源）并重建潜在的漏洞路径。然后，它应用一个LLM智能体沿着潜在路径执行上下文感知的污点分析，并应用另一个LLM智能体优化模糊测试生成的测试用例以生成概念验证测试用例。我们在14个真实物联网固件上评估了FirmAgent。它以91%的精确率识别出182个漏洞，其中包括140个先前未知的漏洞，其中17个已被分配CVE编号。我们的结果表明，FirmAgent在检测能力和精确率方面均显著优于最先进的工具。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1943-paper.pdf

99、FirmCross: Detecting Taint-style Vulnerabilities in Modern C-Lua Hybrid Web Services of Linux-based Firmware

静态污点分析已成为检测基于Linux固件Web服务中隐含漏洞的基本技术。然而，现有工作通常过于简化固件Web服务的组成。具体而言，漏洞检测范围仅考虑C二进制文件（即从目标固件中提取的二进制文件）。在本工作中，我们观察到现代固件广泛结合Lua脚本/字节码和C二进制文件来实现混合Web服务，显然，那些以C二进制文件为导向的漏洞检测技术难以取得令人满意的性能。鉴于此，我们提出了FirmCross，一个专门针对C-Lua混合Web服务的自动化污点式漏洞检测器。与现有检测器相比，FirmCross可以自动反混淆目标固件中的Lua字节码，额外识别Lua代码空间中的独特污点源，并系统性地捕获C-Lua跨语言污点流。在评估中，FirmCross在一个包含来自11个厂商的73个固件映像的数据集中，比最先进的方法（即MangoDFA和LuaTaint）多检测出6.82倍至14.5倍的漏洞。值得注意的是，FirmCross帮助在目标固件映像中识别出610个0日漏洞。在向厂商报告这些漏洞后，迄今为止已有31个漏洞ID被分配。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1251-paper.pdf

100、FLIPPYRAM: A Large-Scale Study of Rowhammer Prevalence

Rowhammer是动态随机存取存储器（DRAM）中的一种扰动错误，可以通过软件故意触发，即通过反复读取（即锤击）不同DRAM行中的邻近内存位置来实现。尽管大量研究评估了Rowhammer效应，特别是其触发方式和利用方法，但大多数研究仅使用了少量双列直插式存储模块（DIMM）样本。只有少数研究提供了该效应普遍性的证据，但这些研究存在明显局限，仅限于特定硬件配置或基于FPGA的实验（这些实验能精确控制DIMM），限制了结果的泛化程度。在本文中，我们进行了首个关于Rowhammer效应的大规模研究，涉及来自822个系统的1006个数据集。我们使用最先进的基于软件的DRAM和Rowhammer工具，在一个名为FlippyRAM的全自动化跨平台框架中测量Rowhammer的普遍性。我们的框架自动收集DRAM信息，并使用5种工具来逆向工程DRAM寻址函数，然后基于这些逆向工程函数使用7种工具发起Rowhammer攻击。我们从2024年12月30日至2025年6月30日，通过在线和USB闪存驱动器向数千名参与者分发该框架。总体而言，我们从具有各种CPU、DRAM代际和供应商的系统中收集了1006个数据集。我们的研究显示，在1006个数据集中，有453个（822个独特系统中的371个）成功完成了DRAM寻址函数逆向工程的第一阶段，这表明成功且可靠地恢复DRAM寻址函数仍然是一个重大的开放性问题。在第二阶段，126个数据集（占总数据集的12.5%）在我们的全自动化Rowhammer攻击中出现了位翻转。我们的结果表明，全自动化即可武器化的Rowhammer攻击所能影响的系统比例低于基于FPGA和实验室实验所表明的比例，但12.5%的比例已足以成为威胁行为者的实用攻击向量。此外，我们的研究结果强调，围绕Rowhammer可利用性的两个最紧迫的研究挑战是：更可靠的逆向工程寻址函数（因为50%未出现位翻转的数据集在DRAM逆向工程阶段失败），以及跨多样化处理器微架构的可靠Rowhammer攻击（因为只有12.5%的数据集包含位翻转）。解决这些挑战中的每一个都可能使易受Rowhammer攻击的系统数量翻倍，并使Rowhammer在现实场景中成为更紧迫的威胁。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1810-paper.pdf

跳转微信打开

101、FlyTrap: Physical Distance-Pulling Attack Towards Camera-based Autonomous Target Tracking Systems

自主目标跟踪（ATT）系统，尤其是ATT无人机，广泛应用于监控、边境控制和执法等领域，同时也被滥用于跟踪和破坏行为。因此，ATT的安全性对实际应用至关重要。在此背景下，我们提出了一种新型攻击：距离拉回攻击（DPA），并对其进行了系统性研究，该攻击利用ATT系统的漏洞，危险地减少跟踪距离，导致无人机被捕获、传感器攻击敏感性增加，甚至发生物理碰撞。为实现这些目标，我们提出了FlyTrap，一种新颖的物理世界攻击框架，它使用一把对抗伞作为可部署和领域特定的攻击向量。FlyTrap专门设计用于满足ATT无人机攻击的关键目标：物理可部署性、闭环有效性和时空一致性。通过新颖的渐进式距离拉回策略和可控的时空一致性设计，FlyTrap在实际环境中操控ATT无人机，实现了显著的系统级影响。我们的评估包括在真实白盒甚至商用ATT无人机（包括DJI和HoverAir）上进行的新数据集、指标和闭环实验。结果表明，FlyTrap能够将跟踪距离减少到可被捕获、传感器攻击甚至直接坠机的范围内，凸显了ATT系统安全部署的紧迫安全风险和实际意义。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s904-paper.pdf

102、Formal Analysis of BLE Secure Connection Pairing and Revelation of the PE Confusion Attack

安全连接(SC)配对是最新版本的安全协议，旨在保护通过低功耗蓝牙(BLE)信道传输的敏感信息。对该协议进行正式且严谨的分析对于提高安全保证和识别潜在漏洞至关重要。然而，协议流程的复杂性、配对方法形式化的困难以及过于理想化的用户假设为这种分析带来了重大障碍。在本文中，我们解决了这些挑战，并使用Tamarin工具对BLE-SC配对协议进行了准确且全面的正式分析。我们提取了每个参与者的状态机作为协议建模的蓝图，并使用等式理论来形式化配对方法选择逻辑。我们的模型包含了细微的用户行为，并考虑了更强的对手能力，包括对临时带外信道等私有信道的潜在妥协。我们开发了一种验证策略来自动化协议分析，并实现了一个脚本以在多个服务器上并行化验证任务。我们验证了84种配对案例，并确定了协议所需的最小安全假设。此外，我们的结果揭示了一种新的中间人(MitM)攻击，我们称之为PE混淆攻击。我们提供了在受控环境中模拟和理解此攻击的工具和概念验证(PoC)漏洞利用程序。最后，我们提出了防御此攻击的对策，提高了BLE-SC配对协议的安全性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f779-paper.pdf

103、From Noise to Signal: Precisely Identify Affected Packages of Known Vulnerabilities in npm Ecosystem

npm是最大的开源软件生态系统，拥有超过300万个软件包。然而，包之间的复杂依赖关系使其面临严重的安全威胁，因为许多包直接或间接依赖于其他存在已知漏洞的包。及时更新这些易受攻击的依赖是软件供应链安全中的一个重大挑战，主要由于漏洞的广泛影响和修复它们的高昂成本。最近的研究表明，现有的包级漏洞传播分析工具会导致高误报率，而函数级工具在npm生态系统中尚不适用于大规模分析。在本文中，我们提出了一个新颖的框架VulTracer，它可以精确高效地执行函数级漏洞传播分析。通过为每个包独立构建丰富的语义图，然后将它们连接起来，VulTracer可以精确定位漏洞传播路径并识别真正受影响的包。通过比较评估，我们的框架在调用图构建中实现了0.905的F1分数，并将npm audit的误报率降低了94%。我们对整个npm生态系统进行了迄今为止最大规模的函数级漏洞影响测量，涵盖了3400万个包版本。结果表明，包级分析确定的68.28%的潜在影响只是噪音，因为易受攻击的代码是不可达的。此外，我们的研究还发现真正的漏洞传播（信号）是浅层的，影响在仅仅几个依赖跳转内就会显著减弱。VulTracer为缓解警报疲劳并提供了一种实用路径，使安全工作能够专注于真正可达的威胁。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1902-paper.pdf

104、From Obfuscated to Obvious: A Comprehensive JavaScript Deobfuscation Tool for Security Analysis

JavaScript的广泛应用使其成为恶意攻击者的有吸引力的目标，这些攻击者采用复杂的混淆技术来隐藏恶意代码。当前的去混淆工具存在严重局限性，严重限制了它们的实际有效性。现有工具难以处理多样化的输入格式，仅针对特定的混淆类型，并且产生晦涩难懂的输出，阻碍了人工分析。为应对这些挑战，我们提出了JSIMPLIFIER，这是一个全面的去混淆工具，采用多阶段流水线，包括预处理、基于抽象语法树的静态分析、动态执行跟踪以及大型语言模型（LLM）增强的标识符重命名。我们还引入了多维评估指标，结合了控制/数据流分析、代码简化评估、熵度量和基于LLM的可读性评估。我们构建并发布了最大的真实世界混淆JavaScript数据集，包含44,421个样本（23,212个野生恶意样本和21,209个良性样本）。评估显示，JSIMPLIFIER在处理20种混淆技术时达到100%的处理能力，在评估子集上达到100%的正确性，代码复杂度降低88.2%，并通过多个LLM验证可读性提高超过4倍。我们的成果推进了JavaScript去混淆研究和实际安全应用的基准。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2198-paper.pdf

105、From Perception to Protection: A Developer-Centered Study of Security and Privacy Threats in Extended Reality (XR)

XR的沉浸式特性引入了一组根本不同的安全与隐私（S&P）挑战，这些挑战源于传统范式难以缓解的前所未有的用户交互和数据收集。作为XR应用的主要架构师，开发者在应对新型威胁方面发挥着关键作用。然而，为了有效支持开发者，我们首先必须了解他们如何感知和应对不同威胁。尽管这一问题日益重要，但缺乏从开发者角度深入考察XR安全与隐私的威胁感知研究。为填补这一空白，我们采访了23名专业XR开发者，重点关注XR中的新兴威胁。我们的研究旨在解决两个研究问题，以揭示XR开发中的现有问题并确定可行的前进路径。通过考察开发者对安全与隐私威胁的感知，我们发现：（1）XR开发决策（如丰富的传感器数据收集、用户生成内容界面）与安全与隐私威胁密切相关并可能放大这些威胁，但开发者往往没有意识到这些风险，导致威胁感知中的认知偏见；（2）现有缓解方法的局限性，加上战略、技术和沟通支持不足，削弱了开发者有效应对这些威胁的动机、意识和能力。基于这些发现，我们提出了切实可行且考虑各利益相关者的建议，以在整个XR开发过程中提升XR的安全与隐私。这项工作代表了XR领域首次进行的威胁感知、以开发者为中心的研究——XR技术的沉浸式、数据丰富特性在这一领域引入了独特的挑战。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s807-paper.pdf

106、Fuzzilicon: A Post-Silicon Microcode-Guided x86 CPU Fuzzer

现代中央处理器（CPU）是黑盒、专有的，并且越来越具有复杂的微架构缺陷，这些缺陷能够规避传统分析。虽然其中一些关键漏洞是通过繁琐的手动工作发现的，但为现实世界的后硅处理器构建一个自动化的系统性漏洞检测框架仍然是一个挑战。在本文中，我们提出了Fuzzilicon，这是第一个针对现实世界x86 CPU的后硅模糊测试框架，它能够深入检查微代码和微架构层。Fuzzilicon自动化了那些以前只能通过大量手动逆向工程才能发现的漏洞的检测，并通过引入微代码级检测工具弥合了可见性差距。Fuzzilicon的核心是一种从处理器微架构直接提取反馈的新技术，该技术通过逆向工程英特尔的专有微代码更新接口实现。我们开发了一种最小侵入性的检测方法，并将其基于 hypervisor 的模糊测试工具集成，以实现精确的反馈引导输入生成，无需访问寄存器传输级（RTL）或供应商支持。应用于英特尔的Goldmont微架构，Fuzzilicon发现了5个重要发现，包括两个以前未知的微代码级推测执行漏洞。此外，Fuzzilicon框架自动重新发现了先前工作中手动检测到的μSpectre类漏洞。与基线技术相比，Fuzzilicon将覆盖率收集开销降低了31倍，并实现了可挂钩位置16.27%的唯一微代码覆盖率，这是该领域的首个经验基线。作为一个实用的、覆盖率引导的、可扩展的后硅模糊测试方法，Fuzzilicon为自动化发现复杂CPU漏洞建立了新的基础。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1486-paper.pdf

107、GoldenFuzz: Generative Golden Reference Hardware Fuzzing

现代硬件系统因高性能和应用特定功能的需求驱动而日益复杂，引入了大量的错误和安全关键漏洞。模糊测试已成为发现此类缺陷的可扩展解决方案。然而，现有的硬件模糊测试器由于依赖缓慢的设备仿真，存在语义感知有限、测试效率低下和计算开销大等问题。本文提出了GoldenFuzz，一种新颖的两阶段硬件模糊测试框架，部分地将测试用例的精炼与覆盖率和漏洞探索解耦。GoldenFuzz利用一个快速、符合ISA规范的黄金参考模型（GRM）作为被测设备（DUT）的"数字孪生"。它首先对GRM进行模糊测试，实现快速、低成本的测试用例精炼，加速在DUT上的深度架构探索和漏洞发现。在模糊测试流程中，GoldenFuzz通过精心选择的指令块串联来迭代构建测试用例，这些指令块平衡了指令间和指令内的微妙质量。利用高覆盖率和低覆盖率样本见解的反馈驱动机制进一步增强了GoldenFuzz在硬件状态探索方面的能力。我们对三个RISC-V处理器（RocketChip、BOOM和CVA6）的评估表明，GoldenFuzz在实现最高覆盖率的同时，以最少的测试用例长度和计算开销显著优于现有模糊测试器。GoldenFuzz发现了所有已知漏洞和五个新漏洞，其中四个被归类为高度严重，CVSS v3严重性评分超过七分。它还识别了商业BA51-H核心扩展中的两个先前未知的漏洞。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1663-paper.pdf

108、Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy

WhatsApp作为截至2025年初拥有35亿活跃账户的平台，是全球最大的即时通讯平台。凭借庞大的用户基础，WhatsApp在全球通信中发挥着关键作用。要发起对话，用户必须首先确认其联系人是否已在该平台注册。这是通过查询WhatsApp服务器实现的，服务器会提取用户通讯录中的手机号码（如果用户已授权访问）。这种架构 inherently enables phone number enumeration，因为服务必须允许合法用户查询联系人可用性。虽然速率限制是防止滥用的标准防御措施，我们重新审视了这一问题，并表明WhatsApp在规模化枚举方面仍然存在高度漏洞。在我们的研究中，我们每小时能够探测超过一千万个电话号码而未遇到阻止或有效的速率限制。我们的研究结果不仅证明了这一漏洞的持续性，还揭示了其严重性。我们进一步发现，2021年Facebook数据泄露事件中披露的电话号码中，近一半仍然活跃在WhatsApp上，强调了此类泄露带来的持续风险。此外，我们还对WhatsApp用户进行了普查，揭示了即使消息本身是端到端加密的，大型通讯服务仍能产生的宏观洞察。利用收集的数据，我们还发现某些X25519密钥在不同设备和电话号码中被重复使用，表明存在不安全（自定义）实现或欺诈活动。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s805-paper.pdf

109、Hiding an Ear in Plain Sight: On the Practicality and Implications of Acoustic Eavesdropping with Telecom Fiber Optic Cables

光纤因其对外部干扰的抵抗能力和低信号损耗而被广泛认为是可靠的通信渠道。本文展示了电信光纤中存在的一个关键侧信道，该信道允许进行声学窃听。通过利用光纤对声振动的敏感性，攻击者可以远程监测光纤结构中由声音引起的形变，并进一步从原始声波中恢复信息。随着现代建筑中光纤到户（FTTH）安装的普及，这一问题变得尤为令人担忧。攻击者只需访问光纤的一端，即可使用商用分布式声学传感（DAS）系统窃听另一端周围的环境。然而，由于光纤本身对空气传播的声音不够敏感，我们引入了一种"感官受体"以提高声学捕获能力。我们的研究结果表明，能够恢复关键信息，如人类活动、室内定位和对话内容，这引发了人们对光纤通信网络隐私的重要担忧。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f546-paper.pdf

110、HoneySat: A Network-based Satellite Honeypot Framework

卫星是关键任务服务的支柱，使我们的现代社会能够正常运转，例如GPS。多年来，卫星被认为具有安全性，因为其难以理解的架构和依赖"通过隐匿实现安全"的策略。然而，技术进步使这些假设过时，为潜在攻击铺平了道路。不幸的是，目前无法收集有关卫星对抗技术的数据，这阻碍了导致反措施开发的情报生成。在本文中，我们提出了HoneySat，这是第一个高交互式卫星蜜罐框架，能够真实地模拟真实的立方星（CubeSat），这是一种小型卫星（SmallSat）。为了证明HoneySat的有效性，我们调查了小型卫星运营商并通过互联网部署了HoneySat。我们的研究结果显示，90%的卫星运营商同意HoneySat提供了真实的模拟。此外，HoneySat成功欺骗了现实世界中的攻击者，并收集了22个真实的对抗性交互。最后，我们进行了硬件在环操作，其中HoneySat成功与在轨运行的小型卫星任务进行了通信。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f537-paper.pdf

111、HOUSTON: Real-Time Anomaly Detection of Attacks against Ethereum DeFi Protocols

随着去中心化金融（DeFi）持续创新金融体系，其基础构件的安全性仍是其大规模应用的关键关注点。在DeFi领域，风险极高，每周都有数百万美元的财务损失事件反复发生。所有主要的基于区块链的金融应用（即DeFi协议）都由称为智能合约的程序构建并与之交互。虽然已开发了许多安全工具来识别单个智能合约中的特定漏洞类别（如重入攻击），但在自动实时识别针对DeFi协议的攻击方面，投入的努力相对较少。在本文中，我们提出了一种新颖的方法，用于实时、通用且可解释地识别针对DeFi协议的攻击。具体而言，我们识别潜在的风险交易，而不依赖于任何已知的漏洞模式。我们的方法在HOUSTON系统中实现，首先自动识别共同实现DeFi应用的智能合约集合，然后在监控新的相关交易时，构建和更新自定义异常检测模型。我们的模型包含典型执行路径（控制流）的信息，以及协议如何处理数据的信息，这些信息被捕获为合约函数参数与存储变量之间可能的不变量关系。HOUSTON提供可解释的警报，可用于攻击分类。我们在超过2200万笔交易的大型语料库上评估了HOUSTON，涵盖了115个DeFi事件。在我们的实验中，HOUSTON实现了94.8%的检测真阳性率，同时保持低假阳性率。与最先进的异常检测系统相比，HOUSTON实现了更高的真阳性数量和更低的假阳性率。最后，我们在真实环境中部署了HOUSTON，它在普通硬件上展示了实时监控能力，同时保持了高准确性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1534-paper.pdf

112、Huma: Censorship Circumvention via Web Protocol Tunneling with Deferred Traffic Replacement

随着互联网审查日益普遍，用户常常依赖隐蔽通道来规避监控并访问受限内容。Web协议隧道工具使用网站作为代理，将隐蔽数据封装在Web协议中，以与合法流量混合从而避免检测。然而，现有工具容易通过流量分析被检测到，使审查者能够通过指纹攻击或因产生异常浏览模式来识别此类工具的使用。我们提出了Huma，一种新的Web协议隧道工具，解决了现有的检测问题。通过延迟隐蔽数据传输，Huma允许参与规避审查的网站首先返回未修改的内容，而嵌入隐蔽数据的响应则在后台准备并在客户端的下一个请求期间发送，从而避免了促进指纹识别的时间异常。通过依赖基于真实浏览活动建模的显式用户模拟器，Huma也遵循用户预期的浏览行为。最后，Huma防止对手控制的网站将通信端点绑定在一起，从而能够轻松扩展以支持内部网审查场景中的隐蔽通信。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f328-paper.pdf

113、HyperMirage: Direct State Manipulation in Hybrid Virtual CPU Fuzzing

虚拟机监视器对现代云基础设施的安全性和可用性至关重要，但它们必须向客户虚拟机暴露大量的虚拟化接口——这是攻击者可以利用的攻击面。虚拟机监视器中最复杂且对安全敏感的组件之一是其虚拟CPU实现，通常在最高特权级别实现。尽管之前的模糊测试研究在检查虚拟机监视器的虚拟CPU组件方面取得了有希望的进展，但现有技术无法深入覆盖该组件，因为其复杂的性质需要繁琐的手动设置来访问各个接口，同时采用次优技术降低了模糊测试吞吐量。我们通过HyperMirage解决了这些缺陷，这是一种新型虚拟机监视器模糊测试工具，能够自动高效地探索虚拟CPU实现所模拟的大量架构状态空间。HyperMirage采用一种新颖的直接状态操作方法，使安全分析师无需手动构建架构有效的虚拟机状态作为模糊测试种子，该方法直接且自动地修改虚拟机监视器在模糊测试过程中所使用的虚拟机状态视图。此外，我们扩展了最先进的基于编译器的符号执行引擎，使其成为首个可用于裸机目标的引擎，并将其集成到高效的覆盖率引导虚拟机监视器模糊测试工具中，使HyperMirage与现有技术相比能够显著提高模糊测试吞吐量。我们通过在Intel x86架构上对生产级Xen和KVM虚拟机监视器进行模糊测试，提供了HyperMirage的案例研究。我们的评估表明，HyperMirage能够比先前工作多覆盖200%的虚拟CPU接口，与可用的虚拟机监视器模糊测试工具相比，在整个虚拟CPU空间上实现了显著更高的覆盖率。此外，HyperMirage在Xen中发现了9个新漏洞，在KVM中发现了2个新漏洞，所有这些漏洞都已被各自的项目维护者确认。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1763-paper.pdf

114、Icarus: Achieving Performant Asynchronous BFT with Only Optimistic Paths

区块链技术的出现重新激发了人们对拜占庭容错（BFT）共识的研究兴趣，特别是异步BFT，因为它对网络攻击具有抵抗力。为了提高传统异步BFT的性能，最近的研究提出了双路径范式：在有利情况下通过乐观路径提高效率，在不利情况下通过悲观路径（通常通过多值验证拜占庭协议（MVBA）实现）保证活性。然而，由于MVBA协议固有的复杂性和低效性，现有的双路径协议在不利情况下表现出高实现复杂性和性能差。此外，双路径范式中的两种构成类型——串行路径和并行路径——各自面临额外的限制。具体而言，串行类型在乐观路径和悲观路径之间切换困难，而并行类型会丢弃其中一个路径的区块，导致带宽浪费和吞吐量降低。为解决这些限制，我们提出了Icarus，这是一种单路径异步BFT协议，仅利用乐观路径而不使用悲观路径。乐观路径确保Icarus在有利情况下的效率。为保证不利条件下的活性，Icarus采用旋转链机制：每个节点并行广播一个区块链，这些链以轮询方式轮流作为乐观路径。由于无故障节点的链持续增长，一旦积累了足够区块的链成为乐观路径，其区块就可以被提交，从而确保即使在不利条件下也能保持活性。为在路径转换过程中保持一致性，Icarus引入了双连续验证值拜占庭协议（tcv$^2$-BA），该协议对先前路径上已提交区块的高度进行对齐。我们通过理论分析验证了Icarus的正确性，并通过各种实验证明了其高性能。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f60-paper.pdf

115、Identifying Logical Vulnerabilities in QUIC Implementations

QUIC是一种现代传输协议，正被各大平台和服务越来越多地采用，因此其安全性和正确性至关重要。然而，QUIC规范和实现的复杂性引入了细微且危险逻辑缺陷的机会。现有的QUIC测试工具主要关注与内存相关的漏洞，而难以检测逻辑漏洞。因此，逻辑漏洞的发现目前仍然高度依赖人工审计。在本文中，我们介绍了MerCuriuzz，这是一种新颖的黑盒模糊测试框架，旨在自动发现QUIC实现中的逻辑漏洞。我们对16种广泛使用的QUIC实现进行了MerCuriuzz评估，发现了14个先前未知的逻辑漏洞，这些漏洞影响了quiche、xquic和aioquic等流行实现。这些漏洞可能带来严重的安全风险，使攻击者能够耗尽服务器资源、使服务崩溃或拒绝合法用户访问服务器。我们将这些漏洞分为六类，并提出了缓解策略。我们还负责任地向相关供应商披露了我们的发现，其中11个漏洞已被供应商确认并获得奖励，例如Cloudflare和阿里云。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1777-paper.pdf

116、Idioms: A Simple and Effective Framework for Turbo-Charging Local Neural Decompilation with Well-Defined Types

反编译器帮助逆向工程师在比汇编代码更高抽象层次上分析软件。不幸的是，由于编译过程会丢失信息，传统的确定性反编译器生成的代码缺乏许多使源代码具有可读性的特性，例如变量和类型名称。神经反编译器提供了通过统计方法填补这些细节的可能性。然而，现有的神经反编译工作存在重大局限，使其无法应用于真实代码，例如无法为用户定义的复合类型提供定义。在这项工作中，我们介绍了Idioms，这是一种简单、可推广且有效的神经反编译方法，可以将任何大型语言模型微调为能够生成适当用户定义类型定义以及反编译代码的神经反编译器，同时我们还创建了一个新数据集Realtype，其中包含比现有神经反编译基准测试更复杂和更真实的类型。我们证明，我们的方法在神经反编译领域取得了最先进的结果。在最具挑战性的现有基准测试Exebench上，我们的模型达到了54.4%的准确率，而LLM4Decompile为46.3%，Nova为37.5%；在Realtype上，我们的模型性能提升了至少95%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f795-paper.pdf

117、In-Context Probing for Membership Inference in Fine-Tuned Language Models

成员推断攻击（MIAs）对微调的大型语言模型（LLMs）构成了严重的隐私威胁，特别是当模型使用敏感数据针对特定领域任务进行适配时。虽然先前的黑盒MIA技术依赖于置信度分数或令牌似然度，但这些信号通常与样本的固有特性（如内容难度或稀有性）相互纠缠，导致泛化能力差且信噪比低。在本文中，我们提出了ICP-MIA，这是一个基于训练理论的新颖MIA框架，特别关注优化过程中出现的收益递减现象。我们引入了优化差距作为成员的基本信号：在收敛时，成员样本表现出最小的剩余损失降低潜力，而非成员则保留显著的进一步优化潜力。为了在黑盒环境中估计这一差距，我们提出了上下文探测（ICP）——一种无需训练的方法，通过 strategically 构建的输入上下文模拟类似微调的行为。我们提出了两种探测策略：基于参考数据（使用语义相似公共样本）和自扰动（通过掩码或生成）。在三个任务和多个LLMs上的实验表明，ICP-MIA显著优于先前的黑盒MIA，特别是在低误报率的情况下。我们进一步分析了参考数据对齐、模型类型、PEFT配置和训练计划如何影响攻击效果。我们的研究结果表明，ICP-MIA是一个实用的、有理论基础的框架，可用于评估已部署LLMs的隐私风险。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f892-paper.pdf

118、Incident Response Planning Using a Lightweight Large Language Model with Reduced Hallucination

及时有效的应急响应是应对日益增多的网络攻击的关键。然而，为复杂系统确定正确的响应措施是一项重大技术挑战。缓解这一挑战的一种有前景的方法是利用嵌入大型语言模型（LLM）中的安全知识来协助安全操作员在事件处理过程中的工作。最近的研究已经证明了这种方法的可能性，但当前的方法主要基于前沿LLM的提示工程，这种方法成本高昂且容易出现幻觉。我们通过提出一种使用LLM进行应急响应规划的新方法来减少幻觉，从而解决这些局限性。我们的方法包括三个步骤：微调、信息检索和前瞻性规划。我们证明，在特定假设条件下，我们的方法生成的响应计划具有有限的幻觉概率，并且可以通过增加规划时间使这种概率任意小。此外，我们展示了我们的方法是轻量级的，可以在普通硬件上运行。我们在文献中报道的事件日志上评估了我们的方法。实验结果表明，我们的方法a）比前沿LLM缩短高达22%的恢复时间，并且b）能够广泛适用于各种事件类型和响应措施。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f358-paper.pdf

119、Indicator of Benignity: An Industry View of False Positive in Malicious Domain Detection and its Mitigation

恶意域名检测是保护用户免受网络攻击的关键技术。尽管这些系统已展现出显著的检测能力，但它们在现实世界中的误报（FPs）规模仍然未知，且常被忽视。为了阐明这一重要方面，我们进行了一项首次测量研究，使用了从全球最大的网络安全供应商之一收集的6年误报报告。我们的研究结果表明，当前检测系统普遍采用的基于流行度的顶级域名列表不足以避免误报。事实上，在生产环境中仍存在大量误报。我们认为，主要原因之一是该领域的努力主要集中在检测恶意指标（即入侵指标，IOC）上，而忽视了良性指标（即良性指标，IOB）。在本文中，我们首次专注于IOB检测的研究。我们的工作基于一个关键发现：对于生产环境中的许多误报，其IOB可以在互联网上找到。然而，由于互联网的开放性和网络内容的不结构化，我们在识别这些IOB时面临两个主要挑战：理解IOB是什么以及评估IOB的可信度。为应对这些挑战，我们提出了一个IOB的传递信任模型，并在名为IOBHunter的系统中实现了该模型。IOBHunter利用了大语言模型（LLM）和思维链（CoT）技术，这些技术已在解决其他几种安全威胁方面展现出良好的能力。我们使用包含已验证误报的数据集进行的评估显示，IOBHunter可以达到99.22%的精确率和68.6%的召回率。IOBHunter还在为期两个月的实际部署中进行了进一步评估，期间IOBHunter识别出了4,338个已确认的误报和2,051个被攻陷的域名。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1869-paper.pdf

120、InverTune: A Backdoor Defense Method for Multimodal Contrastive Learning via Backdoor-Adversarial Correlation Analysis

像CLIP这样的多模态对比学习模型展示了卓越的视觉-语言对齐能力，现已成为许多大规模多模态系统的基础组件。然而，它们对后门攻击的脆弱性带来了严重的安全风险。攻击者可以植入潜伏的触发器，这些触发器能在下游任务中持续存在，从而在触发器出现时实现对模型行为的恶意控制。尽管最近的防御机制取得了巨大成功，但由于对攻击者知识的强假设或对干净数据的过度需求，它们仍然不切实际。在本文中，我们提出了InverTune，这是首个在最小攻击者假设条件下的多模态模型后门防御框架，既不需要攻击目标的先验知识，也不需要访问被污染的数据集。与依赖于中毒阶段使用的数据集的现有防御方法不同，InverTune通过三个关键组件有效识别并移除后门工件，从而实现对后门攻击的强大保护。具体而言，（1）InverTune首先通过对抗性模拟暴露攻击特征，通过分析模型响应模式概率性地识别目标标签。（2）在此基础上，我们开发了一种梯度反转技术，通过激活模式分析来重建潜伏的触发器。（3）最后，采用聚类引导的微调策略，仅使用少量任意干净数据来消除后门功能，同时保留原始模型能力。实验结果表明，InverTune将最先进（SOTA）攻击的平均攻击成功率（ASR）降低了97.87%，同时将干净准确率（CA）的 degradation限制在仅3.07%。这项工作为保障多模态系统安全建立了新范式，推进了基础模型部署的安全性，同时不损害性能。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1666-paper.pdf

121、IoTBec: An Accurate and Efficient Recurring Vulnerability Detection Framework for Black Box IoT devices

物联网设备的激增导致了漏洞利用的增加。现有的漏洞检测方法严重依赖固件或源代码进行分析，这种依赖严重限制了它们在实际黑盒场景中的效率。为解决这一局限性，我们提出了IoTBec，一种新颖的、不依赖固件和源代码的循环漏洞检测框架。IoTBec创新性地基于黑盒接口和已知漏洞信息构建了漏洞接口签名（VIS），该签名用于将潜在的循环漏洞与目标设备进行匹配。该框架随后将基于签名的检测与大型语言模型（LLM）驱动的模糊测试深度融合。当匹配成功时，IoTBec自动利用LLMs生成针对性的模糊测试载荷进行验证。为评估IoTBec，我们在来自五大物联网厂商的设备上进行了广泛实验。结果表明，IoTBec发现的漏洞数量比当前最先进的（SOTA）黑盒模糊测试方法多7倍以上，精确度为100%，召回率为93.37%。总体而言，IoTBec检测到183个漏洞，其中169个被分配了CVE ID。在这些漏洞中，53个是新发现的，平均CVSS 3.x评分为8.61，涵盖了缓冲区溢出、命令注入和CSRF问题。值得注意的是，通过LLM驱动的模糊测试，IoTBec还发现了25个先前未知的漏洞。实验证据表明，IoTBec独特的固件和源代码独立范式提高了检测效率，并能够发现新型和变体漏洞。我们将在https://github.com/IoTBec上发布IoTBec的源代码和实验数据。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f634-paper.pdf

122、Ipotane: Balancing the Good and Bad Cases of Asynchronous BFT

最先进的异步拜占庭容错（BFT）协议集成了部分同步的乐观路径。其最终目标是在有利情况下匹配部分同步协议的性能，在不利情况下匹配纯异步协议的性能。尽管先前的研究在有利情况下表现出色，但在条件不利时却存在不足。为解决这些缺点，最近的一项工作Abraxas（CCS'23）在所有情况下都保持了稳定的吞吐量，但由于乐观路径故障检测缓慢，在不利情况下造成了极高的最坏情况延迟。另一项最近的工作ParBFT（CCS'23）确保了所有情况下的良好延迟，但由于使用了额外的异步二进制协议（ABA）实例，在不利情况下吞吐量降低。我们提出了Ipotane协议，在吞吐量和延迟两方面，在有利情况下实现了与部分同步协议相当的性能，在不利情况下实现了与纯异步协议相当的性能。Ipotane同时运行两条路径：2-chain HotStuff作为乐观路径，以及一个新的原始双功能拜占庭协议（DBA）作为悲观路径。DBA封装了有偏ABA和验证异步拜占庭协议（VABA）的功能。在Ipotane中，如果副本的乐观路径更快，则向DBA输入0；如果悲观路径更快，则输入1。DBA的ABA功能通过输出1及时发出乐观路径故障的信号，确保Ipotane在不利情况下的低延迟。同时，Ipotane执行DBA实例，通过其VABA功能持续产生悲观区块。在检测到故障时，Ipotane提交最后两个悲观区块以保持高吞吐量。此外，Ipotane利用DBA的有偏特性来确保提交悲观区块的安全性。大量实验验证了Ipotane在所有情况下的高吞吐量和低延迟。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s3-paper.pdf

123、IsolatOS: Detecting Double Fetch Bugs in COTS RTOS by Re-enabling Kernel Isolation

双重获取漏洞是指内核反复从用户空间内存中检索数据，而未确保连续数据获取之间的一致性。这一问题在实时操作系统（RTOS）中尤为严重，因为严格的时序要求限制了互斥锁等同步机制的使用，从而倾向于以牺牲安全性为代价实现低延迟内存访问。大多数当前检测技术采用静态源代码分析，无法应用于具有专有内核的商业现成（COTS）RTOS。因此，采用启发式时间窗口阈值来检测跨边界内存重复访问的动态方法被采用。然而，这些方法由于模式识别过于宽泛，常常产生大量误报，并导致显著的仿真开销。我们引入了IsolatOS，一种硬件支持的检测方法，利用内核隔离功能来指示双重获取漏洞的跨边界内存访问。主要难点在于在不导致RTOS系统崩溃的情况下强制执行隔离边界的同时保持透明度，以提高效率。IsolatOS首先通过实现动态仪器来拦截对用户内存的特权访问，记录访问的元数据，然后通过异常恢复技术在故障处理期间维持系统稳定性。在执行后阶段，因果分析检查违规轨迹，以区分合法的双重访问和可利用的双重获取。在QNX、VxWorks和seL4上的评估证明了IsolatOS的有效性，与基于仿真的方法相比，运行时开销降低了70倍，识别出42个独特漏洞（39个供应商确认，2个分配的CVE）。这些结果验证了硬件辅助的内核隔离是COTS RTOS环境中双重获取检测的可行范式。我们还通过利用这些发现展示了其在汽车系统中的实际影响。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s568-paper.pdf

124、Janus: Enabling Expressive and Efficient ACLs in High-speed RDMA Clouds

RDMA云日益普及，访问控制列表（ACL）对于规范RDMA应用、服务和租户的未授权网络访问至关重要。然而，RDMA独特的队列对（QP）语义和高传输特性使得现有的ACL表达式和执行机制无法以用户友好的方式全面高效地管理RDMA流量。在本文中，我们提出了Janus，一个专为RDMA云设计的定制化ACL系统。Janus设计了具有QP语义的专用ACL表达式来识别RDMA连接，并提供了一种高级策略语言用于表达复杂的ACL意图以管理RDMA流量。Janus进一步利用具有流量感知和架构特定优化的DPU来执行ACL策略，实现了线速RDMA检查和稳健的策略更新。我们使用NVIDIA BlueField-3 DPU实现了Janus的开源原型。实验表明，Janus为管理未授权RDMA访问提供了足够的表达能力，并在200Gbps真实RDMA测试环境中实现了线吞吐量且延迟小于5µs。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f721-paper.pdf

125、Kangaroo: A Private and Amortized Inference Framework over WAN for Large-Scale Decision Tree Evaluation

随着模型即服务（Models-as-a-Service）的快速采用，数据和模型隐私问题变得越来越关键。为解决这些问题，各种隐私保护推理方案已被提出。特别是由于决策树的高效性和可解释性，私有决策树评估（PDTE）已引起广泛关注。然而，现有的PDTE方案存在显著局限性：其通信和计算成本随树的数量、节点数或树深度而扩展，这使得它们对于大规模模型（尤其是在广域网环境中）效率低下。为解决这些问题，我们提出了Kangaroo，这是一个基于打包同态加密的私有且分摊的决策树推理框架。具体而言，我们设计了一种新颖的模型隐藏和编码方案，结合安全特征选择、 oblivious 比较和安全路径评估协议，实现了随着节点数或树数量增加时开销的完全分摊。此外，我们通过优化（包括相同模型共享、延迟感知和自适应编码调整策略）提升了框架的性能和功能。在广域网环境中，Kangaroo比最先进的一次性交互方案实现了14倍至59倍的性能提升。对于大规模决策树推理任务，与现有方案相比，它实现了3倍至44倍的加速。值得注意的是，在广域网环境下，Kangaroo能够以每树约60毫秒（分摊）的速度评估包含969棵树和411,825个节点的随机森林。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s892-paper.pdf

126、Know Me by My Pulse: Toward Practical Continuous Authentication on Wearable Devices via Wrist-Worn PPG

利用生理信号进行生物特征认证为可穿戴设备的安全且用户友好的访问控制提供了有前景的途径。虽然心电图（ECG）信号已显示出高度的可区分性，但其侵入式传感要求和间断性采集限制了其实用性。另一方面，光电容积脉搏波描记法（PPG）能够实现连续、非侵入式的认证，并可无缝集成到手腕可穿戴设备中。然而，大多数先前的研究依赖于高频PPG（例如75-500赫兹）和复杂的深度模型，这会导致显著的能耗和计算开销，阻碍了其在功率受限的实际系统中的部署。在本文中，我们首次在智能手表We-Be Band上实现了连续认证系统的实际部署和评估，该系统使用低频（25赫兹）多通道PPG信号。我们的方法采用带有注意力机制的Bi-LSTM从4通道PPG的短时（4秒）窗口中提取身份特定特征。通过对公共数据集（PTTPPG）和我们自己的We-Be数据集（26名受试者）的广泛评估，我们展示了强大的分类性能，平均测试准确率为88.11%，宏F1得分为0.88，错误接受率（FAR）为0.48%，错误拒绝率（FRR）为11.77%，等错误率（EER）为2.76%。与512赫兹和128赫兹的设置相比，我们的25赫兹系统将传感器功耗分别降低了53%和19%，同时不牺牲性能。我们发现25赫兹的采样率保持了认证准确性，而20赫兹时性能急剧下降，仅提供微不足道的额外节能，这凸显了25赫兹作为实际下限的重要性。此外，我们发现仅使用静息数据训练的模型在运动状态下表现不佳，而活动多样化的训练则提高了在不同生理状态下的鲁棒性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1087-paper.pdf

127、KnowHow: Automatically Applying High-Level CTI Knowledge for Interpretable and Accurate Provenance Analysis

网络威胁情报（CTI）报告中的高级自然语言知识，如ATT&CK框架，有助于应对高级持续性威胁（APT）攻击。然而，如何在现实世界的攻击检测系统中（如溯源分析系统）自动应用CTI报告中的高级知识，仍然是一个开放性问题。这一挑战源于知识与低级安全日志之间的语义差距：CTI报告中的知识以自然语言形式编写，而攻击检测系统只能处理文件访问或网络IP操作等低级系统事件。手动方法可能劳动密集且容易出错。在本文中，我们提出了KnowHow，一种由CTI知识驱动的在线溯源分析方法，可以自动将CTI报告中以自然语言编写的高级攻击知识应用于检测低级系统事件。KnowHow的核心是一种新颖的攻击知识表示方法——通用入侵指标（gIoC），它表示攻击的主体、客体和行动。通过将系统事件中的系统标识符（如文件路径）提升为自然语言术语，KnowHow可以将系统事件与gIoC匹配，并进一步将其与以自然语言描述的技术进行匹配。最后，基于与系统事件匹配的技术，KnowHow对攻击步骤的时间逻辑进行推理，并在系统事件中检测潜在的APT攻击。我们的评估表明，KnowHow能够准确检测开源数据集和工业数据集中的所有16个APT活动，而现有方法都引入了大量误报。同时，我们的评估也表明，KnowHow最多减少了90%的节点级误报，同时具有更高的节点级召回率，并且对几种未知攻击和模仿攻击具有鲁棒性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s199-paper.pdf

128、LatticeBox: A Hardware-Software Co-Designed Framework for Scalable and Low-Latency Compartmentalization

现代软件系统日益依赖隔离机制来隔离不可信或潜在脆弱的组件，如第三方驱动程序和即时编译代码。然而，现有的硬件隔离技术面临可扩展性限制、高切换延迟和安全性不足等问题。特别是，某些隔离技术使用的权限更改指令（如Intel MPK的WRPKRU）可能被不可信代码利用，从而增加了安全部署的复杂性。在本文中，我们介绍了LatticeBox，这是一个基于硬件-软件协同设计的框架，采用基于格的访问控制模型来解决这些局限性。LatticeBox将权限和内存区域编码为紧凑的分层N位向量。这种设计实现了硬件架构，将域切换延迟降低到单个CPU周期，并从根本上防止了权限切换指令的滥用。此外，LatticeBox采用定制指令（lp_land）来强制严格的跨域控制流完整性，有效防止未授权的间接函数调用。我们在RISC-V BOOM核心上实现了LatticeBox，并使用微基准测试和实际应用程序（包括WebAssembly运行时和Linux内核模块）对其进行了评估。结果表明，LatticeBox的域切换速度比Intel MPK快达180倍，同时支持细粒度、可扩展的隔离。在实际工作负载上的评估显示性能影响较小，增强的WebAssembly运行时仅降低2%的性能，而运行隔离Linux内核模块的ApacheBench吞吐量仅降低3%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f515-paper.pdf

129、Learning from Leakage: Database Reconstruction from Just a Few Multidimensional Range Queries

可搜索加密(SE)在实现加密数据的安全高效查询方面展现出巨大潜力。为实现这种效率，SE不可避免地会泄露一些信息，而一个重大的开放性问题在于这种泄露的危险程度如何。尽管先前的重构攻击在一维范围查询设置中已显示出有效性，但将其扩展到高维数据集仍面临挑战。现有方法要么需要过多的查询信息（例如，观察到所有可能响应的攻击者），要么在稀疏数据库中产生低质量的重构。在这项工作中，我们提出了REMIN，一种针对多维设置中SE方案的新型滥用泄露攻击，利用范围查询中的访问和搜索模式泄露。REMIN利用无监督表示学习将查询共现频率转换为几何信号，使攻击者能够推断加密记录之间的相对空间关系。这种方法在最小泄露的情况下实现了高维数据集的准确且可扩展的重构。此外，我们引入了REMIN-P，这是一种包含实用 poisoning 策略的攻击主动变体。通过注入少量辅助锚点，REMIN-P显著提高了重构质量，特别是在数据空间的稀疏或边界区域。我们在合成和真实数据集上对我们的攻击进行了广泛评估。与最先进的重构攻击相比，我们的重构攻击将均方误差(MSE)降低了高达50%，同时保持了快速且可扩展的运行时间。根据 poisoning 策略的不同，我们的 poisoning 攻击可以进一步将平均MSE额外降低50%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f935-paper.pdf

130、Les Dissonances: Cross-Tool Harvesting and Polluting in Pool-of-Tools Empowered LLM Agents

大型语言模型（LLM）代理是由LLM驱动的自主系统，能够利用一系列工具进行推理和规划以解决问题。然而，在LLM代理中集成多种工具带来了安全管理的挑战，包括确保工具兼容性、处理依赖关系以及保护LLM代理任务工作流中的控制流。在本文中，我们首次对多工具支持的LLM代理中的任务控制流进行了系统性的安全分析。我们识别出一种新型威胁——跨工具收集与污染（XTHP），该威胁包含多种攻击向量，首先劫持代理任务的正常控制流，然后收集并污染LLM代理系统中的机密或私有信息。为理解此威胁的影响，我们开发了Chord，一个动态扫描工具，旨在自动检测易受XTHP攻击的现实世界代理工具。我们对来自两大LLM代理开发框架LangChain和LlamaIndex的66个现实世界工具的评估显示，75%的工具易受XTHP攻击攻击，凸显了该威胁的普遍性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f577-paper.pdf

131、Light into Darkness: Demystifying Profit Strategies Throughout the MEV Bot Lifecycle

由于无许可区块链的透明性，机会主义交易者可以通过竞争盈利机会并创建MEV机器人来使这一过程永不停歇，从而提取最大可提取价值(MEV)。然而，这种行为损害了区块链系统的共识安全性和效率。因此，了解MEV机器人的行为策略对于防范其危害至关重要。不幸的是，现有工作主要集中在MEV市场的宏观测量上，而MEV机器人策略的具体类型和分布仍然未知。在本文中，我们开发了APOLLO工具，用于分析机器人整个生命周期中的细粒度策略，从而首次对MEV机器人盈利策略进行了系统性研究。我们对2,052个MEV机器人的大规模分析得出了许多新的见解。特别是，我们首次介绍了野外机器人使用的20种代码级策略，在智能合约反混淆方面迈出了第一步，以发现隐藏在混淆机器人代码中的策略，并发现了五种能为MEV机器人带来盈利机会的特定类型交易。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s506-paper.pdf

132、Light2Lie: Detecting Deepfake Images Using Physical Reflectance Laws

生成模型（如GAN和基于扩散的架构）的快速发展导致了超写实合成图像的广泛创建。尽管这些技术推动了媒体和数据生成的创新，但也引发了重大的伦理、社会和安全问题。对此，已开发出多种检测方法，包括频域分析和深度学习分类器。然而，这些方法通常难以推广到未见过的生成模型，且往往缺乏物理基础，使其容易受到自适应攻击的影响，并且在可解释性方面存在局限。我们提出了Light2Lie，这是一个物理增强的深度伪造检测框架，它利用镜面反射原理，特别是菲涅耳反射率模型，来揭示生成模型难以有效重现的光-表面相互作用中的不一致性。我们的方法首先采用神经网络估计表面基础反射率，然后导出一种受微面启发的镜面响应图，该图编码了真实图像与合成图像之间微妙的几何和光学差异。该信号作为特征图被整合到二级分类器中，使其能够学习基于反射率驱动模式来区分两类图像。为进一步增强鲁棒性，我们引入了一种反馈细化机制，利用分类错误更新基础反射率模型的输出，将物理建模与学习目标紧密耦合。在多个深度伪造数据集上的广泛实验表明，我们的方法在处理未见过的生成模型样本时获得了更好的泛化性能，在多样化的深度伪造领域达到高达74%的精确率，优于最先进的基线方法，同时提供稳健的、基于物理的决策。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s923-paper.pdf

133、Lightening the Load: A Cluster-Based Framework for A Lower-Overhead, Provable Website Fingerprinting Defense

网站指纹识别（WF）攻击仍然是加密流量的一大威胁，促使开发了广泛的防御措施。其中，两类突出的防御方法是基于正则化的防御，它使用固定的填充规则来塑造流量，以及基于超序列的方法，它将痕迹隐藏在预定义的模式中。在这项工作中，我们提出了一个统一的框架，用于设计自适应WF防御，该方法结合了正则化的有效性和超序列式分组的可证明安全性。该方案首先从痕迹中提取行为模式，并将它们聚类到$(k,l)$-多样匿名集中；然后，一个早期时间序列分类器（从ECDIRE改编）从保守的全局正则化参数集切换到更轻量级的特定参数集。我们将该设计实例化为自适应塔马劳（Adaptive Tamaraw），它是Tamaraw的一个变体，在保留其原始信息论保证的同时，按聚类分配填充参数。在公共真实世界数据集上的全面实验证实了其优势。通过调整$k$，操作者可以在隐私和效率之间进行权衡：在其高隐私模式下，自适应塔马劳将任何攻击者的准确率上限推至低于30%，而在以效率为中心的设置中，与经典塔马劳相比，它将总开销减少了99个百分点。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1760-paper.pdf

134、Lightweight Internet Bandwidth Allocation and Isolation with Fractional Fair Shares

确保公共互联网上的公平带宽分配具有挑战性。拥塞控制算法(CCA)通常无法实现公平性，特别是当不同CCA同时运行时。在分布式拒绝服务(DDoS)攻击期间，这一挑战变得更加突出，合法流量可能完全被饿死。解决这一挑战的一种方法是通过在路由器上直接分配带宽来强制执行公平性。然而，现有解决方案通常分为两类：一类易于部署但无法提供安全的网络内带宽隔离，另一类提供强大的隔离保证但依赖于阻碍实际部署的复杂假设。为了弥合这两类解决方案之间的差距，我们引入了一种基于每流公平份额(FFS)概念的新公平模型。在每个路径节点上，流的FFS以数据包标签的形式表示，并在转发路径上更新，传达其当前出口带宽的公平份额。数据包携带的FFS与概率性转发的结合，实现了流的有效和可扩展隔离，同时具有最小开销。FFS是第一个将低实现和部署开销与有效带宽隔离相结合的系统，同时保持对源地址欺骗和DDoS攻击的鲁棒性，并提供高性能、可扩展性以及最小的延迟和抖动。我们证明FFS能够在隔离15种不同CCA的带宽的同时，保持延迟和抖动最小。我们的高速实现能够在商用硬件上维持160 Gbps的线路速率。在真实的互联网拓扑上评估时，FFS在带宽分配的中位数和总量上都优于几种最新且安全的带宽隔离系统。在我们的安全分析中，我们证明FFS为每个流量流保证了一个非零的带宽分配下限，确保即使结合源地址欺骗，DDoS攻击也无法阻止合法通信。最后，我们提出了FFS的扩展，为发送方提供准确且安全的速率反馈，允许快速速率适应且最小化数据包丢失。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f23-paper.pdf

135、Limitless Scalability: A High-Throughput and Replica-Agnostic BFT Consensus

传统的拜占庭容错（BFT）共识协议采用星型拓扑结构，由领导者处理所有消息传输，导致副本数量增加时性能迅速下降。最近，许多研究通过探索多层拓扑结构（如树结构）来减少领导的扇出，以提高可扩展性。然而，这些方法要么依赖于多项式扇出来保持容错能力，要么受到拓扑深度对吞吐量影响的限制，最终仅带来有限的可扩展性提升。为此，我们提出了Tide，这是首个能够随着副本数量增长而保持稳健性能的BFT共识协议，这得益于我们对对数扇出拓扑和高并行流水线的设计。Tide在拓扑设计中利用冗余连接作为关键洞察，在不降低弹性的情况下减少扇出。Tide进一步引入了一种新颖的流水线机制，其中层间交互动态确定提案并行度，从而将吞吐量与拓扑深度解耦。使用100台云服务器的真实实验表明，当副本数量从100扩展到1000时，最先进协议的吞吐量下降了65%至90%，延迟增加了50倍。相比之下，Tide保持了与副本数量无关的高吞吐量，约为50ktps，比其他协议高出5倍以上，而其延迟保持在0.3秒至0.4秒之间。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f101-paper.pdf

136、LinkGuard: A Lightweight State-Aware Runtime Guard Against Link Following Attacks in Windows File System

Windows文件系统中的链接跟随（LF）攻击允许攻击者通过滥用精心设计的符号链接组合（链接链），将正常的文件操作悄悄重定向到受保护的文件，从而实现对受保护文件的任意操作。这类攻击通常表现为单步攻击或多步攻击，具体取决于构建的链接链的顺序。现有的针对LF攻击的防御措施要么依赖于复杂的建模，要么存在兼容性差和适用性有限的问题，且没有一种能够为不同类型的LF攻击提供全面保护。在本文中，我们提出了LinkGuard，一个针对Windows系统的轻量级状态感知运行时防御机制。LinkGuard的创新之处在于其两阶段设计：第一阶段通过执行动态主体过滤来提高防御效率，仅监控涉及链接链创建和跟随的文件操作及相关主体；第二阶段基于有限状态机（FSM）的规则匹配来精确防御LF攻击，确保有效且准确的防御。我们在五个代表性的Windows系统上评估了LinkGuard的原型，以验证其兼容性。在一个包含70个真实世界漏洞的数据集上，LinkGuard成功缓解了所有单步攻击和95.45%的多步攻击，并且在良性操作上零误报。在微基准测试中，LinkGuard平均仅产生1%的开销，在实际应用工作负载中产生3.4%的开销，同时在良性文件操作上仅增加5毫秒的延迟。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2943-paper.pdf

137、LLMBisect: Breaking Barriers in Bug Bisection with A Comparative Analysis Pipeline

错误二分法是一项重要的安全任务，旨在理解受软件错误影响的版本范围，即确定引入错误的提交。然而，传统的基于补丁的二分方法面临几个重大障碍：例如，它们假设引入错误的提交（BIC）和补丁提交修改相同的函数，但这并非总是成立；它们通常仅依赖代码变更，而提交消息中经常包含丰富的漏洞相关信息；它们还基于简单的启发式方法（例如假设BIC初始化了补丁中删除的代码行），缺乏对漏洞的逻辑分析。在本文中，我们观察到大型语言模型（LLMs）有潜力突破现有解决方案的障碍，例如能够很好地理解补丁和提交中的文本数据和代码。我们开发了一个全面的多阶段流程，利用LLLMs来（1）充分利用完整的补丁信息，（2）让LLM评估错误的逻辑以及提交成为引入错误提交的可能性，以及（3）通过多次筛选过程逐步缩小候选范围。在我们的评估中，我们证明该方法比最先进的解决方案准确率提高38%以上。我们的结果进一步证实了全面的多阶段流程是必不可少的，因为它比简单的LLM应用准确率提高60%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s990-paper.pdf

138、Loki: Proactively discovering online scams by mining toxic search queries

在线电子商务诈骗，从购物诈骗到宠物诈骗，每年在全球造成数百万美元的经济损失。为此，安全社区已经开发了高度准确的检测系统，能够确定网站是否具有欺诈性。然而，寻找可作为输入提供给这些下游检测系统的候选诈骗网站具有挑战性：依赖用户报告本质上是被动的且反应缓慢，而主动发出搜索引擎查询以返回候选网站的系统则存在覆盖范围有限且无法推广到新型诈骗类型的问题。在本文中，我们提出了LOKI系统，该系统旨在识别可能返回大量欺诈性网站的搜索引擎查询。LOKI实现了基于特权信息学习（LUPI）和搜索引擎结果页面（SERP）特征提取的关键词评分模型。我们在10个主要诈骗类别中对LOKI进行了严格验证，并在所有类别中展示了相较于启发式和数据驱动基线20.58倍的发现率提升。利用仅包含1,663个已知诈骗网站的小型种子集，我们使用通过该方法识别的关键词发现了52,493个先前未报告的野外诈骗案例。最后，我们证明了LOKI可以推广到先前未见过的诈骗类别，突显了其在发现新兴威胁方面的实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s184-paper.pdf

139、Looma: A Low-Latency PQTLS Authentication Architecture for Cloud Applications

量子计算机威胁着打破传统TLS的密码学基础，促使向后量子密码学转变。然而，后量子认证会带来显著的性能开销，特别是在高握手率的云环境中进行相互TLS认证时。我们提出了Looma，一种快速的后量子认证架构，它将认证分为快速的路径上签名/验证操作和慢速的路径外异步预计算，在不牺牲安全性的情况下减少了握手延迟。集成到TLS 1.3中，与基于Dilithium-2的基线相比，Looma将PQTLS握手延迟降低了最多44%。我们的研究结果表明，Looma在云环境中扩展后量子安全通信具有实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f74-paper.pdf

140、Losing the Beat: Understanding and Mitigating Desynchronization Risks in Container Isolation

当今容器提供的隔离是通过高度协调地利用Linux命名空间和cgroups实现的。然而，随着计算范式的演变，特别是对跨命名空间资源共享有强烈需求的无服务器计算的出现，这种容器保护的基础已经动摇。这种共享削弱了容器的隔离模型，正如我们在研究中发现的，导致了命名空间-cgroup不同步（NCD）漏洞的出现。在本文中，我们对此类风险进行了研究，旨在确定其根本原因并理解其影响。我们的研究揭示，流行的容器工具都存在NCD风险，这在我们发现的四个新漏洞和一个错误中得到了证实。从根本上说，命名空间共享扩展了容器的隔离边界，这可能违反cgroups设定的限制，从而削弱了这两种机制提供的联合保护。这种冲突通常无法通过现有的容器工具调和。为了应对这一挑战并满足命名空间共享的需求，我们提出了一个内核级解决方案，以统一命名空间和cgroups在监控容器实例资源方面的分散职责。我们的设计将命名空间处理的资源管理与cgroups强制执行的限制相结合，并确定了它们应遵循的协作策略。分析和评估表明，我们的方法有效缓解了NCD风险，同时对Linux内核、主流容器工具和实际应用程序造成的成本可以忽略不计，并保持与这些系统的完全兼容性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1381-paper.pdf

141、Mapping the Cloud: A Mixed-Methods Study of Cloud Security and Privacy Configuration Challenges

云服务配置错误仍然是安全和隐私事件的主要原因，这通常源于云平台配置的复杂性。为了更好地理解这些挑战，我们分析了从2008年到2024年间约251,900条与安全和隐私相关的Stack Overflow帖子。通过使用主题建模和定性分析，我们系统地映射了云用例与其相关的安全和隐私配置挑战，揭示了云运营商所面临障碍的全景图。我们确定了技术性和以人为中心的问题，包括与文档不足以及缺乏针对运营商环境的上下文感知工具相关的问题。值得注意的是，身份验证和访问控制挑战出现在所有已识别的用例中，贯穿云部署、集成和维护的几乎所有阶段。我们的研究结果强调了需要可用、定制化和上下文敏感的支持工具和资源，以帮助开发人员安全地配置云服务。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1302-paper.pdf

142、Memory Backdoor Attacks on Neural Networks

Torsten Krauß（维尔茨堡大学），Alexandra Dmitrienko（维尔茨堡大学），Yisroel Mirsky（内盖夫本古里安大学）

神经网络通常在专有数据集上进行训练，使其成为有吸引力的攻击目标。我们提出了一种新颖的数据集提取方法，利用创新的训练时后门攻击，使恶意联邦学习（FL）服务器能够通过简单的索引过程系统性地、确定性地提取完整的客户端训练样本。与先前技术不同，我们的方法确保精确的数据恢复，而非概率性重建或幻觉，提供对记忆哪些样本及数量的精确控制，并展现出高容量和鲁棒性。受感染模型在接收到基于模式的索引触发器时会输出数据样本，从而在不影响全局模型效用的情况下，系统性地从每个客户端的本地数据中提取有意义的片段。为解决模型输出尺寸较小的问题，我们提取片段后将其重新组合。该攻击仅需对训练代码进行微小修改，可在客户端验证过程中轻易逃避检测。因此，这种漏洞代表了FL供应链的真实威胁，恶意服务器可向客户端分发修改后的训练代码，并从其更新中恢复私人数据。在分类器、分割模型和大型语言模型上的评估表明，可以从客户端模型中恢复数千个敏感训练样本，同时对任务性能影响最小，经过多轮FL后可窃取客户端的整个数据集。例如，医疗分割数据集的提取仅需3%的效用下降。这些研究结果揭示了FL系统中的关键隐私漏洞，强调了分布式训练管道中需要更强的完整性和透明度。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1870-paper.pdf

143、Memory Band-Aid: A Principled Rowhammer Defense-in-Depth

DRAM中的Rowhammer位翻转使软件攻击者能够完全攻破各类系统。硬件缓解措施可以精确且高效，但它们面临漫长的部署周期和非常有限或无更新能力的缺点。因此，改进的攻击方法已多次绕过已部署的硬件保护措施，使得商用系统容易受到Rowhammer攻击。在本文中，我们提出了Memory Band-Aid，一种针对Rowhammer的纵深防御方案。Memory Band-Aid并非长期高效的硬件缓解措施的替代品，而是一种纵深防御，在硬件缓解措施对特定系统世代不足时激活。为此，Memory Band-Aid在内存控制器中引入了按线程和按存储库的DRAM访问速率限制，确保无法达到Rowhammer位翻转所需的最小行激活次数。我们在Ubuntu Linux上实现了Memory Band-Aid的概念验证，并在2个Intel和2个AMD系统上进行了测试，由于当前硬件缺乏按存储库的限制，我们基于全局带宽限制进行实现。使用这个PoC，我们发现包含少量硬件更改的完整实现在一组真实的Phoronix宏基准测试中开销仅为0%至9.4%。在导致DRAM压力的微基准测试中，我们观察到1至5.1倍的减速。这两种开销仅适用于不可信的、被限制的工作负载，例如所有用户空间程序或仅选定的沙箱，如浏览器中的沙箱。特别是因为Memory Band-Aid可以按需启用，我们得出结论，Memory Band-Aid是一种重要的纵深防御，应作为第二防御层在实际中部署。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s156-paper.pdf

144、MEVisor: High-Throughput MEV Discovery in DEXs with GPU Parallelism

去中心化金融（DeFi）是区块链上新兴的金融服务，能够实现自动和匿名的交易。在DeFi中，去中心化交易所（DEXs）维护一对代币的储备，并确定代币交换的汇率。然而，DEXs也为最大可提取价值（MEV）创造了机会，攻击者可以通过包含、排除或重新排序DEX交易来利用代币价格差异并获取利润。发现MEV机会需要高吞吐量，因为12秒的区块间隔和庞大的搜索空间施加了严格的时间限制。然而，现有工具由于依赖CPU绑定执行，频繁的状态分叉和缓慢的DEX执行，导致吞吐量低下。在本文中，我们首次利用GPU并行计算能力来提升套利和三明治策略中的MEV搜索吞吐量。更准确地说，我们将MEV机器人编译为GPU应用程序，然后启动数千个GPU线程并行搜索利润。为此，我们设计了新的解决方案来解决三大挑战：设计在GPU上模拟交易的作弊代码，提出减少GPU内存使用的内存管理器，以及设计策略感知的变异以提高输入多样性。我们实现了一个名为MeVisor的原型，它在GPU上运行DEXs，并使用并行遗传算法搜索MEV。基于以太坊的3,941个真实MEV案例进行评估，MeVisor实现了每秒330万至510万笔交易的吞吐量，比CPU基准性能高出10万倍。在2025年第一季度的大规模研究中，MeVisor估计MEV机会在2到14笔交易之间，最多可获得110万美元的MEV利润。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f93-paper.pdf

145、MIMIR: Masked Image Modeling for Mutual Information-based Adversarial Robustness

视觉变换器（ViTs）已成为基础架构，并作为现代视觉-语言模型的骨干网络。尽管它们表现出色，但ViTs对逃避攻击表现出明显的脆弱性，这需要开发专门针对其独特架构的对抗训练（AT）策略。虽然直接解决方案可能涉及将现有的AT方法应用于ViTs，但我们的分析揭示了显著的不兼容性，特别是与最先进（SOTA）方法（如Generalist（CVPR 2023）和DBAT（USENIX Security 2024））存在明显差异。本文对ViTs中的对抗鲁棒性进行了系统研究，并基于其自编码器自监督预训练提供了新的互信息（MI）理论分析。具体而言，我们证明了在基于ViT的自编码器中，对抗样本与其潜在表示之间的MI应通过推导出的MI边界进行约束。基于这一见解，我们提出了一个名为MIMIR的自监督AT方法，该方法采用MI惩罚机制，通过自编码器的掩码图像建模促进对抗预训练。在CIFAR-10、Tiny-ImageNet和ImageNet-1K上的大量实验表明，MIMIR能够持续提高自然准确率和鲁棒性，在ImageNet-1K上超越了最先进的AT结果。值得注意的是，MIMIR对未预见攻击和常见损坏数据表现出更强的鲁棒性，并且能够抵御拥有完整防御机制知识的自适应攻击。我们的代码和训练模型可在以下公开获取：https://github.com/xiaoyunxxy/MIMIR。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1813-paper.pdf

146、MinBucket MPSI: Breaking the Max-Size Bottleneck in Multi-Party Private Set Intersection

多方隐私集合求交（基数）协议使T（T>2）方，每方持有一个私有集合，能够联合计算集合的交集（或基数），而不会向其他方泄露任何额外信息。迄今为止，所有已知的MPSI（MPSI-Card）协议都需要与大规模集合大小成比例的通信复杂度，这从根本上阻碍了它们在具有异构输入规模的实际应用中的高效部署。在这项工作中，我们提出了一种基于新协议的MPSI新框架：批量成员条件随机生成和联合私有相等性测试。通过实例化这一框架，我们开发了两种MPSI协议，其通信复杂度与小集合的大小成线性关系，与大集合的大小成对数关系。一种协议可抵御任意数量的合谋方，而另一种协议可抵御(T-2)个合谋方。此外，我们还开发了一种称为联合置换私有相等性测试的协议，并提出了MPSI-Card框架。通过实例化这一框架，我们推导出一种具有类似通信效率的MPSI-Card协议：与小集合大小成线性关系，与大集合大小成对数关系，可抵御任意数量的合谋方。我们在局域网和广域网环境中实现了我们的协议并进行了广泛实验。实验结果表明，随着集合间大小差异或持有小集合的参与者数量的增加，我们的协议实现了显著更好的性能。在5个持有大规模集合（大小为2^20）和5个持有小规模集合（大小为2^10）的参与方设置中，使用单线程和10 Mbps带宽，我们的MPSI（MPSI-Card）协议仅需12.2（12.2）MB的通信量和129.86（130.05）秒的运行时间。与Wao等人（USENIX Security 2024）的最先进MPSI和高等人（PETS 2024）的MPSI-Card相比，我们的协议实现了通信成本降低157倍（76倍）和运行时间加速12.7倍（3.1倍）。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f182-paper.pdf

147、Mirage: Private, Mobility-based Routing for Censorship Evasion

在专制和高度监控的环境中，传统通信网络容易受到审查、监控和破坏。虽然像Tor这样的去中心化匿名网络能提供强大的隐私保障，但它们仍然依赖于集中式互联网基础设施，使其容易受到大规模封锁或关闭。为解决这些局限性，我们提出了MIRAGE，一种基于移动性的隐私保护消息系统，专为抗审查通信而设计。MIRAGE采用基于区域的路由方案，根据人群的高层移动模式概率性地转发消息。为防止个人移动行为的泄露，MIRAGE通过局部差分隐私保护用户的移动模式，确保参与网络不会通过可观察的路由决策揭示个人的位置历史。我们在Cadence中实现了MIRAGE，这是一个开源模拟器，提供了一个统一框架，用于使用节点间随时间推移的近似地理遭遇来评估基于移动性的协议。我们分析了MIRAGE的隐私与效率权衡，并使用真实世界轨迹对其性能进行了评估：(1)传统流行病和基于随机游走的路由协议，以及(2)最先进的隐私保护地理路由协议。这些轨迹包括：一个是在不同城市地点收集的行人移动模式，另一个是出租车运营的GPS轨迹。我们的结果表明，与流行病路由相比，MIRAGE显著减少了消息开销，在投递率方面优于概率泛洪，同时比现有技术提供更强的隐私保障。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s237-paper.pdf

148、Mobius: Enabling Byzantine-Resilient Single Secret Leader Election with Uniquely Verifiable State

单密钥领导者选举（SSLE）协议能够在确保不可预测性的情况下，在一组注册节点中每轮选举出一个单一领导者。以太坊已将SSLE确定为其发展路线图中的关键组成部分，并采用其作为应对潜在攻击的潜在解决方案。然而，我们识别出一种新型攻击，称为"状态唯一性"攻击，该攻击由恶意领导者提出多个可公开验证的状态引起。这种攻击破坏了后续领导者选举中的"唯一性"属性，并很可能导致上层协议基本安全属性（如活跃性）的违反。这一漏洞源于将唯一性保证降低为每次选举只有一个状态的设计，并可推广到现有的SSLE构造中。我们基于理论分析和在以太坊上的实际执行进一步量化了这种攻击的严重性，强调了设计可证明安全的SSLE协议所面临的严峻挑战。为了解决"状态唯一性"攻击同时确保安全性和实际性能，我们提出了一个名为Mobius的通用SSLE协议，该协议不依赖额外的信任假设。具体而言，Mobius防止每次选举生成多个可验证状态，并通过创新的"近似唯一随机化"机制在连续执行中实现唯一状态。除了在通用可组合性框架中提供全面的安全分析外，我们还开发了Mobius的概念验证实现，并进行了广泛实验以评估其安全性和开销。实验结果表明，Mobius在显著降低协议执行过程中的通信复杂度的同时增强了安全性，在注册阶段实现了超过80%的减少。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2407-paper.pdf

149、MUTATO: Enhancing Fuzz Drivers with Adaptive API Option Mutation

模糊测试是发现漏洞和提高软件系统可靠性的核心技术。最近的研究表明，现代覆盖率引导模糊测试的主要瓶颈不在于模糊测试工具本身，而在于模糊驱动程序的构建——特别是它们在探索库API中选项参数时的有限灵活性。现有方法主要关注变异输入数据，常常忽略了从根本上影响API行为并可能隐藏关键漏洞的配置选项。为解决这一差距，我们提出了MUTATO，一种新的多维度模糊驱动程序增强方法，它使用覆盖率引导的ε-贪婪策略系统且自适应地变异输入数据和选项参数。与需要侵入性修改模糊测试工具或仅针对程序级选项的先前工作不同，MUTATO在驱动程序级别运行，确保了与模糊测试工具无关的适用性，并能与手动和自动生成的驱动程序无缝集成。我们进一步引入了选项参数模糊测试语言（OPFL）来指导驱动程序的增强。在10个广泛使用的C/C++库上进行的大量实验表明，与原始AFL++和LibFuzzer驱动程序相比，MUTATO增强的驱动程序平均分别实现了14%和13%的代码覆盖率提升，并发现了12个先前未知的漏洞，其中包括3个CVE。值得注意的是，我们在API中发现了4个漏洞，而OSS-Fuzz尽管进行了超过18,060小时的模糊测试却未能检测到这些漏洞。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s820-paper.pdf

150、MVP-ORAM: a Wait-free Concurrent ORAM for Confidential BFT Storage

众所周知，仅靠加密不足以保护数据隐私。执行操作时暴露的访问模式也可能被用于推理攻击。 oblivious RAM (ORAM) 通过使客户端请求变得不可知来隐藏访问模式。然而，现有协议在支持并发客户端和拜占庭容错(BFT)方面仍然存在局限性。我们提出了 MVP-ORAM，这是第一个支持易故障并发客户端的无等待 ORAM 协议。与之前的工作不同，MVP-ORAM 避免使用需要额外安全假设的可信代理，以及基于客户端间通信或分布式锁的并发控制机制，这些机制限制了整体吞吐量和容忍故障客户端的能力。相反，MVP-ORAM 使客户端能够执行并发请求并在发生时合并冲突更新，满足无等待特性，即客户端独立于其他客户端的性能或故障取得进展。由于等待和冲突自由是根本上矛盾的目标，无法在异步并发 ORAM 服务中同时实现，我们定义了一个依赖于应用程序工作负载和并发客户端数量的较弱不可知性概念，并证明 MVP-ORAM 在客户端执行倾斜块访问的实际场景中是安全的。通过实现无等待特性，MVP-ORAM 可以无缝集成到现有的机密 BFT 数据存储中，创建了第一个 BFT ORAM 构造。我们在一个机密 BFT 数据存储上实现了 MVP-ORAM，并证明我们的原型在现代云环境中每秒可以处理数百次 4KB 访问。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1809-paper.pdf

151、MVPNalyzer: An Investigative Framework for Auditing the Security & Privacy of Mobile VPNs

移动用户越来越依赖虚拟专用网络(VPN)来保护自己免受跟踪、监控和审查。VPN应用通过要求拦截用户流量而处于特权地位。虽然这保护了终端用户流量免受恶意网络中介(如监控互联网服务提供商)的侵害，但它导致了一种关键的"信任转移"，即从这些网络中介转移到VPN提供商。然而，尽管这一角色至关重要，但VPN应用，尤其是在移动平台上，仍然缺乏充分的审计。在这项工作中，我们提出了MVPN-Audit，一个可扩展的框架，用于系统分析Android VPN应用。该框架旨在处理Android VPN生态系统的独特挑战，使能够对VPN应用在网络各层的行为进行详细调查。我们将我们的框架应用于Google Play商店中的281个流行VPN应用，并发现了基本和关键问题：61个应用传输未加密数据，其中5个以明文形式发送敏感的VPN配置文件，允许攻击者劫持VPN隧道连接；29个应用将用户流量(包括DNS)泄露到隧道外；169个应用未能混淆流量以避免简单阻塞；76个应用传输广告ID，这是一种广泛用于设备和用户跟踪的设备唯一标识符；107个应用在其VPN配置文件中未能实施最佳安全实践。这些应用的总安装量达数亿次，突显了受影响用户的规模。我们的研究结果揭示了开发者疏忽的令人担忧的模式，突显了执行不力、透明度不足和维护不善如何继续削弱基本的安全保障。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1573-paper.pdf

152、NetCap: Data-Plane Capability-Based Defense Against Token Theft in Network Access

令牌在企业网络访问控制中发挥着至关重要的作用，它通过在各种协议（如JSON Web令牌、OAuth 2.0）中实现安全的身份验证和授权，使用户能够使用有效的访问令牌访问授权资源，而无需重复提交凭据。然而，授权主机内所有进程所获得的普遍信任，加上令牌的较长生命周期，为恶意进程劫持令牌并冒充合法用户创造了机会。这种威胁影响广泛范围的协议，并已导致众多真实世界事件。在本文中，我们提出了NetCap，这是一种新的防御机制，旨在防止攻击者在企业环境中使用被盗令牌访问未授权资源。其核心思想是引入不可伪造的、进程级的能力，这些能力与授权进程绑定。这些能力被持续嵌入到进程的网络流量中，以供目标资源进行验证，并且频繁刷新。进程身份与能力之间的这种绑定确保了即使访问令牌被恶意进程窃取，没有有效能力也无法通过身份验证。为了支持网络中进程生成的大量请求，NetCap引入了一种基于可编程交换机和eBPF的新型数据平面设计。通过多种优化技术，我们的系统支持能力的内联生成和嵌入，使大量流量能够以线路速率处理且开销极小。我们的广泛评估表明，NetCap在各种协议和实际应用中保持线路速率的网络性能，同时开销可忽略不计，并有效保护这些应用程序免受令牌盗窃攻击。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f273-paper.pdf

153、NetRadar: Enabling Robust Carpet Bombing DDoS Detection

地毯式轰炸攻击是分布式拒绝服务（DDoS）攻击日益普遍的一种变体，它同时攻击受害者网络中的多个服务器，通过最小化每流恶意流量吞吐量来规避检测。聚合的恶意流量压垮了网络接入点（如网关），导致拒绝服务。此外，高级攻击者采用应用层攻击方法生成在语义和流量体积上都不明显的恶意流量，使得现有的DDoS检测机制失效。我们提出了NetRadar，一个能够实现准确且稳健的地毯式轰炸攻击检测的DDoS检测器。NetRadar利用服务器-网关协作架构，聚合从受害者网络收集的流量和服务器端特征，并进行跨服务器分析以定位受害服务器。为实现服务器辅助的地毯式轰炸检测，我们引入了一个兼容多种服务的通用服务器端特征集，以及一种能够处理运行时特征不匹配问题的稳健模型训练方法。此外，我们还提出了一种高效的跨服务器入站流量分析方法，有效利用了地毯式轰炸流量的相似性，同时降低了计算开销。在真实和模拟数据集上的评估表明，NetRadar的检测性能优于最先进的解决方案，在所有地毯式轰炸检测场景中均实现了超过94%的准确率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2118-paper.pdf

154、NeuroStrike: Neuron-Level Attacks on Aligned LLMs

安全对齐对于大型语言模型（LLM）的道德部署至关重要，它引导模型避免生成有害或不道德的内容。当前的对齐技术，如监督微调和基于人类反馈的强化学习，仍然存在脆弱性，可以通过精心设计的对抗性提示绕过。不幸的是，此类攻击依赖于反复试验，缺乏跨模型的泛化能力，且受可扩展性和可靠性的限制。本文提出了NeuroStrike，一种新颖且可泛化的攻击框架，它利用了对齐技术引入的根本性漏洞：对稀疏、专门的安全神经元的依赖，这些神经元负责检测和抑制有害输入。我们将NeuroStrike应用于白盒和黑盒场景：在白盒场景中，NeuroStrike通过前馈激活分析识别安全神经元，并在推理过程中剪除它们以禁用安全机制。在黑盒场景中，我们提出了首个LLM画像攻击，利用安全神经元的可转移性，在开源权重代理模型上训练对抗性提示生成器，然后将其部署到黑盒和专有目标模型上。我们在来自主要LLM开发者的20多个开源权重LLM上评估了NeuroStrike。通过移除目标层中不到0.6%的神经元，NeuroStrike仅使用普通恶意提示就实现了76.9%的平均攻击成功率（ASR）。此外，NeuroStrike泛化到四个多模态LLM，对不安全图像输入的攻击成功率达到100%。安全神经元在不同架构间有效转移，使11个微调模型和5个蒸馏模型的ASR分别提高到78.5%和77.7%。黑盒LLM画像攻击在五个黑盒模型（包括谷歌的Gemini系列）上实现了63.7%的平均ASR。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s660-paper.pdf

155、NEXUS: Towards Accurate and Scalable Mapping between Vulnerabilities and Attack Techniques

通用漏洞与暴露(CVE)计划每年记录数千个已知漏洞，但没有关于这些漏洞可能如何被攻击者利用的可操作上下文。另一方面，MITRE ATT&CK框架概述了攻击战术、技术和程序(TTPs)，但没有将其与特定漏洞联系起来。虽然实现CVE描述到TTPs的自动映射可以允许更准确、更高效地检测和缓解威胁，但现有工作面临几个挑战：(i)缺乏将CVEs与TTPs链接的大规模、高质量数据集；(ii)现有数据中存在数据分布不均和关键TTPs缺失的问题；(iii)从非结构化CVE描述中准确提取敌对行为的困难；以及(iv)缺乏用于持续修正映射的自适应学习机制。本文通过NEXUS框架解决了这些挑战，该框架可自动将CVEs映射到TTPs。我们的评估(基于一个新构建的数据集，涵盖208个TTPs和92K+个CVEs，以及其他公共数据集)表明，NEXUS在CVE到TTP的映射中实现了97.94%的最高F1分数，并且能够处理新的CVE条目，而现有工作的最高F1分数仅为67.68%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2926-paper.pdf

156、ObliInjection: Order-Oblivious Prompt Injection Attack to LLM Agents with Multi-source Data

提示注入攻击旨在污染大语言模型(LLM)的输入数据，误导其完成攻击者选择的任务而非预期任务。在许多应用和代理中，输入数据来源于多个来源，每个来源贡献整体输入的一部分。在这些多源场景中，攻击者可能只控制部分来源并污染相应片段，但通常不知道这些片段在输入中的排列顺序。现有的提示注入攻击要么假设整个输入数据来自攻击者控制的单一来源，要么忽略不同来源片段排列的不确定性。因此，它们在涉及多源数据的领域中效果有限。在这项工作中，我们提出了ObliInjection，这是首个针对具有多源输入数据的大语言模型应用和代理的提示注入攻击。ObliInjection引入了两项关键技术创新：顺序无关损失(order-oblivious loss)，用于量化无论干净和污染片段如何排列，大语言模型都会完成攻击者选择任务的可能性；以及顺序GCG算法(orderGCG algorithm)，专门用于最小化顺序无关损失并优化污染片段。跨越三个不同应用领域数据集和十二个大语言模型的全面实验表明，ObliInjection高度有效，即使输入数据中只有6-100个片段中的一个被污染。我们的代码和数据可在以下网址获取：https://github.com/ReachalWang/ObliInjection。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f702-paper.pdf

157、OCCUPY+PROBE: Cross-Privilege Branch Target Buffer Side-Channel Attacks at Instruction Granularity

近年来，分支目标缓冲器（BTB）在系统安全研究中引起了广泛关注。在某些攻击场景中，该组件在逻辑或物理上被共享，被攻击者滥用以构建侧信道，从而泄露受害进程的敏感分支信息。然而，现有的BTB侧信道攻击要么因跨权限隔离机制而无法从用户模式泄露内核控制流信息，要么在分支监控中存在空间分辨率有限的问题。在本文中，我们提出了Occupy+Probe，一种基于驱逐的新型BTB侧信道攻击，它通过直接从用户模式成功暴露内核控制流行为来弥合这些差距。我们的方法从对Intel处理器上与偏移量相关的BTB更新机制的深入逆向工程开始，并揭示"在用户模式下创建的BTB条目可以直接被内核模式条目替换，而不管底层的替换策略和硬件隔离如何"，这构成了Occupy+Probe的基础。与现有的BTB侧信道攻击相比，Occupy+Probe消除了攻击者和受害者之间条目共享的需求。此外，它在分支监控中实现了指令级别的粒度，超越了现有基于驱逐的BTB侧信道器的空间分辨率。我们通过实验证明，Occupy+Probe可以在各种Intel处理器上以高空间分辨率跨权限边界泄露控制流信息。此外，我们通过针对Linux内核加密API的详细案例研究验证了Occupy+Probe的实际有效性，展示了其破坏关键内核操作的潜力。此外，与先前基于驱逐的BTB侧信道相比，Occupy+Probe展示了提取内核分支标签值的独特能力，这可用于破坏KASLR。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s925-paper.pdf

158、Odysseus: Jailbreaking Commercial Multimodal LLM-integrated Systems via Dual Steganography

多模态大语言模型（MLLMs）将文本与其他模态（如图像）相结合，展现出强大的能力，并在现实商业系统中日益广泛应用。然而，其日益普及也引发了关于滥用的担忧，例如生成有害内容。为缓解这些风险，对齐技术常被用于使模型行为与人类价值观保持一致。尽管有这些努力，但近期研究表明，越狱攻击可以绕过对齐并引发不安全输出。目前，大多数现有越狱方法针对开源模型设计，对集成额外过滤器的商业MLLM系统的效果有限。这些过滤器能够检测并阻止恶意输入和输出内容，显著降低越狱威胁。本文揭示，这些安全过滤器的成功严重依赖于一个关键假设：恶意内容必须在输入或输出中明确可见。这一假设在传统LLM集成系统中通常有效，但在MLLM集成系统中却不再成立，因为攻击者可以利用多种模态来隐藏对抗意图，导致现有MLLM集成系统产生虚假的安全感。为挑战这一假设，我们提出了Odysseus，一种新颖的越狱范式，引入双重隐写术，将恶意查询和响应 covertly 嵌入到看似无害的图像中。我们的方法通过四个阶段进行：（1）恶意查询编码，（2）隐写术嵌入，（3）模型交互，和（4）响应提取。我们首先将攻击者指定的恶意提示编码为二进制矩阵，并使用隐写术模型将其嵌入图像中。修改后的图像将被输入到目标MLLM集成系统中。我们鼓励目标MLLM集成系统将生成的不当内容植入到载体图像中（通过隐写术），供攻击者本地解码隐藏的响应。在基准数据集上的广泛实验表明，我们的Odysseus成功攻击了多个前沿且现实的MLLM集成系统，包括GPT-4o、Gemini-2.0-pro、Gemini-2.0-flash和Grok-3，攻击成功率高达99%。它暴露了现有防御中的一个根本盲点，呼吁重新思考MLLM集成系统中的跨模态安全问题。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f808-paper.pdf

159、On Borrowed Time: Measurement-Informed Understanding of the NTP Pool’s Robustness to Monopoly Attacks

互联网服务和应用严重依赖于网络时间的可用性和准确性。网络时间协议（NTP）是最古老的核心网络协议之一，至今仍是互联网上时钟同步的实际标准机制。尽管存在多个NTP基础设施，但其中之一"NTP池"因其两个基本原因而成为一个极具吸引力的攻击目标：1）它采用分布式管理，基于志愿者服务器；2）被广泛使用，包括全球的物联网和基础设施设备。我们首次收集了关于NTP池的直接、非推断性和全面的数据，包括：纵向的服务器和账户成员资格、服务器配置、时间质量、别名和全球查询流量负载。我们在九个月内收集了完整且细粒度的数据，发现了超过15,000台服务器（包括活跃和非活跃服务器），并对NTP池的使用情况、动态性和稳健性提供了新的见解。通过分析地址别名、账户和网络连接，我们发现池中只有19.7%的活跃服务器是完全独立的。最后，我们证明，拥有我们数据的攻击者能够更好、更精确地发起"垄断攻击"，只需10台或更少的恶意NTP服务器，就能捕获90%国家中绝大多数NTP池流量。我们的研究结果提出了多种可以改进该池稳健性的途径。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f541-paper.pdf

160、On the Security Risks of Memory Adaptation and Augmentation in Data-plane DoS Mitigation

商用交换机的数据平面可编程性正在通过支持自适应的线速率缓解策略，重塑拒绝服务（DoS）防御的格局。最近的系统如Cerberus [SP'24]利用控制平面支持来扩展有限的交换机内存，从而能够快速应对不断演变的攻击。在本文中，我们揭示了该模型中一个微妙但关键的漏洞；即，正是那些使防御系统具有敏捷性和可扩展性的机制，可能被一类新的协调式DoS攻击所破坏。我们提出了Heracles，这是首个利用可编程交换机中的硬件级约束来协调数据平面和控制平面内存中精确资源争用的攻击。通过利用侧信道时序信号，Heracles触发了同步增强、内存挤压和时间窗口利用，这是三种正交的争用策略，会显著降低甚至完全禁用DoS缓解能力。我们在真实的Tofino硬件上实现并测试了Heracles，表明它可以可靠地破坏各种DoS攻击配置文件下的DoS防御，即使使用松散（1-2秒）时间同步的攻击源也是如此。为缓解这一威胁，我们提出了Shield，一种多层DoS缓解草图架构，它解耦了控制平面和数据平面层的内存操作，在保持线速率性能和检测准确性的同时，有效缓解了Heracles攻击。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1857-paper.pdf

161、One Email, Many Faces: A Deep Dive into Identity Confusion in Email Aliases

电子邮件地址作为在线账户管理的通用标识符，其别名机制在电子邮件提供商与外部平台之间引入了显著的身份混淆问题。本文首次对电子邮件别名引起的不一致性问题进行了系统性分析，其中提供商将别名地址（如ALICE@example.com、alice+work@example.com）视为基础电子邮件（alice@example.com）的额外入口，而平台通常将它们视为不同的身份。通过对28家电子邮件提供商和18个在线平台的别名机制进行实证评估，我们揭示了关键差距：（1）只有Gmail完整记录了其别名规则，而11家提供商默默地支持未文档化的别名行为；（2）由于缺乏标准化文档和实际实施，平台要么无法区分别名地址，要么过度激进地排除了包含特定符号的所有电子邮件。真实世界的滥用案例表明，攻击者利用别名在npm中从单个基础电子邮件创建多达139个账户用于垃圾邮件活动。我们的用户研究进一步强调了安全风险，显示31.65%具有别名知识的参与者因提供商实现不一致而将钓鱼邮件误认为是合法的电子邮件别名。那些认为自己理解电子邮件别名的用户，特别是受教育程度高、男性和技术参与者，更容易受到钓鱼攻击。我们的研究结果强调了电子邮件别名标准化和透明的迫切需求。我们贡献了OriginMail工具，帮助平台解决别名混淆问题，并向相关利益相关者披露漏洞。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s148-paper.pdf

162、OptiMix: Scalable and Distributed Approaches for Latency Optimization in Modern Mixnets

提出的混网（mixnets）提供网络级匿名性，但代价是增加了通信延迟，这 consequently限制了它们仅适用于延迟容忍型应用，缩小了参与此类用例的客户端匿名集合。解决这一问题需要优化延迟，正如最近在LARMix（NDSS'24）和LAMP（NDSS'25）中通过节点排列和战略路由所探索的那样。然而，这些方法针对特定的混网设计，依赖简化的模型和信任假设，或存在实际效率有限的问题。相比之下，OptiMix通过引入一种通用的低延迟混网模型来弥合这些差距，该模型可适应所有成熟的设计。为此，我们首先提出了一种高效的分布式协议，用于在混网中排列节点，在保持对对手的无偏性（unbiasability）的同时实现低延迟特性。其次，我们引入了优化通信延迟的新型战略路由方案。第三，我们设计了一种负载均衡算法，能够均匀分配流量而不损害路由策略的延迟优化特性。第四，我们使用已部署的Nym混网数据进行了广泛评估，展示了在各种混网设计中显著降低延迟的同时最小化匿名损失——与最先进的解决方案相比实现了高达4倍的性能提升。最后，考虑到延迟减少会导致匿名性降低或带宽开销增加——正如匿名三难困境（anonymity trilemma）所述——我们提出了一种覆盖路由机制，使客户端能够受益于低延迟混网而不损害匿名性，代价是生成额外的覆盖流量。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s2680-paper.pdf

163、OSAVRoute: Advancing Outbound Source Address Validation Deployment Detection with Non-Cooperative Measurement

源IP地址欺骗促进了各种恶意攻击，而出站源地址验证（OSAV）仍然是防止欺骗数据包离开网络的最佳当前实践。准确测量OSAV的部署对于研究网络对IP欺骗的脆弱性至关重要。然而，此类测量通常需要从被测试网络内部发送欺骗数据包，需要网络运营商的合作。本文介绍了OSAVRoute，这是首个能够捕获OSAV部署细粒度特征的非合作系统。与现有只能识别OSAV缺失的非合作方法不同，OSAVRoute能够识别OSAV的存在与缺失，并进一步测量其阻塞粒度和阻塞深度，实现了先前仅限于合作方法的能力。OSAVRoute通过显式追踪欺骗数据包的转发路径实现这一功能，能够识别其生成和传播行为。OSAVRoute的准确率达到99.4%，覆盖范围比CAIDA Spoofer多3.1倍的自治系统（AS），它揭示84.2%的测试AS未部署OSAV，尤其是在ISP网络中。在实施OSAV的网络中，95.5%在前两个IP跳内阻塞欺骗数据包，但表现出各种阻塞粒度，其中/22到/24最为常见。此外，我们首次揭示了MANRS参与与OSAV部署之间的正相关关系。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s17-paper.pdf

164、PACS: Privacy-Preserving Attribute-Driven Community Search over Attributed Graphs

在数据驱动应用中，属性驱动的社区搜索已引起越来越多的关注，旨在帮助用户在属性图上找到满足特定要求的高质量子图。然而，在进行社区搜索时，很少有工作考虑数据隐私。一个关键原因是现实世界中的图规模持续增长，而属性驱动的社区搜索涉及在加密图数据上计算复杂指标，包括结构凝聚性和属性相关性，这些计算过于耗时，难以实际应用。本文首次提出了一种面向云的隐私保护属性驱动社区搜索实用方案，命名为PACS。PACS使服务器能够在接近毫秒的时间内高效响应属性驱动的社区搜索，同时无需访问属性图和搜索结果的敏感信息。为此，我们设计了两种结构：安全社区索引和安全边表，用于保护原始属性图的隐私。安全社区索引使云服务器能够高效识别满足结构凝聚性且具有最高属性分数的目标社区。特别是，我们采用内积加密来基于加密属性向量评估社区的属性驱动分数。通过BGN同态加密构建的安全边表，使云服务器能够安全地检索目标社区的边信息而无需了解其细节。我们进行了全面的安全分析，证明PACS实现了CQA2安全性。在真实社交网络数据集上的实验评估表明，PACS在处理属性驱动社区搜索时实现了接近毫秒级的效率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1586-paper.pdf

165、Paladin: Defending LLM-enabled Phishing Emails with a New Trigger-Tag Paradigm

随着大型语言模型的快速发展，其恶意使用（特别是在生成钓鱼内容方面）的潜在威胁日益普遍。利用LLM的能力，恶意用户可以合成没有拼写错误和其他易于检测特征的钓鱼邮件。此外，这类模型能够生成针对特定主题的钓鱼信息，根据目标领域定制内容，提高成功率。由于LLM生成的钓鱼邮件通常缺乏清晰或可区分的语言特征，检测此类内容仍是一项重大挑战。因此，大多数现有的语义级检测方法难以可靠地识别它们。虽然某些基于LLM的检测方法显示出前景，但它们计算成本高，且受底层语言模型性能的限制，使其难以大规模部署。在这项工作中，我们旨在解决这一问题。我们提出了Paladin，它使用各种插入策略将触发器-标签关联嵌入到基础LLM中，将其改造为检测型LLM。当检测型LLM生成与钓鱼相关的内容时，它会自动包含可检测的标签，从而实现更轻松的识别。基于隐式和显式触发器与标签的设计，我们考虑了四种不同的场景。我们从隐蔽性、有效性和稳健性三个关键角度评估我们的方法，并与现有的基线方法进行比较。实验结果表明，我们的方法优于基线方法，在所有场景中均实现了超过90%的检测准确率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s2522-paper.pdf

166、Pallas and Aegis: Rollback Resilience in TEE-Aided Blockchain Consensus

许多拜占庭容错(BFT)共识算法利用可信组件来提高弹性并减少通信开销。然而，最近的研究发现，当可信组件崩溃、丢失状态或被克隆时，存在一个关键的回滚攻击漏洞。现有的防御方法要么将崩溃的副本视为拜占antine节点，从而增加副本数量，要么在组件间复制可信状态，这会带来巨大的性能开销，并且仅提供有限的容错能力。我们提出了一种稳健的替代方案：一种针对可信组件的安全状态保存机制，消除了在副本间复制可信状态的高昂成本。其核心是Aegis，这是首个专为使用可信组件的BFT协议设计的高效视图同步器。Aegis确保每个副本在任何视图中只有一个可信组件实例可以投票，即使可信组件在崩溃后重新启动或被敌对者克隆。在Aegis的基础上，我们引入了Pallas，这是首个能够在强敌对者控制固定数量的拜占庭副本并可能导致数量不定的可信组件崩溃的情况下保持安全性的BFT共识协议。我们确定了在部分同步条件下Pallas确保活跃性的敌对条件。在Amazon AWS上进行的大量地理分布式评估表明，Pallas在稳定条件下提供高性能且开销可忽略，吞吐量比现有协议高41%，延迟低29%。更重要的是，在其他协议失败的敌对条件下，Pallas仍能保持活跃性和优雅降级。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2443-paper.pdf

167、Pando: Extremely Scalable BFT Based on Committee Sampling

拜占庭容错（BFT）协议一直面临着可扩展性问题。事实上，随着副本数量n的增加，其性能会急剧下降。尽管已有大量工作试图实现可扩展性目标，但这些工作最多只能扩展到大约一百个副本，尤其是在低端机器上。在本文中，我们基于所谓的委员会采样方法开发了BFT协议，该方法选择一个小型委员会进行共识，并将结果传达给所有副本。然而，这种方法一直专注于拜占庭协议（BA）问题（仅考虑副本），而非拜占庭容错（BFT）问题（在客户端-副本模型中）；此外，该方法主要仅具有理论意义，因为实际上它适用于不切实际的大n值。我们基于委员会采样方法，在部分同步环境中构建了一个名为Pando的极其高效、可扩展且具有自适应安全性的BFT协议。我们在Amazon EC2上的评估表明，与现有协议相比，Pando可以轻松扩展到WAN环境中的一千个副本，实现62.57 ktx/秒的吞吐量。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s273-paper.pdf

168、PANDORA: Lightweight Adversarial Defense for Edge IoT using Uncertainty-Aware Metric Learning

资源受限的物联网设备的快速增长显著扩大了攻击面，暴露了网络中的关键漏洞。因此，依赖静态、基于签名的传统入侵检测系统已日益过时。现代攻击者现在采用复杂、自动化且通常是新颖（零日）的攻击，这些攻击可以轻易绕过此类传统防御。此外，现有基于机器学习的入侵检测模型在实际场景中往往难以处理概念漂移和无法泛化到未知威胁等挑战。为解决这些差距，我们引入了PANDORA（资源受限架构上的概率网络防御），这是一个用于检测边缘设备上零日攻击的新型端到端框架。PANDORA做出三项关键贡献：1）它学习不确定性感知的概率嵌入，以创建网络流量的鲁棒表示；2）它引入了一种新颖的概率流形结构和距离（PMSD）损失函数，实现了有效的零样本泛化；3）它利用高效的Mamba-专家混合（MoE）架构进行设备端部署。为验证我们的方法，我们还引入了TTDFIOTIDS2025数据集，这是一个新的高保真基准，包含复杂、程序生成的攻击。我们的广泛评估表明，PANDORA显著优于最先进的模型，在CICIDS2017上仅通过10次样本适应即可达到0.971的F1分数。关键的是，在域偏移条件下，其零样本检测准确率高达99%，并且在部署到树莓派时，保持约24 MB的低内存占用和高达4.26流/秒的吞吐量，证明了其在实时边缘安全中的实际可行性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f713-paper.pdf

169、Passive Multi-Target GUTI Identification via Visual-RF Correlation in LTE Networks

LTE网络采用全球唯一临时标识符（GUTI）来保护用户免受永久国际移动用户身份（IMSI）的暴露，但我们表明，这些标识符可以通过被动观察在无需预先了解目标的情况下被解析并链接到特定设备。我们将带有时间戳的设备使用视觉观察与使用商用软件定义无线电（SDR）捕获的空中控制平面消息相关联。有限状态机（FSM）算法处理同步流以解析相机视场（FoV）内每个设备的GUTI，只要捕获相应的控制平面消息，仅需观察三次用户交互即可完成。在多个商业长期演进（LTE）网络进行的实地实验验证了多目标解析能力：在某些部署中，我们观察到GUTI可保持长达33天，且重新分配行为通常可被链接。一旦链接，这些长期存在的标识符通过被动监测寻呼消息和无线资源控制（RRC）消息，实现了从小区到寻呼区域范围的分层位置跟踪。与需要预先存在的标识符（如电话号码）和主动探测的主动IMSI捕获器或先前的GUTI攻击不同，我们的方法是仅监听模式，并可扩展到视场内的多个设备。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2487-paper.pdf

170、PathProb: Probabilistic Inference and Path Scoring for Enhanced and Flexible BGP Route Leak Detection

边界网关协议（BGP）缺乏内在安全性，使互联网容易受到路由泄漏等严重威胁。现有的检测方法存在二元分类僵化、误报率高以及权威AS关系数据稀疏等局限性。为应对这些挑战，本文提出了PathProb——一种新颖的范式，通过计算AS链路的拓扑感知概率分布和计算AS路径的合法性分数，灵活识别路由泄漏。我们的方法将蒙特卡洛方法与路由策略的整数线性规划公式相结合，以高效推导这些解决方案。我们使用真实的BGP路由跟踪和路由泄漏事件对PathProb进行了全面评估。结果表明，我们的推理模型在具有高置信度的验证数据集上优于最先进的方法。PathProb以98.45%的召回率检测真实世界的路由泄漏，同时将误报率比现有替代方法降低4.29~20.08个百分点。此外，PathProb的路径合法性评分使网络管理员能够动态调整路由泄漏检测阈值——根据其特定的误报容忍度和安全需求定制安全态势。最后，PathProb与新兴的路由缓解机制（如自治系统提供者授权（ASPA））无缝兼容，能够灵活集成以增强泄漏检测能力。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1691-paper.pdf

171、Peering Inside the Black-Box: Long-Range and Scalable Model Architecture Snooping via GPU Electromagnetic Side-Channel

随着深度神经网络（DNN）在自动驾驶和人脸识别等安全关键应用中的日益普及，它们也成为对抗性攻击的目标。然而，DNN的机密信息（包括模型架构）通常对攻击者隐藏。因此，对抗性攻击通常在黑盒环境下发起，这限制了其有效性。在本文中，我们提出了ModelSpy，一种基于GPU电磁（EM）泄漏的隐蔽DNN架构窥探攻击。ModelSpy能够在几米外甚至穿透墙壁提取完整的架构信息。ModelSpy基于一个关键观察：在DNN推理过程中，GPU会发出远场电磁信号，这些信号表现出特定于架构的幅度调制。我们开发了一个分层重建模型，从嘈杂的电磁信号中恢复细粒度的架构细节。为了提高对不同且不断演变的架构的可扩展性，我们设计了一个迁移学习方案，利用外部电磁泄漏与内部GPU活动之间的相关性。我们设计并实现了一个概念验证系统，以证明ModelSpy的可行性。我们在五款高端消费级GPU上的评估显示，ModelSpy在架构重建方面具有高准确性，包括97.6%的层分割准确率和94.0%的超参数估计准确率，工作距离可达6米。此外，ModelSpy重建的DNN与受害架构具有相当的性能，并能有效增强黑盒对抗性攻击。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s141-paper.pdf

172、PhantomMap: GPU-Assisted Kernel Exploitation

图形处理单元（GPU）已成为现代计算中的关键组件，推动了高性能渲染和并行处理的发展。其中，Arm公司的Mali GPU是在移动设备中部署最广泛的。与CPU端成熟且稳健的防御措施相比，GPU的安全保护仍然不足。因此，GPU已成为攻击者绕过CPU防御的首选目标。例如"三角行动"（Operation Triangulation）等重大事件已经证明，GPU端的漏洞可以被利用来危害系统安全。尽管威胁日益增加，对Mali GPU的全面深入的安全分析仍然缺失。为填补这一空白，我们首次对Mali GPU的内存映射机制进行了深入的安全分析，发现了两个新的安全弱点：分配-映射解耦和物理地址验证缺失。利用这些弱点，我们提出了PhantomMap，一种新颖的GPU辅助利用技术，可将有限的堆漏洞转化为强大的物理内存读写原语，无需特权能力或信息泄露即可绕过主流内核防御。为评估其安全影响，我们开发了一个静态分析工具，能够系统识别所有易受攻击的映射路径，在两种Mali驱动架构中发现了15个利用链。我们基于真实世界的CVE漏洞开发了15个端到端漏洞利用程序，进一步证明了PhantomMap的实用性，其中包括CVE-2025-21836的首个公开漏洞利用程序。最后，我们设计并实现了一个轻量级的驱动内缓解措施，在Pixel 6和Pixel 7设备上以最小的性能开销消除了根本原因。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f201-paper.pdf

173、PhantomMotion: Laser-Based Motion Injection Attacks on Wireless Security Surveillance Systems

无线安全监控系统因其日益提高的性价比而被广泛部署。运动检测通常被集成到这些系统中，作为其安全功能的核心，用于检测是否有人在监控范围内，然后触发系统开始录制或通知财产所有者。在本文中，我们提出了PhantomMotion，一种新的攻击框架，用于欺骗这些安全系统的运动检测功能。它可以通过将激光束瞄准运动检测范围来秘密地创建虚假运动刺激，并通过嗅探无线流量确认系统对刺激的响应。PhantomMotion不需要任何专业设备，也不需要在监控区域内进行物理运动。它包含一个集成了激光控制和WiFi嗅探的新型硬件平台，以及一种新的运动注入生成机制。我们开发了一款智能手机应用程序来实现PhantomMotion，并在18种流行的无线运动激活安全系统上验证了其有效性。实验结果表明，PhantomMotion能够始终生成虚假运动来成功触发这些系统，平均耗时12.8秒，激光点移动平均距离为1.1米。值得注意的是，我们验证了PhantomMotion可以在高达120米的距离上有效工作。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1454-paper.pdf

174、Phishing in Wonderland: Evaluating Learning-Based Ethereum Phishing Transaction Detection and Pitfalls

钓鱼攻击仍然是以太坊生态系统的一个重大威胁，占以太坊相关网络犯罪的50%以上，并促使基于机器学习的防御措施兴起。本文提出了一个综合框架，通过解决特征选择、类别不平衡、模型鲁棒性和算法优化等关键挑战，来增强以太坊交易中的钓鱼检测。通过对现有方法的系统性评估，我们确定了实践中的主要差距，特别是在特征处理和不可持续的性能提升方面。我们的分析和实证评估表明，所提出的框架提高了检测的泛化能力和有效性。这些研究结果强调了需要完善检测策略，以应对区块链领域日益复杂的钓鱼战术。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f694-paper.pdf

175、PhishLang: A Real-Time, Fully Client-Side Phishing Detection Framework Using MobileBERT

我们提出了PhishLang，这是首个完全基于客户端的反钓鱼框架，以基于Chromium的浏览器扩展形式实现。PhishLang利用轻量级语言模型(MobileBERT)实现钓鱼网站的实时、设备端检测。与难以应对规避性威胁的传统启发式或静态特征模型，以及对于客户端使用而言资源消耗过大的深度学习方法不同，PhishLang分析页面源代码的上下文结构，在检测性能上与几种最先进的模型相当，同时内存消耗比类似架构低多达7倍。在为期3.5个月的期间内，我们实时部署了该框架，成功识别了约26,000个钓鱼URL，其中许多是流行反钓鱼黑名单未检测到的，从而证明了PhishLang辅助当前检测措施的潜力。另一方面，该浏览器扩展超越了多种反钓鱼工具，在零日攻击期间检测到超过91%的威胁。PhishLang还表现出强大的对抗鲁棒性，通过解析器级防御和对抗性重训相结合的方式，抵抗了16类真实问题空间的规避攻击。为了帮助终端用户和研究社区，我们已经开源了PhishLang框架和浏览器扩展。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1037-paper.pdf

176、PhyFuzz: Detecting Sensor Vulnerabilities with Physical Signal Fuzzing

传感器漏洞可被物理信号攻击利用，导致传感器测量错误，危及依赖传感器做出关键决策的系统。尽管已有数百项研究发现了众多传感器漏洞，但它们都依赖于人工专家分析，需要耗时耗力的试错过程。缺乏自动化方法辅助检测传感器漏洞，已成为连接传感器安全研究与工业应用之间鸿沟的主要障碍。本文提出PhyFuzz，一种新的物理信号模糊测试范式，它依赖物理测试信号来检测现有及潜在的新型传感器漏洞，无需人工干预。为应对物理信号模糊测试带来的前所未有的挑战，如信号参数的无限搜索空间和多样化传感器硬件的黑盒设计，我们设计了一种独特的模糊测试算法，能够高效构建测试信号，并对传感器漏洞识别和评估进行有效的特征离散化。我们实现了PhyFuzz原型系统，支持声学、激光和电磁信号的模糊测试。实验表明，该系统能够在9种不同类型的13个传感器上识别出46个漏洞，其中包括6个未公开的案例。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f29-paper.pdf

177、PIRANHAS: PrIvacy-Preserving Remote Attestation in Non-Hierarchical Asynchronous Swarms

远程认证是评估远程设备完整性的基本安全机制。在实践中，现有协议缺乏公开可验证性和交互要求，这阻碍了认证方案的广泛采用。Ebrahimi 等人 (NDSS'24) 的最新工作构建了公开可验证的非交互式远程认证，但却忽略了认证敏感系统的另一个重要要求：隐私保护。在物联网集群中，许多设备可能处理敏感数据，这些设备应产生单一的认证证明，同样存在此类需求。在本文中，我们同时应对这两个挑战。我们提出了 PIRANHAS，一种针对单个设备和集群的公开可验证、异步且匿名的认证方案。我们利用 zk-SNARKs 将任何经典的对称远程认证方案转换为非交互式、公开可验证且匿名的方案。验证者仅确认认证的有效性，而不了解任何关于相关设备的识别信息。对于物联网集群，PIRANHAS 使用递归 zk-SNARKs 对整个集群的认证证明进行聚合。我们的系统支持任意网络拓扑结构，并允许节点动态加入和离开网络。我们为单设备和集群场景提供了形式化安全证明，表明我们的构造满足所需的安全保证。此外，我们使用 Noir 和 Plonky2 框架提供了我们方案的开源实现，实现了仅 356ms 的聚合运行时间。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f526-paper.pdf

178、Pitfalls for Security Isolation in Multi-CPU Systems

在嵌入式系统中，将多个CPU集成到单个系统芯片(SoC)中可以实现更高的性能，并将任务分离为独立的固件和优化架构。例如，ARM Cortex-M4核心可以运行主固件，而Cortex-M0核心可以运行实时操作系统(RTOS)。此类集成的安全影响仍不明确，例如，如果一个攻击者在某个CPU上执行代码，是否能够完全攻破第二个CPU或泄露受保护数据。在这项工作中，我们系统地识别了此类集成导致的安全问题，特别是与内存和外设访问控制相关的问题。这些问题源于在新多CPU系统中重用单CPU安全机制，如内存保护单元(MPU)。我们确定了此类系统中可能存在的四种主要攻击向量，并发现市场上大量系统似乎存在漏洞。这些攻击向量可能导致对另一个CPU受保护内存的任意读写，甚至导致代码执行。此外，我们发现一种流行的开源RTOS FreeRTOS[17]的通信机制（被建议作为多CPU系统上固件间的通信机制）在多CPU场景中引入了代码执行漏洞。随后，我们通过实施四种攻击向量验证了我们的理论预测，并证明了其实际有效性。此外，我们发现在一个案例中，发现的攻击面可能导致自定义可信执行环境(TEE)实现的攻破。我们向供应商负责任地披露了我们的发现，导致发布了安全公告并对专有网络栈实现进行了修复。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f971-paper.pdf

179、PortRush: Detect Write Port Contention Side-Channel Vulnerabilities via Hardware Fuzzing

CPU漏洞在现代CPU架构中持续构成安全挑战。在CPU漏洞中，写端口竞争——由多个功能模块同时竞争有限的共享写端口引起——仍未得到充分研究。本文研究了CPU中的写端口竞争侧信道漏洞，并提出了PortRush，一种新型模糊测试框架，用于在寄存器传输级（RTL）检测和验证此类漏洞。首先，PortRush构建写请求图（WRG），通过建模目标共享存储单元的功能模块之间的写路径和优先关系，静态识别潜在的写端口竞争实例。其次，在WRG中，PortRush实现了分层聚合和解码方法，通过监控设计层次结构中的相关硬件信号，高效检测写端口竞争。第三，PortRush采用竞争引导的硬件模糊测试方法，触发写端口竞争，并将竞争触发的指令序列与瞬时执行攻击模式自动结合，从而验证写端口竞争侧信道漏洞。我们在三个RISC-V CPU（BOOM、NutShell和Rocket Core）上评估了PortRush，证明了其在识别和触发写端口竞争方面的有效性。此外，我们验证了所发现的漏洞可在实际的写端口竞争攻击场景中被利用。基于这些漏洞，我们提出了两种新型攻击向量：Birgus变体，利用重排序缓冲区中物理寄存器文件的竞争；以及MSHRush，利用L1数据缓存中加载/存储单元（LSU）与缺失状态处理寄存器（MSHR）之间的竞争，以诱导依赖于秘密的执行延迟。我们还为CPU开发者提出了缓解此类漏洞的策略。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f587-paper.pdf

180、Practical Traceable Over-Threshold Multi-Party Private Set Intersection

带阈值的多方私密集合交集（MP-PSI）通过披露至少出现在t个参与者集合中的元素，而非要求元素出现在所有n个集合中，从而增强了MP-PSI的灵活性。在每位参与者负责其数据集的场景中，例如数字取证，带阈值的MP-PSI应披露交集元素及其对应持有者，以便元素可追溯，从而保证交集的可靠性。我们将支持可追溯性的带阈值MP-PSI称为可追溯超阈值多方私密集合交集（T-OT-MP-PSI）。然而，此类协议的研究仍然有限，当前解决方案能够抵抗t-2个半诚实参与者，但代价是巨大的计算开销。在本文中，我们提出了两种新颖的可追溯OT-MP-PSI协议。第一种是高效可追溯OT-MP-PSI（ET-OT-MP-PSI），它将Shamir秘密共享与可忽略可编程伪随机函数相结合，在抵抗最多t-2个半诚实参与者的同时显著提高了效率。第二种是增强安全性的可追溯OT-MP-PSI（ST-OT-MP-PSI），它通过进一步利用可忽略线性评估协议，实现了抵抗多达n-1个半诚实参与者的安全性。与Mahdavi等人最近的Traceable OT-MP-PSI协议相比，我们的协议消除了某些特殊参与者不共谋的安全假设，并提供了更强的安全保证。我们实现了所提出的协议并在各种设置下进行了广泛实验。我们将我们的协议与Mahdavi等人的协议进行了性能比较。尽管我们的可追溯OT-MP-PSI协议增强了安全性，但实验结果表明其具有高效率。例如，给定5个参与者，阈值为3，集合大小为2^14时，我们的ET-OT-MP-PSI协议比Mahdavi等人的协议快15056倍，而ST-OT-MP-PSI协议快505倍。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s38-paper.pdf

181、PriSrv+: Privacy and Usability-Enhanced Wireless Service Discovery with Fast and Expressive Matchmaking Encryption

服务发现是无线网络中的基本过程，使设备能够动态地查找并与服务通信，对于5G和物联网等现代系统的无缝运行至关重要。本文介绍了PriSrv+，一种针对现代无线网络和资源受限环境的先进隐私和可用性增强型服务发现协议。PriSrv+基于PriSrv（NDSS'24），通过解决在表达性、隐私性、可扩展性和效率方面的关键局限性，同时保持与广泛使用的无线协议（如mDNS、BLE和Wi-Fi）的兼容性。PriSrv+的一个关键创新是开发了快速且表达性强的匹配加密（FEME），这是第一个能够支持具有无界属性宇宙的表达性访问控制策略的匹配加密方案，允许使用任意字符串作为属性。FEME显著增强了服务发现的灵活性，同时确保了强大的消息和属性隐私。与PriSrv相比，PriSrv+优化了加密操作，加密速度提高了7.62倍，解密速度提高了6.23倍，并将密文大小减少了87.33%。此外，与PriSrv相比，PriSrv+将服务广播的通信成本降低了87.33%，匿名相互认证的通信成本降低了86.64%。形式化安全证明确认了FEME和PriSrv+的安全性。在多个平台上的广泛评估表明，与现有最先进的协议相比，PriSrv+实现了卓越的性能、可扩展性和效率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s87-paper.pdf

182、PrivATE: Differentially Private Average Treatment Effect Estimation for Observational Data

因果推断在多学科科学研究中发挥着关键作用。从观测数据中估计因果效应，特别是平均处理效应（ATE），已引起广泛关注。然而，从现实世界观测数据计算ATE会对用户造成严重的隐私风险。差分隐私提供了严格的理论保证，已成为隐私保护数据分析的标准方法。然而，现有的差分隐私ATE估计研究依赖于特定假设，提供的隐私保护有限，或无法提供全面的信息保护。为此，我们引入了PrivATE，一个确保差分隐私的实用ATE估计框架。实际上，不同场景需要不同程度的隐私保护。例如，在教育评估中，只有测试成绩通常是敏感信息，而所有类型的医疗记录数据通常都是私有的。为了适应不同的隐私需求，我们在PrivATE中设计了两个级别的隐私保护（即标签级和样本级）。通过推导自适应匹配限制，PrivATE有效平衡了噪声引起的误差和匹配误差，从而实现了更准确的ATE估计。我们的评估验证了PrivATE的有效性。在所有数据集和隐私预算下，PrivATE均优于基线方法。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1350-paper.pdf

183、PrivCode: When Code Generation Meets Differential Privacy

大型语言模型（LLMs）在代码生成和补全方面表现出色。然而，在私有数据集上对这些模型进行微调可能会引发隐私和专有性问题，例如敏感个人信息的泄露。差分私有（DP）代码生成通过生成保留统计特性同时减少隐私泄露担忧的合成数据集，为保护敏感代码提供了理论保证。然而，DP代码生成面临着严格的语法依赖性和隐私-效用权衡的显著挑战。我们提出了PrivCode，这是首个专门为代码数据集设计的DP合成器。它采用两阶段框架来提高隐私性和效用性。在第一阶段，称为"隐私净化"，PrivCode通过使用DP-SGD训练模型并引入语法信息来保留代码结构，生成符合DP要求的合成代码。第二阶段，称为"效用提升"，在无隐私风险的合成代码上对更大的预训练LLM进行微调，以减轻DP造成的效用损失，提高生成代码的效用性。在四个LLMs上的广泛实验表明，在四个基准测试的各种测试任务中，PrivCode生成的代码具有更高的效用。实验还证实了它在不同隐私预算下保护敏感数据的能力。我们在匿名链接提供了复制包。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f936-paper.pdf

184、PrivORL: Differentially Private Synthetic Dataset for Offline Reinforcement Learning

最近，离线强化学习（RL）已成为一种流行的强化学习范式。在离线强化学习中，数据提供者共享预先收集的数据集——无论是作为单个转换还是形成轨迹的转换序列——以实现强化学习模型（也称为智能体）的训练，而无需直接与环境交互。与传统强化学习相比，离线强化学习减少了与环境的交互，并在导航任务等关键领域已证明其有效性。同时，关于离线强化学习数据集隐私泄露的担忧也随之出现。为了保护离线强化学习数据集中的私人信息，我们提出了首个差分隐私（DP）离线数据集合成方法PrivORL，该方法分别利用扩散模型和扩散转换器在差分隐私条件下合成转换和轨迹。然后，合成数据集可以安全地发布用于下游分析和研究。PrivORL采用在公共数据集上预训练合成器，然后使用差分随机梯度下降（DP-SGD）在敏感数据集上进行微调的流行方法。此外，PrivORL引入了由好奇心驱动的预训练，该方法利用好奇心模块的反馈来多样化合成数据集，从而能够生成与敏感数据集高度相似的多样化合成转换和轨迹。在五个敏感离线强化学习数据集上的广泛实验表明，与基线方法相比，我们的方法在差分隐私转换和轨迹合成中实现了更好的效用和保真度。复制包可通过匿名链接获取。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f149-paper.pdf

185、Prompt Injection Attack to Tool Selection in LLM Agents

工具选择是LLM智能体的关键组成部分。一种流行的方法遵循两步过程——检索和选择——从工具库中为给定任务选择最合适的工具。在这项工作中，我们引入了ToolHijacker，这是一种针对无框场景中工具选择的新型提示注入攻击。ToolHijacker将恶意工具文档注入工具库，以操纵LLM智能体的工具选择过程，迫使其始终为攻击者选择的目标任务选择攻击者的恶意工具。具体而言，我们将此类工具文档的制定表述为一个优化问题，并提出了一种两阶段优化策略来解决它。我们广泛的实验评估表明，ToolHijacker非常有效，在应用于工具选择时，显著优于现有的基于手动和自动化的提示注入攻击。此外，我们探索了各种防御措施，包括基于预防的防御（StruQ和SecAlign）和基于检测的防御（已知答案检测、DataSentinel、困惑度检测和窗口化困惑度检测）。我们的实验结果表明，这些防御措施不足，凸显了开发新防御策略的迫切需求。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s675-paper.pdf

186、ProtocolGuard: Detecting Protocol Non-compliance Bugs via LLM-guided Static Analysis and Dynamic Verification

网络协议实现应严格遵循其规范以确保可靠和安全的通信。然而，自然语言规范的固有歧义常导致开发者的误解，使协议实现偏离标准行为。这些偏差会导致细微的不合规错误，引发互操作性和关键安全问题。与内存损坏错误不同，这类错误通常不表现出明显的错误行为，导致现有的错误预言机制不足以全面检测它们。此外，现有工作需要大量手动工作来验证发现和分析根本原因，严重限制了它们的实际可扩展性。

本文提出了ProtocolGuard，一个新颖的框架，通过结合大语言模型（LLM）引导的静态分析与基于模糊测试的动态验证，系统性地检测不合规错误。ProtocolGuard首先使用混合方法从协议规范中提取规范性规则，并执行LLM引导的程序切片，提取与每条规则相关的代码片段。然后，它利用LLM检测这些规则与代码逻辑之间的语义不一致，并动态验证这些错误是否可以被触发。为便于错误验证，ProtocolGuard首先使用LLM自动生成断言语句并对代码进行插桩，将静默的不一致转变为可观察的断言失败。接着，借助LLM生成更有可能触发错误的初始测试用例进行动态验证。最后，ProtocolGuard动态测试插桩后的代码，确认错误识别并生成概念验证测试用例。

我们实现了ProtocolGuard的原型，并在11个广泛使用的协议实现上对其进行了评估。ProtocolGuard以高精度成功发现了158个不合规错误，其中70个已得到确认，且大多数可以转换为断言并进行动态验证。与现有最先进工具的对比表明，在错误检测能力方面，ProtocolGuard在精确率和召回率上都优于它们。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f521-paper.pdf

187、Pruning the Tree: Rethinking RPKI Architecture from the Ground up

资源公钥基础设施（RPKI）是BGP的关键安全机制，但随着其采用规模的扩大，其架构复杂性日益成为关注点。当前RPKI设计大量重用了传统PKI组件，如X.509 EE证书、ASN.1编码和基于XML的存储库协议，这些引入了过多的密码验证、冗余元数据以及在存储和处理方面的低效。我们表明，这些设计选择虽然基于既定标准，但造成了显著的性能瓶颈，增加了攻击面，并阻碍了大规模互联网部署的可扩展性。在本文中，我们首次对RPKI设计中复杂性的根本原因进行了系统性分析，并通过实验量化了它们在现实世界中的影响。我们表明，RPKI依赖方超过70%的验证时间花费在证书解析和签名验证上，其中大部分是不必要的。基于这一见解，我们引入了改进的RPKI（iRPKI），这是一种向后兼容的重新设计，在保留所有安全保证的同时显著减少了协议开销。iRPKI消除了EE证书和ROA签名，合并了撤销和完整性对象，用Protobuf替换了冗长的编码，并重新构造了存储库元数据以实现更高效的访问。我们通过实验证明，在Routinator验证器中实现的iRPKI实现了处理时间20倍的加速，带宽需求18倍的改进，缓存内存占用8倍的减少，同时消除了已在RPKI软件中导致至少10个漏洞的漏洞类别。iRPKI显著提高了在互联网中特别是在受限环境中大规模部署RPKI的可行性。我们的设计可以增量部署而不会影响现有操作。我们开源了我们的设计、对象模板、发布点软件和RP实现，以促进iRPKI集成到当前RPKI部署中，并能够复现我们的研究。我们进一步提供了如何从我们提出的改进中推导新RPKI规范的建议，以促进标准化。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s823-paper.pdf

188、Prεεmpt: Sanitizing Sensitive Prompts for LLMs

大型语言模型(LLMs)的兴起带来了新的隐私挑战，特别是在推理过程中，提示中的敏感信息可能暴露给专有的LLM API。在本文中，我们解决了在保持响应质量的同时正式保护提示中包含的敏感信息的问题。为此，首先，我们引入了一种受密码学启发的"提示净化器"概念，用于转换输入提示以保护其敏感标记。其次，我们提出了Pr$epsilonepsilon$mpt，一个实现提示净化器的系统，专注于仅能从各个标记中推导出的敏感信息。Pr$epsilonepsilon$mpt将敏感标记分为两类：(1)LLM的响应仅依赖于格式的标记(如社会保障号、信用卡号)，对此我们使用格式保留加密(FPE)；(2)响应依赖于特定值的标记(如年龄、薪资)，对此我们应用度量差分隐私(mDP)。我们的评估表明，Pr$epsilonepsilon$mpt是一种实现有意义隐私保证的实用方法，与未净化的提示相比保持了高效用，并优于先前的方法。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1277-paper.pdf

189、Q-MLLM: Vector Quantization for Robust Multimodal Large Language Model Security

多模态大型语言模型（MLLMs）在跨模态理解方面展现出令人印象深刻的能力，但尽管拥有强大的文本安全机制，仍易通过视觉输入受到对抗性攻击。这些弱点源于两个核心问题：视觉表示的连续性使得基于梯度的攻击成为可能，以及基于文本的安全机制无法充分迁移到视觉内容。我们提出了Q-MLLM，一种新颖的架构，通过集成两级向量量化来创建对抗性攻击的离散瓶颈，同时保留多模态推理能力。通过在像素块和语义级别对视觉表示进行离散化，Q-MLLM能够阻断攻击路径并弥合跨模态安全对齐的差距。我们的两阶段训练方法确保了稳健的学习同时保持模型效用。实验表明，Q-MLLM在抵御越狱攻击和有毒图像攻击方面的防御成功率显著优于现有方法。值得注意的是，除一个可争议的案例外，Q-MLLM对越狱攻击实现了完美的防御成功率（100%），同时在多个效用基准测试上保持有竞争力的性能，且推理开销最小。这项研究确立了向量量化作为安全多模态AI系统的有效防御机制，无需昂贵的特定安全微调或检测开销。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s407-paper.pdf

190、QNBAD: Quantum Noise-induced Backdoor Attacks against Zero Noise Extrapolation

变分量子算法（VQA）已成为在嘈杂中等规模量子（NISQ）时代实现实用量子优势的最有前景的范例之一。为了提高VQA在嘈杂硬件上的计算精度，零噪声外推（ZNE）已成为一种广泛采用且有效的错误缓解技术。然而，对ZNE的日益依赖也增加了识别潜在对抗性攻击的重要性。我们审视了现有的后门攻击，并强调了它们为何难以破坏ZNE。具体而言，仅修改电路结构的量子后门攻击只会移动理想输出而不影响噪声相关的外推过程，从而使ZNE保持完整。同样，不考虑设备特定噪声而训练的参数级后门在不同硬件平台上表现出不一致的行为，导致不可靠或无效的攻击。基于这些观察，我们发现了一类新的后门漏洞，专门针对ZNE的独特属性。在本研究中，我们提出了QNBAD，这是一种针对ZNE的新型隐蔽后门攻击。QNBAD经过精心设计，可在大多数设备上保持变分量子电路的正确功能。然而，在特定的噪声模型下，它利用量子噪声与电路结构之间的微妙相互作用，系统性地操纵不同噪声水平下的采样期望值。这种有针对性的干扰破坏了ZNE拟合过程，并导致显著偏差的最终估计。与先前的后门方法相比，QNBAD在四个平台和六个应用中实现了绝对误差放大1.68倍至11.7倍的显著提升。此外，它在各种拟合函数和ZNE变体中保持有效。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1665-paper.pdf

191、ReFuzz: Reusing Tests for Processor Fuzzing with Contextual Bandits

处理器设计依赖于迭代修改和重用成熟的设计。然而，这种对先前设计的重用也导致多个处理器之间存在相似的漏洞。随着处理器通过迭代修改变得越来越复杂，高效检测现代处理器中的漏洞变得至关重要。受软件模糊测试的启发，硬件模糊测试最近已证明其在检测处理器漏洞方面的有效性。然而，据我们所知，现有的处理器模糊测试器单独测试每个设计，缺乏理解先前处理器中已知漏洞的能力，无法微调模糊测试以识别相似或新的漏洞变体。为了解决这一差距，我们提出了ReFuzz，一个自适应模糊测试框架，它利用上下文老虎机来重用来自先前处理器的高度有效测试，以在给定ISA内测试目标处理器（PUT）。通过智能修改能触发先前处理器漏洞的测试，ReFuzz能够检测PUT中的相似漏洞和新变体。ReFuzz发现了三个新的安全漏洞和两个新的功能错误。ReFuzz通过重用触发先前处理器中已知漏洞的测试，检测到一个漏洞。一个功能错误存在于共享设计模块的三个处理器中。第二个错误有两个变体。此外，与现有的模糊测试器相比，ReFuzz通过重用高度有效的测试来提高覆盖率效率，实现了平均511.23倍的覆盖率加速和高达9.33%的额外总覆盖率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f118-paper.pdf

192、Repairing Trust in Domain Name Disputes Practices: Insights from a Quarter-Century’s Worth of Squabbles

《统一域名争议解决政策》（UDRP）旨在平衡两个相互竞争的目标：赋予商标持有人迅速解决域名滥用的权力——例如销售经常绕过黑名单等技术保护措施的假冒商品，并保护注册人免受过度主张商标的当事人采取的激进法律策略。自实施以来，UDRP已成为超过一千二百个域名扩展的实际争议解决机制，比最初的三个有了显著增加。然而，尽管取得了成功，批评者认为该政策助长了破坏信任和公平的做法。不幸的是，由于缺乏大规模结构化数据，有意义的改革努力陷入停滞，这限制了实证评估，并使基础性问题在过去二十多年中一直悬而未决。为解决这一长期存在的空白，我们训练了模型从90,153个UDRP争议程序中提取结构化数据，从而实现了迄今为止对该政策最全面的实证分析。我们的研究结果揭示了几个问题，显示在几乎所有争议中近三分之一的案件存在"法庭选购"现象，43个案例中存在潜在的利益冲突，以及许多当事人的延迟回应时间远超预期——所有这些都影响了UDRP的感知公平性和效率。除了侵蚀信任外，这些问题还带来了严重的安全挑战：在专家组下令转移域名后，2,751个恶意域名仍在恶意行为者控制下长达四个月。总体而言，我们的研究结果强调了政策改革的必要性，以帮助恢复信任并提高互联网应对商标侵权的实际标准的透明度。基于我们的发现，我们建议引入更多自动化、加强监督和执行更明确的合规规则，以确保UDRP继续成为基于商标的名称争议的可靠工具——特别是在互联网随着新的通用顶级域名（2026年）和日益敌对的数字环境不断扩张的背景下。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s174-paper.pdf

193、Rethinking Fake Speech Detection: A Generalized Framework Leveraging Spectrogram Magnitude

受深度学习进步驱动的语音合成技术已取得了显著的逼真效果，使其能够在各个领域实现多样化应用。然而，这些技术也可能被用来生成虚假语音，带来重大风险。尽管现有的虚假语音检测方法在受控环境中表现出有效性，但它们往往难以推广到未见过的场景，包括新的合成模型、语言和录音条件。此外，许多现有方法依赖于特定假设，且缺乏对虚假语音中固有伪影的全面理解。本文通过提出一种专注于分析语谱图幅度的新视角，重新思考了虚假语音检测任务。通过广泛分析，我们发现合成语音在语谱图的幅度表示中始终表现出伪影，如纹理细节减少和不同幅度范围的不一致性。利用这些见解，我们引入了一种新颖的无假设且通用的虚假语音检测框架。该框架基于幅度将语谱图分层表示，并利用二维和三维表示在空间和离散余弦变换（DCT）域中检测伪影。这种设计使框架能够有效捕捉虚假语音中固有的细粒度伪影和合成不一致性。大量实验表明，该框架在几个广泛使用的公共音频深度伪造数据集上取得了最先进的性能。此外，在涉及黑盒网络语音克隆API的真实场景评估中，突显了该框架的鲁棒性和实际适用性， consistently优于基线方法。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1024-paper.pdf

194、Revealing The Secret Power: How Algorithms Can Influence Content Visibility on Twitter/X

近年来，社交网络推荐算法的不透明设计和公众对其的有限理解引发了人们对信息曝光可能被操纵的担忧。降低内容可见性，即所谓的"影子封禁"，可能有助于限制有害内容；然而，它也可能被用来压制不同声音。这促使我们需要更大的透明度和对这一做法的更好理解。在本文中，我们通过对两个Twitter/X数据集进行大规模定量分析来研究可见性变化的存在，这些数据集包含来自900多万用户的超过4000万条推文，重点关注围绕乌克兰-俄罗斯冲突和2024年美国总统大选的讨论。我们使用浏览量来检测可见性降低或增加的模式，并检查这些模式如何与用户观点、社会角色和叙事框架相关联。我们的分析表明，算法系统性地惩罚包含外部资源链接的推文，将其可见性降低多达8倍，而不管其意识形态立场或来源可靠性如何。相反，内容可见性可能会根据产生它的特定账户而被惩罚或青睐，正如比较基辅独立报和RT.com的推文或唐纳德·特朗普和卡玛拉·哈里斯的推文时所观察到的那样。总体而言，我们的工作强调了内容审核和推荐系统透明度的重要性，以保护公共话语的完整性并确保对在线平台的公平访问。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s718-paper.pdf

195、Revisiting Differentially Private Hyper-parameter Tuning

我们研究了差分隐私在超参数调优中的应用，该过程涉及从多个候选运行中选择最佳运行。与许多隐私学习算法（包括普遍使用的DP-SGD）不同，选择最佳运行的隐私影响常常被忽视。尽管最近的研究提出了针对调优过程的通用隐私选择解决方案，但一个悬而未决的问题仍然存在：这种隐私上界是否紧密？本文从实证和理论两方面探讨了这一问题。最初，我们提供的研究证实了当前隐私分析中关于隐私选择的结论在一般情况下确实是紧密的。然而，当我们具体研究白盒环境下的超参数调优问题时，这种紧密性便不再成立。这一点首先通过对调优过程进行隐私审计得到证明。我们的研究结果表明，即使在强大的审计设置下，当前的理论隐私边界与经验隐私泄露之间仍存在显著差距。这一差距促使我们进行后续的理论研究，由于超参数调优具有独特性质，我们为其提供了改进的隐私上界。我们的改进边界带来了更好的效用。与之前仅限于特定参数配置的分析相比，我们的分析还展示了更广泛的应用性。总体而言，我们对理解因"选择"导致的隐私退化做出了贡献。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s447-paper.pdf

196、Robust Fraud Transaction Detection: A Two-Player Game Approach

基于机器学习（ML）的欺诈检测系统被企业广泛采用，以减少欺诈活动造成的经济损失。然而，欺诈者具有智能性且快速演变，采用先进技术伪造交易特征以规避检测系统。更糟糕的是，由于这些伪造过程不受小范围限制，基于小规模扰动的现有鲁棒性增强方法无效。检测不受限制扰动的欺诈活动显著增加了欺诈检测的不确定性，这仍然是一个开放性问题。为解决这一问题，我们提出了GAMER，一个基于双人博弈的鲁棒欺诈检测系统，在检测欺诈活动时实现了高准确性和强鲁棒性。具体而言，GAMER利用特征选择主动对抗欺诈检测中的智能欺诈者（即选择较少的特征以减少特征伪造的组合），并创新地将检测过程表述为双人博弈。通过求解双人博弈的均衡点，GAMER计算特征选择的最优概率，该概率考虑了欺诈者所有可能的伪造策略。基于均衡点的选择概率不仅最小化了欺诈者获得的收益，从而阻止他们发起伪造；还使系统能够在检测欺诈活动时选择鲁棒特征（即不太可能被伪造的特征），增强了系统在欺诈检测中的鲁棒性。我们的理论和实验结果验证了威慑和鲁棒性增强的特性。此外，对全球领先在线支付企业遭受的真实攻击进行的实验表明，GAMER优于传统的鲁棒性增强技术，在为期两个月的欺诈检测中平均将F1分数提高了67.5%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1611-paper.pdf

197、ropbot: Reimaging Code Reuse Attack Synthesis

代码重用攻击是现代基于内存损坏攻击的最关键基石之一。然而，将代码片段(gadgets)拼接在一起的任务仍然是一个耗时且手动的过程。过去十年间已发表大量研究旨在自动化解决这个问题，但实践中很少被采用。这些解决方案在性能或支持的架构方面通常不切实际，或者无法生成有效的代码链。系统分析表明，它们都采用生成-测试方法，即首先枚举所有代码片段，然后使用符号执行或SMT求解器来推理哪些代码片段可以组合成链。不幸的是，这种方法随可用代码片段的数量呈指数级扩展，从而限制了在较大二进制文件上的可扩展性。在这项工作中，我们重新审视这一基本策略，并提出了一种新的代码片段分组方法，称为ROPBlock，它与代码片段有一个关键区别：ROPBlock保证可以链接。我们将ROPBlock的概念与图搜索算法相结合，提出了一种代码链接方法，与先前的工作相比显著提高了性能。我们将设置寄存器为攻击者指定值的时间复杂度从O(2^n)降低到O(n)。这在实践中带来了2-3个数量级的加速。同时，ROPBlock使我们能够建模复杂的代码片段——例如涉及ret2csu或包含条件分支的代码片段——而大多数其他方法在设计上无法考虑这些。由于ROPBlock与架构无关，我们的方法可以应用于多种架构。我们的原型工具ropbot在评估的所有37个二进制文件上平均2.5秒内即可生成调用dup-dup-execve的复杂真实世界代码链。除了一种方法外，所有其他方法都无法在此场景下生成任何代码链。对于需要设置六个寄存器值的困难场景——mmap链，ropbot找到的目标数量是第二佳技术的5倍。为了展示其多功能性，我们在x64、MIPS、ARM和AArch64上评估了ropbot。我们仅通过添加十二行代码就在不到两小时内添加了RISC-V支持。最后，我们证明ropbot在各自的数据集上优于所有现有工具。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f845-paper.pdf

198、Rounding-Guided Backdoor Injection in Deep Learning Model Quantization

模型量化是将深度学习模型部署在资源受限环境中的常用技术。然而，它也可能引入先前被忽视的安全风险。在这项工作中，我们提出了QuRA，一种利用模型量化来嵌入恶意行为的新型后门攻击。与依赖训练数据投毒或模型训练操作的传统后门攻击不同，QuRA仅通过量化操作工作。具体而言，QuRA首先采用一种新颖的权重选择策略来识别影响后门目标的关键权重（同时考虑保持模型整体性能）。然后，通过优化这些权重的舍入方向，我们在不降低准确率的情况下跨模型层放大后门效应。大量实验表明，QuRA在大多数情况下实现了接近100%的攻击成功率，且性能下降可忽略不计。此外，我们证明QuRA能够适应并绕过现有的后门防御措施，凸显了其威胁潜力。我们的研究结果强调了广泛使用的模型量化过程中的关键漏洞，强调了需要更强大的安全措施。我们的实现可在https://github.com/cxx122/QuRA获取。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s113-paper.pdf

199、RoundRole: Unlocking the Efficiency of Multi-party Computation with Bandwidth-aware Execution

在隐私保护分布式计算系统如安全多方计算(MPC)中，跨方通信是主要瓶颈。过去二十年间，众多卓越协议被提出以降低整体通信复杂度，显著缩小了MPC与明文计算之间的差距。然而，这些进展常常忽视了一个关键方面：非对称通信模式。这种不平衡导致执行过程中产生大量带宽浪费，从而"锁定"了性能。本文提出了RoundRole，一种针对秘密共享MPC的带宽感知执行优化。其核心思想是将决定通信模式的逻辑角色与决定带宽的物理节点解耦。通过将整体协议划分为并行任务，并为每个任务将每个逻辑角色战略性地映射到物理节点，RoundRole能够根据固有协议通信量和物理带宽有效分配通信工作负载。这种执行级别的优化充分利用了网络资源并"解锁"了效率。我们将RoundRole集成到广泛使用的开源MPC框架ABY3之上。在六种不同网络环境（具有同构和异构带宽）下对九种协议进行的广泛评估展示了显著的性能提升，最高可达7.1倍的加速比。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f52-paper.pdf

200、RTCON: Context-Adaptive Function-Level Fuzzing for RTOS Kernels

实时操作系统(RTOS)因其包含蓝牙和Wi-Fi等多种子系统而被广泛应用于嵌入式系统。随着其功能不断增长，其攻击面也随之扩大，使其面临更多的安全威胁。为应对这一问题，模糊测试等动态测试技术已被广泛应用于嵌入式系统。然而，对于RTOS，由于其复杂性，这些技术难以有效测试内核中深度嵌套的函数。在本文中，我们提出了RTCon，一种面向RTOS内核的上下文自适应函数级模糊测试工具。RTCon通过在模糊测试过程中自适应生成函数上下文，对RTOS内核中的任何目标函数进行函数级模糊测试。此外，RTCon采用多层分类方法根据置信度对崩溃进行分类，帮助分析师专注于高置信度崩溃。我们实现了RTCon的原型，并在四种流行的RTOS内核上进行了评估：Zephyr、RIOT、FreeRTOS和ThreadX。结果表明，RTCon发现了27个漏洞，其中包括25个新漏洞。我们向维护者报告了所有这些漏洞，并获得了14个CVE编号。RTCon在崩溃分类方面也展示了其有效性，高置信度崩溃的精确度达到92.7%，而低置信度崩溃的精确度仅为5.8%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1600-paper.pdf

跳转微信打开

201、RTrace: Towards Better Visibility of Shared Library Execution

软件供应链安全近年来已成为一个关键问题。现代软件系统越来越多地依赖第三方依赖项来加速开发。共享库是现代软件系统中软件共享的主要形式，因此也是第三方依赖的主要形式。随着越来越多的攻击针对软件供应链，理解这些依赖项的行为对于识别漏洞和恶意代码至关重要。因此，准确追踪共享库内的函数调用对于有效的软件安全分析至关重要。然而，现有的库函数追踪工具往往无法满足这一需求。正如我们在本文中所展示的，最先进的库函数追踪工具在有效性和可扩展性方面存在局限，遗漏了大量函数调用，并且在处理更复杂的工作负载时失败，导致对运行时行为的不完整或误导性视图。在本文中，我们提出了RTrace，一个旨在解决现有解决方案局限性的追踪工具。我们分析了广泛使用的追踪工具遗漏函数调用的根本原因，并确定了常见陷阱，如依赖不正确的符号信息以及无法监控早期或间接的函数调用。RTrace通过结合全面的运行时监控、函数边界检测以及对隐式和非传统函数调用的支持，克服了这些挑战。我们将RTrace与四种最先进的追踪工具（即ltrace、drltrace、ldaudit和IntelPT）进行了比较。我们在21个应用程序和92个共享库上的评估表明，RTrace在检测函数调用方面显著优于现有工具。RTrace在所有基准测试中至少达到0.92的F1分数，而最好的现有追踪工具仅达到0.74，从而提供了对共享库运行时行为的更准确可见性。最后，我们展示了如何通过提供更完整的共享库函数使用视图，利用RTrace辅助检测恶意包和进行漏洞分析。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1243-paper.pdf

202、SACK: Systematic Generation of Function Substitution Attacks Against Control-Flow Integrity

控制流完整性（CFI）是一种广泛采用的防御控制流劫持攻击的技术，旨在限制间接控制传输到一组合法目标。然而，即使在精确的静态CFI策略下，攻击者仍然可以通过函数替换攻击（Sub攻击）来劫持控制流，即用一个仍然允许集合内的有效目标替换另一个有效目标。尽管先前的研究已经通过手动构建证明了此类攻击的可行性，但没有一种方法能够系统化、可扩展地端到端地构建这些攻击。在这项工作中，我们提出了SACK，这是第一个用于大规模自动构建Sub攻击的系统框架。SACK从良性执行中收集触发的间接调用目标，并在大型语言模型的协助下合成安全预言机。然后，它自动执行目标替换，并利用安全预言机检测安全违规，同时确保执行严格遵循精确的CFI策略。我们将SACK应用于七种广泛使用的应用程序，成功构建了419个危及关键安全功能的Sub攻击。我们进一步基于SQLite3、V8和Nginx中的历史漏洞开发了五个端到端漏洞利用程序，实现了任意命令执行或身份验证绕过。我们的研究结果表明，SACK提供了一个可扩展且自动化的管道，能够在不同应用程序中发现大量端到端攻击。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2317-paper.pdf

203、SAGA: A Security Architecture for Governing AI Agentic Systems

基于大型语言模型(LLM)的代理日益自主地相互交互、协作和委派任务，且与人类的互动最小化。代理系统治理的行业指南强调用户需要对其代理保持全面控制，以减轻恶意代理可能造成的潜在损害。多项提出的代理系统设计解决了代理身份、授权和委派问题，但仍停留在纯理论层面，缺乏具体实现和评估。最重要的是，它们不提供用户控制的代理管理。为解决这一差距，我们提出了SAGA，即可扩展的代理系统安全治理架构，使用户能够监督其代理的整个生命周期。在我们的设计中，用户向中央实体(提供者)注册其代理，该实体维护代理的联系信息、用户定义的访问控制策略，并帮助代理在代理间通信中执行这些策略。我们引入了一种用于派生访问控制令牌的密码学机制，可对代理与其他代理的交互进行细粒度控制，并提供正式的安全保证。我们在多个代理任务上评估了SAGA，使用位于不同地理位置的代理以及多种设备端和云端LLM，结果表明在广泛条件下，系统性能开销最小，且不影响底层任务效用。我们的架构实现了自主代理的安全可信部署，促进了该技术在敏感环境中的负责任应用。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s869-paper.pdf

204、Scalable Off-chain Auction

区块链拍卖在数字资产（如NFT）的价格发现中发挥着重要作用。然而，尽管其重要性显著，但在以太坊等区块链上直接实施拍卖会面临可扩展性问题。具体而言，链上交易的数量随竞标者数量增加而急剧下降，导致网络拥堵、交易费用上升和交易确认时间延长。这种可扩展性的缺失严重限制了系统处理当今经济中常见的大规模、高速拍卖的能力。在本工作中，我们构建了一个协议，使得拍卖商可以完全在链下进行密封投标拍卖，当各方行为诚实时；如果在n方拍卖协议中有k个竞标者偏离（例如，不公开其密封投标），则链上复杂度仅为O(k)。这优于现有解决方案，即使只有一个竞标者偏离协议，现有解决方案也需要O(n)的链上复杂度。在拍卖商恶意的情况下，我们的协议仍能确保拍卖成功终止。我们实现了该协议，并证明与现有链上解决方案相比，它提供了显著的效率提升。我们使用零知识简洁非交互知识论证（zkSnark）来实现可扩展性，这也确保了链上合约和其他参与者无法获取竞标者身份及其各自投标的信息，除了获胜者和中标金额。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s410-paper.pdf

205、SECV: Securing Connected Vehicles with Hardware Trust Anchors

现代车辆将车外网络（EVN）与车内网络（IVN）集成，以支持导航、诊断和空中更新。这种融合引入了EVN平台作为IVN网关处控制消息的新来源，打破了网关仅过滤来自简单、孤立且隐式信任的遗留ECU流量的传统假设。相反，EVN平台托管了一个具有完整操作系统和多个应用程序的复杂EVN管理器，大大扩大了攻击面：被攻破的操作系统或应用程序可以伪造规避网关过滤的控制消息。我们提出了SECV，一种运行时安全机制，使IVN网关能够准确验证源自EVN的控制消息，即使EVN管理器被攻破。sys在可信执行环境（TEE）内调解所有EVN到IVN的流量，执行每应用程序验证，并附加密码学证明。这些证明由IVN网关使用硬件安全模块（HSM）进行验证，提供低开销的可靠消息认证。SECV解决了TEE-HSM信任建立、实时调解和妥协情况下的稳健归属等实际挑战。在配备ARM TrustZone和符合EVIT标准的HSM的汽车SoC上实现，SECV仅提供6.5%的传输几何平均开销和极端通信突发期间的1.5%额外消息丢失，强制执行强大的安全保证，有效缓解源自EVN的攻击，同时满足实时约束。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f106-paper.pdf

206、Select-Then-Compute: Encrypted Label Selection and Analytics over Distributed Datasets using FHE

私有集合交集（PSI）协议允许查询者确定数据集中是否存在某项，而无需揭示查询内容或暴露不匹配的记录。它在欺诈检测、合规监控、健康分析和跨分布式数据源的安全协作等领域有广泛应用。在这些情况下，通过PSI获得的结果可能是敏感的，甚至在向查询者揭示结果之前，需要对相关数据进行某种形式的下游计算，这些计算可能涉及浮点运算，例如机器学习模型的推理。尽管已经提出了许多此类协议，其中一些甚至支持在分布式加密集合上进行安全查询，但它们未能解决上述现实世界的复杂问题。在这项工作中，我们首次提出了"加密标签选择和分析"协议构建，它允许查询者安全地检索不仅限于标识符之间的交集结果，还包括与相交标识符相关联的数据/标签的下游函数结果。为此，我们构建了一种基于近似CKKS全同态加密的新颖协议，支持对实值数据进行高效的标签检索和下游计算。此外，我们引入了几种技术来处理大域中的标识符（例如64位或128位），同时确保下游计算的高精度。最后，我们实现了并基准测试了我们的协议，将其与最先进的方法进行比较，并在真实世界的欺诈数据集上进行了评估，展示了其在大规模用例场景中的可扩展性和效率。我们的结果显示比先前方法快1.4倍至6.8倍，能够在65秒内对真实数据集上的加密标签进行选择和分析，使我们的协议在实际部署中具有实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f207-paper.pdf

207、Shadow in the Cache: Unveiling and Mitigating Privacy Risks of KV-cache in LLM Inference

键值（KV）缓存通过存储中间注意力计算（键值对）以避免冗余计算，是加速大语言模型（LLM）推理的基本机制。然而，这种效率优化引入了显著但尚未充分探索的隐私风险。本文首次对这些漏洞进行了全面分析，证明攻击者可以直接从KV缓存中重建敏感的用户输入。我们设计并实现了三种不同的攻击向量：直接逆向攻击、适用范围更广且更强大的碰撞攻击，以及基于语义的注入攻击。这些方法证明了KV缓存隐私泄露问题的实际性和严重性。为缓解这一问题，我们提出了KV-Cloak，一种新颖、轻量且高效的防御机制。KV-Cloak使用基于可逆矩阵的混淆方案，结合算子融合，来保护KV缓存。我们的广泛实验表明，KV-Cloak有效阻止了所有提出的攻击，将重建质量降低到随机噪声水平。重要的是，它在几乎不损害模型准确性的情况下实现了这种强大的安全性，且性能开销极小，为可信LLM部署提供了实用的解决方案。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f258-paper.pdf

208、Should I Trust You? Rethinking the Principle of Zone-Based Isolation DNS Bailiwick Checking

DNS缓存投毒攻击通过向解析器中注入伪造的资源记录来秘密劫持域名访问。为应对此类攻击，解析器采用辖区检查（bailiwick checking）这一关键防御机制，旨在过滤DNS响应中可能存在的恶意记录。然而，在第三方服务背景下，域名所有权与传统自上而下的区域授权模型之间的不匹配，对辖区检查的有效性构成了重大挑战。本文对辖区检查的设计与实现进行了系统性分析，证明主流解析器普遍采用保守原则：它们会缓存任何满足最低约束的资源记录，而不管其与原始查询的直接相关性如何。基于这一发现，我们提出了一种新型缓存投毒攻击（称为"布谷鸟域名"）：攻击者通过控制单个子域名，可危害其父域名或兄弟域名。测试结果表明，包括BIND9和Microsoft DNS在内的七种主要DNS解析器实现存在漏洞。通过大规模测量研究，我们确认44.64%的开放解析器和21家主要公共DNS服务提供商也面临风险。此外，我们发现No-IP、ClouDNS和Akamai等7家提供商提供的超过百万个子域名可能易受此类攻击劫持。我们已进行了负责任的披露，向受影响的软件供应商和服务提供商报告了相关问题。BIND9、Unbound、PowerDNS和Technitium已确认我们的报告并分配了3个CVE编号。我们呼吁社区和软件厂商共同应对现代服务生态系统对辖区检查有效性提出的新挑战。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f330-paper.pdf

209、Side-channel Inference of User Activities in AR/VR Using GPU Profiling

过去十年，AR/VR设备彻底改变了我们与数字世界的交互方式。用户经常在这些设备上安装的第三方应用中分享敏感信息，如位置、浏览历史，甚至是财务数据，并假设这些信息受到恶意行为者的保护，处于安全环境中。最近的研究表明，恶意应用可以利用这些功能监控良性应用，通过跟踪用户活动，利用性能计数器API等细粒度分析工具。然而，并非所有AR/VR设备（如Meta Quest）都支持应用间监控，因为它们禁用了并发独立应用执行。在本文中，我们提出了OVRWatcher，一种面向AR/VR设备的新型侧通道原语，它通过后台脚本监控低分辨率（1Hz）的GPU使用情况来推断用户活动，这与依赖高分辨率分析的前期工作不同。OVRWatcher能够捕捉不同速度、距离和渲染场景下GPU指标与3D对象交互之间的相关性，无需并发应用执行、应用数据访问或额外SDK安装。我们证明了OVRWatcher在识别独立AR/VR和WebXR应用方面的有效性。OVRWatcher还能区分虚拟对象，例如沉浸式购物应用中真实用户选择的产品以及虚拟会议的参与者数量，从而揭示用户的产品偏好并可能暴露会议中的机密信息。OVRWatcher在应用识别方面实现了超过99%的准确率，在对象级推断方面实现了超过98%的准确率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1302-paper.pdf

210、SIPConfusion: Exploiting SIP Semantic Ambiguities for Caller ID and SMS Spoofing

会话初始化协议（SIP）是现代实时通信系统的基石，为VoIP、VoLTE和RCS等服务中的语音通话、文本消息和多媒体会话提供支持。尽管SIP提供了身份验证和身份声明的机制，但其固有的灵活性可能导致不同实现之间存在语义歧义，从而被攻击者利用。在本文中，我们提出了SIPChimera，一种新颖的黑盒模糊测试框架，旨在系统性地识别SIP实现中基于身份歧义的身份欺骗漏洞。我们对六种广泛使用的开源SIP服务器（包括Asterisk和OpenSIPS）和九种流行的用户代理进行了SIPChimera评估，发现攻击者可以通过操纵身份头信息来欺骗身份并绕过身份验证。我们通过评估五种VoIP设备、七种商业SIP部署和三种运营商级基于RCS的短信平台，展示了这些漏洞的现实影响。我们的实验表明，攻击者可以利用这些漏洞在VoIP通话中进行来电显示欺骗，并通过RCS发送欺骗性短信，冒充任意用户或服务。我们已向相关供应商负责任地披露了我们的发现，并收到了积极确认。最后，我们提出了缓解这些问题的解决方案。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s116-paper.pdf

211、Small Cell, Big Risk: A Security Assessment of 4G LTE Femtocells in the Wild

femtocell是小型、由运营商部署的基站，旨在扩展移动网络覆盖范围，但它们与运营商移动基础设施的整合引入了显著的新攻击面。虽然5G femtocell标准最近才最终确定，但4G LTE femtocell已经标准化并广泛实施。在这项工作中，我们基于真实商业设备和大规模互联网测量，对4G LTE femtocell进行了首次系统性安全评估。我们系统分析了4款商业femtocell设备的软件和硬件，确定了5个关键且普遍存在的漏洞，这些漏洞可导致本地或远程系统被攻破。我们的全球互联网测量发现了86,108个疑似femtocell部署，其中许多容易受到远程攻击。此外，我们在真实运营商网络中实验验证了单个被攻破的femtocell可作为攻击移动核心网络及其订阅者的有力入口点。我们的研究结果表明，在现有4G LTE网络中，femtocell安全仍然是一个紧迫的关切问题。我们将研究结果报告给了全球移动通信系统协会（GSMA）和第三代合作伙伴计划（3GPP）服务与系统方面工作组3（SA3）。3GPP SA3随后批准了一项进一步强化5G femtocell安全的研究项目，以及一项定义5G femtocell安全保证规范（SCAS）的工作项目。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1968-paper.pdf

212、SNPeek: Side-Channel Analysis for Privacy Applications on Confidential VMs

基于可信执行环境（TEEs）的机密虚拟机（CVMs）能够实现新的隐私保护解决方案。然而，它们将侧信道泄漏排除在其威胁模型之外，将缓解此类攻击的责任转移给开发者。但是，这些缓解措施要么不够通用，要么在实际应用中速度太慢，而且开发者目前缺乏一种系统、高效的方法来测量和比较实际部署中的泄漏情况。在本文中，我们提出了SNPeek，一个开源工具包，它可在生产级AMD SEV-SNP硬件上提供可配置的侧信道跟踪原语，并结合基于统计和机器学习的分析流程，实现自动化的泄漏估计。我们将SNPeek应用于三个部署在CVM上以增强用户隐私的代表性工作负载——私有信息检索、私有频繁项和Wasm用户定义函数，并发现了先前未被注意到的泄漏，包括一个以497 kbit/s速率泄露数据的隐蔽信道。结果表明，SNPeek能够精确定位漏洞，并指导基于 oblivious memory 和差分隐私的低开销缓解措施，为从业者提供了一条具有实际意义的部署具有实质性保密保证的CVMs的路径。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f699-paper.pdf

213、SoK: Analysis of Accelerator TEE Designs

加速器可信执行环境（TEE）是一种流行技术，为加速器中的敏感数据/代码提供强大的机密性、完整性和隔离保护。然而，大多数研究针对特定CPU或加速器设计，因此缺乏通用性。最近的TEE调查部分总结了加速器计算中的威胁和保护措施，但尚未提供构建加速器TEE的指南，也未比较其安全解决方案的优缺点。本文多年来对加速器TEE进行了全面分析。我们总结了构建加速器TEE的典型框架，并归纳了从软件到物理攻击的广泛使用的攻击向量。此外，我们对加速器TEE的三大安全机制进行了系统化：(1)访问控制，(2)内存加密/解密，(3)认证。对于每个方面，我们比较了现有研究中不同的安全解决方案并总结了它们的见解。最后，我们分析了影响TEE在实际平台部署的因素，特别是关于可信计算基（TCB）和兼容性问题。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1424-paper.pdf

214、SoK: Cryptographic Authenticated Dictionaries

我们对认证字典（ADs）的研究进行了系统化整理——这是一种密码学数据结构，能够支持密钥透明度、二进制透明度、可验证键值存储以及完整性保留文件系统等应用。首先，我们提出了一个统一框架，概括了五种常见部署场景背后的信任和威胁假设。其次，我们提炼并调和了文献中分散的各种安全定义，明确了它们提供的保证以及各自的适用场景。第三，我们构建了AD结构的分类法，并分析了它们的渐近成本，揭示了一个明显的二元对立：所有已知方案要么在查找和更新操作上都需O(log n)时间，要么仅通过使另一操作付出O(n)的代价来实现某一操作的O(1)时间复杂度。令人惊讶的是，即使引入更强的信任假设，这一障碍仍然存在，这削弱了"更多信任换取效率"的直观认识。最后，我们提出了应用驱动的研究问题，包括现实的审计模型以及在当前完全不提供可验证完整性的系统中促进采用的激励机制。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1465-paper.pdf

215、SoK: Take a Deep Step into Linux Kernel Hardening Effectiveness from the Offensive-Defensive Perspective

尽管人们已付出巨大努力来加固Linux内核——这一支撑众多广泛使用的发行版（如Ubuntu、Debian、Fedora）的基础——但它仍然持续面临复杂且顽固的内存安全漏洞。在本研究中，我们引入了一个新颖的系统性框架，从攻击者的角度将内核利用分解为三个不同阶段。通过对2015年以来121个公开记录的漏洞利用进行综合分析，我们识别并分类了64个反复出现的攻击向量。利用这种结构化方法，我们对51个现有的内核防御机制进行了深入评估，清晰地映射了它们的覆盖范围、局限性、冗余性和相互依赖性。我们的研究结果揭示了显著的保护缺口：23个攻击向量完全没有得到保护，31个现有防御机制可以被绕过或已过时。此外，我们还发现流行下游发行版在理论有效性与实际部署之间存在显著差异，突显了四个主要发行版中4个未被充分利用的加固措施和配置错误。通过阐明这些关键缺口并提供可行的见解，我们的工作指导内核开发者和安全实践者加强防御策略并完善未来安全设计。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1725-paper.pdf

216、SoK: Understanding the Fundamentals and Implications of Sensor Out-of-band Vulnerabilities

传感器是信息物理系统(CPS)的基础，通过将物理刺激转换为数字测量值，实现感知和控制。然而，尽管对传感器物理攻击的研究日益增多，由于该领域的临时性特点，我们对传感器硬件漏洞的理解仍然零散。此外，无限的攻击信号空间进一步威胁抽象和防御复杂化。为解决这一差距，我们提出了一个系统化框架，称为传感器带外(OOB)漏洞，首次基于底层物理原理为传感器攻击面提供了全面抽象。我们采用自底向上的系统化方法，分析三个层面的OOB漏洞。在组件层面，我们确定导致OOB漏洞的物理原理和局限性。在传感器层面，我们对已知攻击进行分类并评估其实用性。在系统层面，我们分析传感器融合、闭环控制和智能感知等CPS特性如何影响OOB威胁的暴露和缓解。我们的研究结果为传感器硬件安全提供了基础理解，并为旨在构建更安全传感器和CPS的传感器设计师、安全研究人员和系统开发者提供了指导及未来方向。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s450-paper.pdf

217、STIP: Three-Party Privacy-Preserving and Lossless Inference for Large Transformers in Production

模型参数和用户数据的隐私对于基于Transformer的云服务（如在线聊天机器人）至关重要。虽然最近在安全多方计算和同态加密方面的进展提供了强大的密码学保证，但其计算开销使得它们对于大规模Transformer模型的实时推理变得不可行。在这项工作中，我们提出了一种实用的替代方案，在实际部署中平衡隐私和效率。我们引入了一个三方威胁模型，涉及模型开发者、云模型服务器和数据所有者，捕捉了实际AI服务的信任假设和部署条件。在该框架内，我们设计了一种基于半对称置换的保护机制，并提出了STIP，这是首个可在商用硬件上部署的大规模Transformer三方隐私保护推理系统。STIP在保持无损推理准确性的同时，正式限制了隐私泄露。为进一步保护模型参数，STIP集成了可信执行环境以抵御模型提取和微调攻击。我们在六种代表性的Transformer模型家族（包括多达700亿参数的模型）和三种部署设置下评估了STIP。STIP的效率与无保护的全云推理相当，例如，STIP在LLaMA2-7B模型上实现了31.7毫秒的延迟。STIP还表现出对用户数据和模型参数各种攻击的有效抵抗力。STIP已在我们专有的70B模型的生产环境中部署。在为期三个月的在线测试中，STIP仅带来12%的额外延迟，且未报告任何隐私事件，证明了其在生产规模AI系统中的实用性和稳健性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s35-paper.pdf

218、Strategic Games and Zero-Shot Attacks on Heavy-Hitter Network Flow Monitoring

高频检测是线级DDoS缓解和速率限制的基础，然而其针对自适应攻击者的鲁棒性在很大程度上尚未被探索。我们构建了一个端到端评估框架，将高频检测逻辑嵌入到交换级模拟器中，并使用强化学习自动调整其参数，以对网络中的大象流进行速率限制。随后，我们将该保护系统与一个自适应攻击者对抗，该攻击者学习在规避检测的同时最大化吞吐量，并展示其能够将配置的带宽上限提高高达299%，暴露了系统性的盲点。为了加强监控系统，我们采用了一种联合对抗训练形式：检测器与攻击者共同进化，达到一种攻防纳什均衡，其中攻击者利用网络带宽的能力降低了2.2倍。最后，我们证明可以使用机器学习创建智能数据包合成器，能够在9个测试系统中的8个上执行带宽利用，而无需针对检测系统的任何先验知识。我们将其称为零次攻击，因为它不需要了解目标高频检测系统即可执行其功能。我们的开源框架有助于量化未被充分照亮的攻击面，并为对抗鲁棒的数据平面流监控提供了一种建设性方法。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1301-paper.pdf

219、Success Rates Doubled with Only One Character: Mask Password Guessing

虽然传统的全密码猜测攻击已被广泛研究，但很少有研究探索掩码密码猜测，即攻击者通过利用各种侧信道攻击（如肩窥、指纹和按键音频反馈）以某种方式获得了目标受害者的密码的部分信息（如长度和/或某些字符）。为了评估具有不同能力的掩码攻击者构成的威胁，我们研究了四种主要的掩码猜测场景，每种场景基于攻击者利用的不同类型的信息（例如，受害者密码的长度和某些字符）。我们首次通过提出两种密码模型（基于神经网络的PassSeq和基于概率统计的Kneser-Ney），系统地全面地描述了结合侧信道先验、可识别个人信息（PII）和先前泄露的（姐妹）密码的掩码猜测的影响。我们使用最大似然估计技术，提出了一种新的猜测次数估计方法，以准确高效地估计在给定密码模型下针对目标密码所需的猜测次数。在15个大规模数据集上的广泛实验证明了PassSeq和Kneser-Ney的有效性。特别是在十次猜测内：（1）当拖网攻击者知道受害者4位PIN码的字符组成（无顺序）时，成功率提高152%（从14%增至35%）；（2）当基于PII的定向攻击者知道受害者密码的长度时，成功率提高47%-82%；（3）如果该定向攻击者还知道受害者密码的一个字符（除长度外），成功率通常翻倍，达到7%-29%（而对于能够利用受害者姐妹密码的定向攻击者，这些数字将达到33%-73%）。为了进一步验证我们掩码猜测模型的实用性，我们从11种流行键盘（如苹果、戴尔、联想）收集了真实的按键音频数据，并复制了通过声学侧信道推断部分密码信息的攻击。实验表明，我们的PassSeq显著提高了现有按键推断攻击的成功率，在10次猜测内实现了额外5.6%-166.7%的改进。这项工作强调掩码密码猜测是一种值得更多关注的破坏性威胁。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1059-paper.pdf

220、SVDefense: Effective Defense against Gradient Inversion Attacks via Singular Value Decomposition

联邦学习（FL）能够在不共享原始数据的情况下实现协作模型训练，但容易受到梯度反转攻击（GIA），即攻击者通过共享的梯度重建私有数据。现有防御方法要么对嵌入式平台造成不切实际的计算开销，要么无法同时实现隐私保护和良好的模型效用。此外，许多防御方法可以被已获取防御细节的自适应攻击者轻易绕过。为解决这些局限性，我们提出了SVDefense，一种针对GIA的新型防御框架，利用截断奇异值分解（SVD）来模糊梯度更新。SVDefense引入了三项关键创新：自适应能量阈值，能够适应客户端的脆弱性；通道加权近似，选择性保留有效模型训练所需的关键梯度信息，同时增强隐私保护；以及层加权聚合，用于处理类别不平衡情况下的有效模型聚合。我们的广泛评估表明，在图像分类、人体活动识别和关键词识别等多个应用中，SVDefense通过提供强大的隐私保护且对模型精度影响最小，优于现有防御方法。此外，SVDefense适用于部署在各种资源受限的嵌入式平台上。论文接受后，我们将公开我们的代码。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s114-paper.pdf

221、SYSYPHUZZ: the Pressure of More Coverage

内核模糊测试能有效发现漏洞。虽然现有的内核模糊测试器主要专注于最大化代码覆盖率，但仅靠覆盖率并不能保证彻底的探索。此外，旨在最大化覆盖率的现有模糊测试器已进入平台期。这一紧迫情况凸显了需要一个新的方向：面向代码频率的内核模糊测试。然而，增加对低频内核代码的探索面临两个关键挑战：(1)资源限制使得在不导致任务爆炸的情况下难以调度足够的任务来探索低频区域。(2)随机突变常常会破坏针对低频区域的系统调用上下文依赖，降低模糊测试的有效性。在我们的论文中，我们首先通过评估Syzkaller在Linux内核中的表现，对不平衡代码覆盖率进行了细粒度研究，并作为回应，提出了SYSYPHUZZ，一个旨在增强对测试不足代码区域探索的内核模糊测试器。SYSYPHUZZ引入了选择性任务调度，以动态优先排序和管理探索任务，避免任务爆炸。它还采用上下文保持突变策略，降低破坏重要执行上下文的风险。我们将SYSYPHUZZ与最先进的(SOTA)内核模糊测试器Syzkaller和SyzGPT进行了比较评估。我们的结果表明，SYSYPHUZZ显著减少了探索不足的代码区域数量，发现了Syzkaller遗漏的31个独特漏洞和SyzGPT遗漏的27个漏洞。此外，SYSYPHUZZ还发现了Syzbot遗漏的5个漏洞，Syzbot在数百台虚拟机上持续运行，这证明了SYSYPHUZZ的有效性。为了评估SYSYPHUZZ对最先进模糊测试器的增强效果，我们将它与SyzGPT集成，产生了SyzGPTsysy，它发现了多33%的独有漏洞，凸显了SYSYPHUZZ的潜力。所有发现的漏洞都已负责任地披露给Linux维护者。我们在https://github.com/HexHive/Sysyphuzz上发布了SYSYPHUZZ的源代码，并正在尝试将其合并到Syzkaller中。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s921-paper.pdf

222、Targeted Password Guessing Using k-Nearest Neighbors

随着用户密码账户数量的不断增加，用户越来越倾向于重复使用密码。最近，已有大量研究致力于构建针对性的密码猜测模型来表征用户的密码重复使用行为。然而，现有研究主要专注于通过仅训练相似的密码对（例如，textnormal{texttt{Shark0301} → texttt{shark03}}）来表征微小的修改行为。这导致了过拟合问题，使得现有模型忽视了用户的大幅度修改行为（例如，textnormal{texttt{Shark0301} → texttt{Bear03}}）。为填补这一空白，本文引入了一种名为 emph{k}-最近邻针对性密码猜测（KNN-TPG）的新非参数方法。KNN-TPG构建了一个数据存储，保留了所有源密码的上下文向量以及目标密码的前缀。在生成新密码的过程中，KNN-TPG从数据存储中检索 emph{k} 个最近邻向量，以确保生成的密码更好地符合真实的密码分布。通过创造性地将KNN-TPG与我们提出的基于Transformer的密码模型相结合，我们提出了一个新的针对性密码猜测模型，即KNNGuess。在生成新密码的每一步，KNNGuess预测并利用三种不同的分布，旨在全面建模用户的密码重复使用行为。我们通过大量实验验证了KNNGuess模型和KNN-TPG方法的有效性，这些实验包括12个大规模真实世界密码数据集，包含48亿个密码。更具体地说，当用户在网站A的密码（即$pw_A$）被泄露时，在100次猜测内，KNNGuess猜测其在网站B的密码（即$pw_B$，且$pw_B$$neq$$pw_A$）的成功率对于普通用户为25.40%，对于安全意识较强的用户为10.26%，比其主要竞争对手高出8.52%-119.0%（平均55.33%）。与最先进的密码模型（即Pass2Edit和PointerGuess）相比，这一数值高出8.52%-27.66%（平均18.09%）。我们的研究结果表明，密码篡改攻击的威胁比用户预期的要高。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s2077-paper.pdf

223、Targeted Physical Evasion Attacks in the Near-Infrared Domain

多种攻击依赖于红外光源或吸热材料，以在各种图像识别应用中不可察觉地欺骗系统，使其错误解读视觉输入。然而，几乎所有现有方法只能发起无目标攻击，并且由于用例特定约束（如位置和形状）而需要大量优化。本文提出了一种新颖、隐蔽且经济高效的攻击方法，能够生成有目标和无目标的对抗性红外扰动。通过使用现成的红外手电筒将透明薄膜上的投影投射到目标物体上，我们的方法首次能够在红外领域可靠地发起无激光有目标攻击。在数字和物理领域交通标志上的大量实验表明，与先前工作相比，我们的方法在各种攻击场景中（包括不同光照条件、距离和角度）具有更强的鲁棒性，并能取得更高的攻击成功率。同样重要的是，我们的攻击方法成本极低，部署成本不到50美元，仅需几十秒。最后，我们提出了一种基于分割的新型检测方法，能够有效抵御我们的攻击，F1分数高达99%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1568-paper.pdf

224、TBTrackerX: Fantastic Trigger Bots and Where to Find Malicious Campaigns on X

在线社交网络（OSNs）中的恶意行为者使用脚本控制的社会机器人，通过回复或评论与用户互动。这些机器人被编程为仅在帖子中出现特定触发关键词时才激活。我们将这类先进的上下文感知活动者称为触发机器人（TB）代理，其目的是欺骗用户为非法产品付款或泄露敏感的金融凭证。本文对TB代理的检测和特征进行了系统性和数据驱动的研究。我们介绍了TBTrackerX，这是一个为收集和分析TB活动而设计的新框架。使用该系统，我们从2,647个独特的TB代理中捕获了4,452个TB代理回复，这些回复针对我们的蜜罐账户，并揭示了与X平台上超过84K用户的互动。我们的研究结果表明，TB代理通过使用上下文相似的回复（相似度高达0.97）、表现出间歇性发布模式（爆发时间从15秒到5分钟不等）以及在活动高峰期后采用休眠行为来规避检测。此外，我们还识别出一个协调的TB生态系统，其特征是虚假的TB关注者和共享的TB主控者。这项研究强调了迫切需要更好的审核和检测机制来对抗这些复杂的社会媒体操纵形式。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1239-paper.pdf

225、The Dark Side of Flexibility: Detecting Risky Permission Chaining Attacks in Serverless Applications

现代无服务器平台通过将基础设施与函数级开发解耦，实现了应用的快速演进。然而，这种灵活性导致无服务器应用的去中心化函数级权限配置与集中式云访问控制系统之间存在根本性不匹配。我们观察到，这种不匹配通常会导致无服务器应用中的函数存在风险权限，攻击者可以利用这些风险权限链接多个函数来提升权限、接管账户，甚至横向移动以入侵其他账户。我们将此类攻击称为"风险权限链接攻击"。在本工作中，我们提出了一种自动化推理系统，能够检测可用于链接攻击的风险权限。首先，我们基于以攻击者为中心的模式抽象方法，明确捕获了来自不同函数和账户的独立权限如何合并为实际的攻击链。基于这种抽象，我们构建了一个模式引导的检测工具，用于发现现实世界无服务器应用中的可利用权限链。我们通过分析来自AWS和阿里云官方生产级应用仓库的无服务器应用，评估了我们的方法。结果表明，我们的分析发现了28个存在漏洞的应用，包括5个已确认的CVE、6个负责任的漏洞认可和1个安全赏金。这些发现表明，风险权限链接攻击不仅是理论风险，也是已经存在于商业无服务器部署中的结构性且可利用的威胁，其根源在于去中心化无服务器应用与集中式访问控制模型之间的根本性不匹配。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s819-paper.pdf

226、The Heat is On: Understanding and Mitigating Vulnerabilities of Thermal Image Perception in Autonomous Systems

热成像相机日益被视为自主系统中确保低能见度条件下感知能力的可行解决方案。自动驾驶汽车、机器人和无人机的热感知集成管线中集成了专业光学元件和先进信号处理技术，能够捕捉相对温度变化，并在传统可见光相机难以应对的场景（如夜间、雾天或大雨）中检测生物和物体。然而，热感知系统的安全性和可信度是否与传统相机相当，目前尚不清楚。我们的研究揭示了热图像处理中存在的三种新型漏洞，这些漏洞存在于热相机固有的均衡化、校准和透镜机制中。这些漏洞可由环境中自然存在或恶意放置的热源触发，改变感知到的相对温度，或产生时间控制的人工制品，从而阻碍障碍物避让功能的正常运行。我们系统分析了三种自主系统用热相机（FLIR Boson、InfiRay T2S、FPV XK-C130）中的漏洞，评估了它们对三种微调热物体检测器和两种可见光-热融合自动驾驶模型的影响。研究结果显示，由于均衡化过程中的缺陷，行人检测的平均精度下降了50%，融合模型下降了45%。最高时速40公里的真实道路测试显示，行人误检率高达100%，且能以91%的成功率制造虚假障碍物，这些影响在攻击结束后仍会持续数分钟。为解决这些问题，我们提出了并评估了三种新型威胁感知信号处理算法，能够动态检测并抑制攻击者引入的人工制品。我们的研究结果揭示了热感知过程的可靠性，旨在提高人们对该技术用于障碍物避避时局限性的认识。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s330-paper.pdf

227、The Role of Privacy Guarantees in Voluntary Donation of Private Health Data for Altruistic Goals

出于利他目的自愿捐赠私人健康信息，例如支持研究进展，是一种常见做法。然而，对数据滥用和泄露的担忧可能会阻碍人们捐赠其信息。隐私增强技术（PETs）旨在缓解这些担忧，从而实现安全私密的数据共享。本研究通过在Prolific平台招募参与者进行了一项情景调查（N=494），考察了美国人在四种PETs提供的通用保障下，为开发新治疗而捐赠医疗数据的意愿：数据过期、匿名化、目的限制和访问控制。研究探讨了验证这些保障的两种机制：自我审计和专家审计，并控制了混杂因素的影响，包括人口统计特征以及两种类型的数据收集机构：营利性和非营利性机构。我们的研究结果表明，受访者对非营利实体事先抱有极高的隐私期望，因此明确列出隐私保护措施对其整体感知影响甚微。相比之下，提供隐私保障提升了受访者对营利实体的隐私期望，使其与非营利组织的期望几乎持平。此外，尽管技术界建议将审计作为增加对PET保障信任的机制，但我们观察到关于此类审计透明度的效果有限。我们强调了这些发现相关的风险，并强调了未来跨学科研究工作的迫切需要，以弥合技术界与终端用户之间在审计PETs有效性认知方面的差距。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s518-paper.pdf

228、There is No War in Ba Sing Se: A Global Analysis of Content Moderation in Large Language Models

大型语言模型（LLMs）被广泛用于信息获取，但其内容审核行为在不同地理和语言背景下差异显著。本文对来自15个领先LLMs的70多万条回复进行了首次全面分析，这些回复从12个地点使用1,118个涵盖五个类别的敏感查询（涉及13种语言）进行评估。我们发现存在显著的地理差异，审核率在不同地点间相对差异高达60%——例如，软审核（如回避性回复）在德语语境中出现率为14.3%，而在祖鲁语语境中为24.9%。按类别分析，其他（通常不安全）、仇恨言论和性内容比政治或宗教内容受到更严格的审核，其中政治内容显示出最大的地理变异性。我们还观察到在线和离线模型版本之间的差异，例如DeepSeek本地部署时的软审核率比通过API调用时高出15.2%。回复长度（和时间）分析显示，审核过的回复平均比未审核的回复短约50%。这些发现对AI公平性和数字平等具有重要意义，因为不同地点的用户获得的信息访问不一致。我们首次提供了LLM内容审核中地理跨语言偏差的系统证据，并展示了模型选择如何极大影响用户体验。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f593-paper.pdf

229、ThinkTrap: Denial-of-Service Attacks against Black-box LLM Services via Infinite Thinking

大型语言模型（LLMs）已成为广泛应用的基础组件，包括自然语言理解与生成、具身智能和科学发现。随着其计算需求的持续增长，这些模型越来越多地被部署为云服务，使用户能够通过互联网访问强大的LLMs。然而，这种部署模式引入了一类新的威胁：通过无限推理的拒绝服务（DoS）攻击，攻击者精心设计输入，导致模型进入过长的或无限生成循环。这些攻击会耗尽后端计算资源，降低或拒绝向合法用户提供服务。为缓解此类风险，许多LLM提供商采用闭源、黑盒设置来隐藏模型内部结构。在本文中，我们提出了ThinkTrap，一种针对LLM服务的DoS攻击的新型输入空间优化框架，即使在黑盒环境中也能实施。ThinkTrap的核心思想是将离散令牌映射到连续嵌入空间，然后在利用输入稀疏性的低维子空间中进行高效的黑盒优化。此优化的目标是识别能够诱导先进LLMs进行延长或非终止生成的对抗性提示，以实现最小的令牌开销的DoS攻击。我们在多个商业闭源LLM服务上评估了所提出的攻击。结果表明，即使在远低于这些平台通常实施的限制性请求频率限制（通常每分钟10次请求，10 RPM）的情况下，该攻击仍可将服务吞吐量降低至原始容量的1%，在某些情况下甚至导致完全服务失效。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f639-paper.pdf

230、Through the Authentication Maze: Detecting Authentication Bypass Vulnerabilities in Firmware Binaries

嵌入式Web服务已广泛应用于路由器和网关等网络设备中。这些服务通常暴露在公共网络上，使其成为身份验证绕过攻击的诱人目标。此类漏洞允许攻击者无需有效凭据即可获得特权访问，对设备完整性和网络安全构成严重威胁。现有的检测技术主要依赖手动分析或刚性启发式方法，在面对多样化且不断发展的身份验证方案时效果不佳。我们提出了AuthSpark，一种用于检测固件二进制文件中身份验证绕过漏洞的新型动态分析框架。AuthSpark利用成功和失败身份验证尝试之间的执行轨迹相似性来定位凭据检查点，然后跟踪身份验证相关变量的传播以识别身份验证成功逻辑，最后采用具有特定任务能力调度和变异策略的自定义灰盒模糊测试器来探索绕过路径。我们在32个包含14个已知漏洞的真实设备固件上评估了AuthSpark。AuthSpark成功识别出44个凭据检查中的42个，并检测到所有14个已知漏洞。更重要的是，当应用于最新版本的固件时，AuthSpark发现了6个零日身份验证绕过漏洞，其中4个已获得官方编号（3个CVE和1个PSV）。这些结果凸显了AuthSpark的有效性及其发现真实系统中关键安全漏洞的潜力。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2757-paper.pdf

231、Tickets to Hide: An Inside Look into the Anti-Abuse Ecosystem through Internal Abuse Data

各种治理工具旨在打击互联网滥用行为——从删除受版权保护内容的立法到阻止垃圾邮件的屏蔽列表。反过来，这些工具依赖于行业标准来处理滥用行为：向网络所有者报告滥用情况并请求缓解措施。尽管许多托管服务提供商迅速采取行动以保持互联网环境的清洁，但有些则没有。这就引发了一个问题：哪种类型的滥用会得到后续处理，以及决定采取缓解措施或忽略所报告滥用的理由是什么。通过与荷兰执法部门的独特合作，我们获得了进入一家以滥用行为闻名的托管服务提供商运营后端的权限。对其内部滥用处理机制的罕见一瞥使我们能够研究影响反滥用行动的反滥用生态系统中的机制。我们发现，客户通知率高度依赖于报告者和滥用类别。与儿童性虐待材料(CSAM)和垃圾邮件相关的滥用报告会导致采取缓解措施，而关于版权侵权和端口扫描的报告则经常被忽视。诸如屏蔽、解除对等连接和执法部门查询等可能直接影响业务连续性的治理工具会影响客户通知，而个人滥用报告则容易被忽视。我们希望这项研究能够为政策制定者提供参考，使治理工具包与实际的滥用处理实践保持一致。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f468-paper.pdf

232、Time and Time Again: Leveraging TCP Timestamps to Improve Remote Timing Attacks

最著名的侧信道攻击之一是通过执行特定操作所需的时间来推断秘密信息。许多系统已被证明容易受到此类攻击，范围从加密算法、Web应用程序到微架构实现。通过网络连接利用这些侧信道泄露已被证明具有挑战性，这是由于往返时间的变化，即网络抖动。随着处理器速度变快导致时间差异变小，系统变得更复杂使得收集一致测量更加困难，以及网络拥塞加剧网络抖动，时序攻击已变得尤其具有挑战性。在这项工作中，我们引入了新的远程时序攻击方法，这些方法完全不受网络路径上的抖动影响，使其比基于往返时间的时序攻击效率提高数倍，并且能够检测到更小的时间差异。更具体地说，执行时间是从服务器在确认请求和发送响应时生成的TCP时间戳值推断出来的。此外，我们展示了如何利用对传入请求的顺序处理来扩展与秘密相关的操作时间，从而实现更准确的攻击。最后，通过广泛的测量和实际案例研究，我们证明了本文介绍的技术与其他时序攻击方法相比具有多种优势：需要更少的前提条件，任何基于TCP的协议都容易受到这些攻击，并且这些攻击可以分布式执行。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s893-paper.pdf

233、Time will Tell: Large-scale De-anonymization of Hidden I2P Services via Live Behavior Alignment

I2P（隐形互联网项目）是一种流行的匿名通信网络。尽管现有的I2P去匿名化方法专注于在大量网络流量中识别目标隐藏服务的潜在流量模式，但它们往往无法有效地扩展到由众多路由器组成的大型且多样化的I2P网络。在本文中，我们介绍了一种名为I2PERCEPTION的低成本方法，用于揭示I2P隐藏服务的IP地址。在I2PERCEPTION中，攻击者部署floodfill路由器来被动监控I2P路由器并收集其RouterInfo。我们分析了路由器信息发布机制，以准确识别路由器的加入（即开启）和离开（即关闭）行为，从而实现对I2P网络细粒度的实时行为推断。通过主动探测获取托管在I2P路由器之一上的目标隐藏服务的实时行为（即开启-关闭模式）。通过关联目标隐藏服务和I2P路由器的实时行为，我们缩小了与隐藏服务行为匹配的路由器集合，从而揭示隐藏服务的真实网络身份以实现去匿名化。通过在八个月内仅部署15个floodfill路由器，我们通过大量真实实验验证了我们方法的精确性和有效性。结果表明，I2PERCEPTION成功地去匿名化了所有受控的隐藏服务。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f114-paper.pdf

234、TIPSO-GAN: Malicious Network Traffic Detection Using a Novel Optimized Generative Adversarial Network

检测高级网络威胁，特别是零日漏洞，在网络安全中构成重大挑战。本文提出了TIPSO-GAN，一种用于检测恶意流量的优化生成对抗网络（GAN）。TIPSO-GAN通过将GAN训练构建为群体优化问题，利用集体智能进行复杂优化，解决了基于GAN的入侵检测系统（IDS）的常见问题，如训练不稳定性和模式崩溃。为了增强粒子群优化（PSO），TIPSO-GAN采用了三种策略：（1）自适应惯性权重以平衡探索与开发，（2）多样性保持策略以防止过早收敛，（3）反馈循环以重新初始化停滞粒子。TIPSO-GAN将迁移学习与时间衰减多头自注意力机制相结合，以优先考虑近期特征，有助于检测未见过的恶意流量。目标函数中结合重构损失和焦点损失，进一步确保正常样本的真实性，同时关注具有挑战性的恶意样本。在CIC-IDS2018、CICAPT-IIoT2024和CIC-DDoS2019数据集上，TIPSO-GAN分别实现了99.1±0.1、98.9±0.1和98.7±0.1的F1值，比最强基线模型高出0.2-1.0 F1，并超过了transformer IDS模型。在CICAPT-IIoT2024上，它达到了0.999±0.002的宏观PR-AUC，领先于次优方法（0.960±0.005）。在严格的零日评估中，TIPSO-GAN在LOFO测试中达到92.3 F1，在跨数据集实验中达到79-83 F1，同时保持召回率高于0.80。尽管经过PSO增强训练，TIPSO-GAN仍保持0.42毫秒延迟、约2400流/秒吞吐量和2.1 GB内存占用，性能稳定至10^8流。我们的代码可在https://github.com/osampas27/tipsoganmod获取。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f3241-paper.pdf

235、To Shuffle or not to Shuffle: Auditing DP-SGD with Shuffling

差分随机梯度下降（DP-SGD）算法支持以形式化差分隐私（DP）保证训练机器学习（ML）模型。传统上，DP-SGD使用泊松子采样在每个迭代中选择批次来处理训练数据。最近，由于更好的兼容性和更低的计算开销，洗牌已成为一种常见替代方案。然而，在洗牌下计算严格的理论DP保证仍然是一个开放问题。因此，使用洗牌训练的模型通常被评估为好像使用了泊松子采样，这可能导致不正确的隐私保证。这提出了一个引人入胜的研究问题：我们能否验证使用洗牌的最先进模型所报告的理论DP保证与其实际泄漏之间是否存在差距？为此，我们定义了新的DP审计程序来分析使用洗牌的DP-SGD，并衡量它们在不同批次大小、隐私预算和威胁模型下紧密估计隐私泄漏的能力。总体而言，我们证明使用这种方法训练的DP模型大大高估了其隐私保证（高达4倍）。然而，我们也发现理论泊松DP保证与洗牌实际隐私泄漏之间的差距并非在所有参数设置和威胁模型中都是一致的。最后，我们研究了洗牌过程的两种常见变体，这些变体会导致进一步的隐私泄漏（高达10倍）。总体而言，我们的工作强调了在没有严格分析方法的情况下使用洗牌而非泊松子采样的风险。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f597-paper.pdf

236、Token Time Bomb: Evaluating JWT Implementations for Vulnerability Discovery

JSON Web令牌（JWT）已成为现代分布式Web应用中安全信息交换的广泛采用标准，特别是在身份验证和授权场景中。然而，JWT的实现引入了各种漏洞，例如签名验证绕过、令牌欺骗和拒绝服务攻击。尽管先前研究已报告了此类个别漏洞，但缺乏对JWT实现的系统性研究。在本文中，我们提出了JWTFuzz，一种新颖的测试方法，用于有效发现JWT实现中的漏洞。我们对10种流行编程语言中的43个JWT实现进行了JWTFuzz评估，发现了31个先前未知的安全漏洞，其中20个已被分配CVE编号。我们展示了这些漏洞的安全影响，例如在Kubernetes中实现身份验证绕过和对Apache James的拒绝服务攻击。我们进一步将这些漏洞分为五类，并提出了几种缓解策略。我们与国际互联网工程任务组（IETF）讨论了我们的缓解策略，他们已认可我们的发现，并建议在新RFC文档中采用我们的缓解措施。我们还向相关提供商报告了已识别的漏洞，并收到了Apache、Connect2id、Kubernetes、Let's Encrypt和RedHat的确认和漏洞赏金奖励。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f697-paper.pdf

237、Towards Effective Prompt Stealing Attack against Text-to-Image Diffusion Models

以DALL·E和Midjourney为代表的文本到图像（T2I）模型因能创建逼真的图像而广受欢迎。这些图像的质量依赖于精心设计的提示词，这些提示词已成为宝贵的知识产权。虽然熟练的提示词创作者在市场上展示其AI生成的艺术作品以吸引买家，但这种业务无意使他们面临"提示词窃取攻击"。现有的最先进攻击技术通过针对特定模型的训练，从固定的修饰符集合（即风格描述）中重建提示词，这些技术在适应不同展示作品（即目标图像）和扩散模型方面表现出有限的适应性和有效性。为缓解这些限制，我们提出了Prometheus，一种无需训练、包含中间代理、基于搜索的提示词窃取攻击方法，通过与本地代理模型交互来逆向工程展示作品中的宝贵提示词。该方法包含三项创新设计。首先，我们引入了动态修饰符，作为先前工作中使用的静态修饰符的补充。这些动态修饰符提供了更多与展示作品相关的具体细节，我们利用自然语言处理分析即时生成它们。其次，我们设计了一种上下文匹配算法，用于对动态和静态修饰符进行排序。这一离线过程有助于减少后续步骤的搜索空间。第三，我们与本地代理模型交互，使用贪心搜索算法逆向提示词。基于反馈指导，我们优化提示词以实现更高的保真度。评估结果显示，Prometheus成功地从PromptBase和AIFrog等流行平台提取提示词，针对Midjourney、Leonardo.ai和DALL·E等多样化的受害者模型，实现了25.0%的攻击成功率提升。我们还验证了Prometheus能够抵抗广泛的潜在防御措施，进一步突显了其在实践中的严重性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1899-paper.pdf

238、TranSPArent: Taint-style Vulnerability Detection in Generic Single Page Applications through Automated Framework Abstraction

单页应用（SPA）框架允许开发者使用高级组件（如搜索框）在单个HTML页面中构建复杂的Web应用程序。SPAs面临的一个研究问题是如何检测污点式漏洞，因为SPA框架以新形式重新引入了不安全的DOM API，例如将SPA组件参数作为污点汇点。尽管先前的研究已致力于改进SPAs中的漏洞检测，但据我们所知，这些方法严重依赖硬编码的污点汇点，这不仅需要针对不同的SPA框架进行手动维护，还可能遗漏某些不安全的SPA API，从而导致检测到的漏洞出现漏报。在本文中，我们提出了TranSPArent，一个SPA漏洞检测工具，它通过结合静态分析和动态分析自动抽象SPA框架，以揭示框架特定的汇点，从而促进端到端的静态漏洞检测。TranSPArent首先从不安全的DOM API列表执行反向污点分析，直到框架接口，以揭示接口的哪些部分可能污染DOM API。这种自动框架抽象每个SPA框架只需执行一次。然后，TranSPArent检测发现的SPA汇点与攻击者可控源之间的数据流路径，以检测每个应用程序中的污点式漏洞。我们在GitHub仓库数据库上评估了TranSPArent，发现了11个零日漏洞，包括一个拥有24k+ GitHub星标和每月3000万请求的仓库。迄今为止，其中四个零日漏洞已被开发者修复和/或确认。在我们的评估过程中，TranSPArent从三种最广泛使用的SPA框架（Vue、React和Angular）中总共发现了19个中间SPA汇点。其中14个新发现的汇点未在CodeQL标准库（最先进的静态分析工具）中列出。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1721-paper.pdf

239、Trust Me, I Know This Function: Hijacking LLM Static Analysis using Bias

大型语言模型(LLMs)越来越多地被用于执行大规模的自动化代码审查和静态分析，支持漏洞检测、代码摘要和重构等任务。在本文中，我们识别并利用了基于LLM的代码分析中的一个关键漏洞：一种抽象偏差，导致模型过度泛化熟悉的编程模式而忽略微小但有意义的错误。攻击者可以利用这个盲点，通过最小程度的修改来劫持LLM的解释控制流，同时不影响实际的运行时行为。我们将这种攻击称为熟悉模式攻击(FPA)。我们开发了一个全自动的黑盒算法，用于发现并向目标代码中注入FPA。我们的评估表明，FPA不仅对基础模型和推理模型有效，而且可以在不同模型家族(OpenAI、Anthropic、Google)之间迁移，并且在多种编程语言(Python、C、Rust、Go)中具有通用性。此外，即使模型通过强大的系统提示被明确警告了这种攻击，FPA仍然有效。最后，我们探讨了FPA的积极防御用途，并讨论了它们对面向代码的LLM可靠性和安全的更广泛影响。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2066-paper.pdf

240、UIEE: Secure and Efficient User-space Isolated Execution Environment for Embedded TEE Systems

可信执行环境（TEE）已被广泛探索用于增强嵌入式系统的安全性。现有的嵌入式TEE系统运行时占用较小的内存空间，仅提供安全关键功能，以保持最小的可信计算基（TCB）。不幸的是，这种设计选择导致这些TEE系统软件资源不足，难以在嵌入式TEE内执行具有大型代码库的复杂应用程序。在本文中，我们提出了一种用户空间隔离执行环境（UIEE），通过在TEE内直接运行未经修改的数据处理应用程序来增强TEE功能，同时不增加TCB大小。UIEE通过为应用程序动态分配足够的内存区域来构建沙箱环境，并将其与丰富执行环境（REE）和TEE隔离，从而保护UIEE免受REE攻击，同时保护TEE免受潜在受损的UIEE应用程序的侵害。此外，我们提出了一种基于库操作系统（即Linux内核库，LKL）的UIEE运行时环境，可为UIEE应用程序提供标准C运行时API。为了解决LKL的并发问题，我们提出了一种LKL线程同步机制，在具有单线程执行模型的UIEE内运行多线程LKL。此外，我们还设计了一种新颖的按需线程迁移机制，以实现在UIEE内的LKL上下文切换。我们在NXP IMX6Q SABRE-SD评估板上实现并部署了一个UIEE原型，成功在UIEE内运行了8个未经修改的真实世界基于libc的应用程序。实验结果表明，UIEE带来的性能开销可以忽略不计。我们是第一个提出面向TrustZone的LibOS并评估其可行性和安全特性的研究。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s208-paper.pdf

241、Understanding the Status and Strategies of the Code Signing Abuse Ecosystem

使用数字证书对软件签名是其可信性和完整性的重要保障。然而，攻击者可以滥用这一机制为恶意样本获取签名，从而促进恶意软件的传播。尽管已有工作揭示了代码签名滥用的实例，但这一问题仍然存在且不断升级。理解生态系统的演变和滥用者的策略对于改进防御机制至关重要。在本工作中，我们对代码签名滥用进行了大规模测量，使用了从野外收集的3,216,113个已签名的恶意PE文件。通过细粒度分类，我们识别出43,286个被滥用的证书，并将其分为五种滥用类型，创建了迄今为止最大的标记数据集。我们的分析表明，滥用仍然普遍存在，涉及来自114个国家、由46个证书颁发机构（CA）发行的证书。我们还观察到了滥用者技术的演变，并识别了证书撤销方面的当前局限性。此外，我们表征了滥用者的行为和策略，揭示了五种规避检测、降低成本和增强滥用影响的策略。值得注意的是，我们发现了3,484个多态证书集群，并首次记录了恶意软件利用多态技术规避撤销检查的实际案例。我们的研究结果揭示了当前代码签名实践中的关键缺陷，预计将提高社区对滥用威胁的认识。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2857-paper.pdf

242、Understanding the Stealthy BGP Hijacking Risk in the ROV Era

路由源验证（ROV）的部分部署带来了一种意外的安全威胁，称为隐蔽的BGP劫持，即一种特别难以察觉的BGP劫持形式，其中恶意路由可以在不到达（从而提醒）受害者的情况下转移流量。这一风险在很大程度上仍未被探索，既没有记录在案的现实世界事件，也没有系统性的特征描述。为了填补这一空白，我们形式化了隐蔽的BGP劫持，并提出了启发式方法，通过路由表差异来发现潜在实例。我们进行了首次实证研究，以跟踪和描述现实世界中的隐蔽BGP劫持，贡献了一个精选的现实世界事件数据集和一个长期监控服务。受实证见解的启发，我们进一步进行了分析研究，以全面评估风险。这需要准确的ROV部署数据、完整的全球互联网路由以及定制的分析模型。为了应对这些挑战，我们开发了SHAMAN，一个专门用于评估隐蔽BGP劫持风险的BGP路由推断框架。SHAMAN整合多种来源构建准确的ROV部署视图，通过高效的基于矩阵的方法推断完整的全球互联网路由，并通过"受害者-目标-劫持者"三元组模型促进统计风险分析。SHAMAN将生成互联网规模路由的时间从三个月以上缩短到仅5.22小时，使得在现实ROV部署下能够对83亿条生成路由进行系统性风险评估。我们的研究结果显示隐蔽BGP劫持的总体成功概率为14.1%，而在特定情况下，有针对性的攻击成功率高达99.5%。与我们现实世界数据集的验证显示，事件级别的准确度高达95.9%，证明了我们分析结果的真实性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s97-paper.pdf

243、Unknown Target: Uncovering and Detecting Novel In-Flight Attacks to Collision Avoidance (TCAS)

是防止空中碰撞的强制性最后安全保障。尽管该系统具有关键的安全作用，但其未经认证和加密的通信协议长期以来一直被确认为安全风险。尽管研究人员先前已经展示了实际的注入攻击，但官方评估认为这些漏洞仅限于实验室环境，并指出目前尚无缓解措施。在本文中，我们对这两种说法提出质疑。我们提供了有力证据表明，针对TCAS的飞行中网络攻击已经发生。通过对一系列涉及多架飞机的异常事件的公开飞行和通信数据进行详细分析，我们确定了一种与幽灵飞机注入攻击一致的独特特征。我们详细说明了这种新型攻击如何利用传统协议特性，并描述了三种复杂度递增的攻击策略；其中最具攻击性的策略可以将目标的感知距离减少3.5公里以上，足以从远距离触发受害飞机的防撞警报。我们实现了与观察到的事件最一致的攻击策略，并进行了实验评估，实现了1.9公里的欺骗性距离减少，证实了其可行性。此外，为应对此类威胁提供基础，我们提出了一种新颖的、向后兼容的方法，通过重新利用受害者广播的TCAS警报数据来地理定位此类攻击的来源。在最可能的攻击变体模拟场景中，我们的方法实现了855米的中位数定位精度。将此技术应用于真实事件数据，我们能够识别出异常现象以及观察到的幽灵飞机注入攻击的可能来源。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1806-paper.pdf

244、Unshaken by Weak Embedding: Robust Probabilistic Watermarking for Dataset Copyright Protection

在现代数据即服务（DaaS）生态系统中，数据策展商（如数据经纪公司）从众多贡献者处聚合高质量数据，并为深度学习模型提供商将其变现。然而，恶意策展商可能出售有价值的数据却不告知其原始贡献者，这违反了个人利益和法律。侵入式水印是保护数据版权的最先进技术之一，它能检测可疑模型是否携带预定义模式。然而，这些方法面临诸多限制：在低水印注入率（≤1.0%）下难以工作；性能下降；误报；对水印清洗缺乏鲁棒性。

本文提出了一种创新的侵入式水印方法，称为DIP（数据智能概率水印），以支持数据集所有权验证，同时解决上述局限性。它应用了感知分布的样本选择算法，嵌入带水印样本与多个输出之间的概率关联，并采用双重验证框架，同时利用推理结果及其分布作为水印信号。在4个图像和5个文本数据集上的广泛实验表明，DIP保持了模型性能，并在1%的注入预算下实现了89.4%的平均水印成功率。我们进一步验证了DIP与各种水印数据设计正交，并能无缝整合其优势。此外，DIP在多种模态（图像和文本）和任务（回归）上证明有效，在大语言模型的生成任务上也表现出色。DIP对各种对抗环境具有鲁棒性，包括3种基于数据增强、3种基于数据清洗、4种基于鲁棒训练和3种基于合谋的水印移除方法，而现有的最先进方法则无法应对。源代码已发布于https://github.com/SixLab6/DIP。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1356-paper.pdf

245、Unveiling BYOVD Threats: Malware’s Use and Abuse of Kernel Drivers

"自带漏洞驱动程序"（BYOVD）攻击利用合法的、经过数字签名的Windows驱动程序中隐藏的缺陷，使攻击者能够进入内核空间，禁用安全控制，并执行从勒索软件到国家支持的网络间谍活动的隐蔽行动。由于大多数公共沙箱仅检查用户模式活动，这种内核级别的滥用通常难以被发现。在这项工作中，我们首先介绍了首个BYOVD行为的动态分类法。该分类法基于对实际事件的手动调查和细粒度内核跟踪分析综合而成，将每次攻击映射到连续的阶段，并列举了每个步骤中被滥用的关键API。然后，我们提出了一种基于虚拟化的沙箱，它跟踪驱动程序执行路径的每一步，从最初的用户模式请求到最低级别的内核指令，而无需重新签名驱动程序或修改主机。最后，沙箱自动为每个观察到的动作添加相应的分类注释，生成一份分阶段报告，突出显示样本表现出可疑行为的位置和方式。针对当前的BYOVD技术环境进行测试，我们分析了8,779个加载了773个不同签名驱动程序的恶意软件样本。该沙箱标记了48个驱动程序的可疑行为，随后的手动验证导致向微软、其供应商和公共威胁情报平台披露了七个先前未知的漏洞驱动程序。我们的结果表明，对内核控制流的深入、透明跟踪可以揭示传统分析流程无法发现的BYOVD滥用行为，丰富了社区对驱动程序利用的知识，并促进了Windows防御的主动加固。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1491-paper.pdf

246、User-Space Dependency-Aware Rehosting for Linux-Based Firmware Binaries

固件重托管是一种基础仿真技术，能够大规模地对固件二进制文件进行动态分析。成功重托管基于Linux的固件服务需要正确模拟系统级功能（如设备接口）和用户空间依赖项（如配置文件、进程间通信）。然而，现有解决方案未能充分利用用户空间知识。作为第一个用户空间进程的初始化例程负责设置操作环境，但往往执行不完整，导致初始化不完整。此外，所有仿真故障都被统一处理，无法区分系统级仿真问题及其对用户空间依赖项的间接影响。为填补这一空白，我们开发了FIRMWELL框架，该框架首先将固件重托管建模为目标二进制文件及其用户空间依赖项的协同仿真。它首先重托管初始化例程以构建环境，然后启动目标服务，这一过程通常涉及一百多个进程。当仿真故障发生时，FIRMWELL会识别阻塞进程，分析错误仿真的资源，并应用有针对性的修复。关键策略是通过纠正底层系统级仿真错误来解决用户空间依赖项故障，同时利用程序分析进行精确的资源值推断。在对14,049个固件镜像的评估中，FIRMWELL成功重托管了6,490个服务，比现有最佳方法高出1.6-8倍（FirmAE为3,581个，Greenhouse为3,962个，Pandawan为810个），同时将平均重托管时间减少了1.8-8.4倍（分别为12分钟、22分钟、74分钟和101分钟）。FIRMWELL被应用于对1,043个固件镜像进行模糊测试，发现了67个零日漏洞，其中10个已被分配CVE标识符。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s249-paper.pdf

247、Validity Is Not Enough: Uncovering the Security Pitfall in Chainlink’s Off-Chain Reporting Protocol

区块链预言机在将链外交易所的价格数据传递给智能合约方面发挥着关键作用，从而实现自动化金融服务。作为主导的预言机服务提供商，Chainlink采用去中心化预言机网络(DON)来提供价格数据。在Chainlink的DON中，多个预言机节点独立观察加密货币的价格并运行链下报告(OCR)协议，从它们的观测值中确定一个唯一价格。源自OCR协议的价格偏差将带来安全风险。为防止拜占庭预言机节点引发任意价格偏差，OCR的有效性属性确保确定的价格被诚实观测值所限制。然而，这一界限在实际环境中仍不明确，且拜占庭行为仍能引发多大程度的价格偏差尚不清楚。本文通过实证和理论分析，深入研究了拜占庭行为对OCR协议中确定价格的潜在影响。首先，我们的实证分析显示，在实际环境中，拜占庭行为在OCR协议中仍有足够空间影响确定的价格。随后，我们详细阐述了战略性地影响确定价格的拜占庭行为，并对其影响进行了形式化建模。此外，我们使用Chainlink的真实世界价格数据评估了这些拜占庭行为的影响。实验结果表明，拜占庭行为引发的价格偏差可达ETH价格的8.47%。我们的案例研究进一步表明，被拜占庭行为影响的价格值可能带来下游金融影响，规模可达10^5美元，而此类价格值的累积影响可能达到数百万美元。总之，这项工作揭示出，即使在有效性保证下，拜占庭行为仍可能对OCR协议中的确定价格产生不可忽视的影响。我们已将发现结果向Chainlink进行了道德报告，旨在支持OCR协议的安全性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f458-paper.pdf

248、Vault Raider: Stealthy UI-based Attacks Against Password Managers in Desktop Environments

密码管理器通过生成强大且唯一的密码显著改进了基于密码的身份验证，同时通过自动填充功能简化了实际的身份验证过程。关键的是，在传统浏览环境中使用时，自动填充提供了额外的安全保护，因为它可以轻易地挫败网络钓鱼攻击，因为网站域名信息唾手可得。随着主要网络服务越来越多地部署独立的原生应用程序的趋势，密码管理器也开始为桌面环境提供通用自动填充和其他用户友好的功能。然而，目前尚不清楚密码管理器的安全保护在这些环境中如何运作。在本文中，我们通过首次对流行密码管理器（包括1Password和LastPass）在主要桌面环境（macOS、Windows、Linux）中提供的自动填充相关功能进行系统性实证分析，填补了这一空白。我们通过实验发现，密码管理器采用不同的策略与桌面应用程序交互，并采用不同级别的针对基于用户界面攻击的保护措施。例如，在macOS上，我们发现可以利用操作系统提供的API和检查实现高级别的安全性，而在Windows上，我们识别出缺乏适当的安全检查，这主要是由于操作系统的限制。在每种情况下，我们都展示了概念验证攻击，这些攻击允许其他应用程序绕过现有的安全检查，并通过不可见的模拟按键 stealthily 窃取用户的凭据、一次性密码和保险库密钥。因此，我们提出了一系列可以缓解我们攻击的对策。由于我们攻击的严重性，我们向被分析的密码管理器供应商披露了我们的发现和建议的对策，这已经促使某些供应商开始修复过程，并获得了错误赏金。最后，我们将分享我们的代码，以促进加强密码管理器的额外研究。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1067-paper.pdf

249、VDORAM: Towards a Random Access Machine with Both Public Verifiability and Distributed Obliviousness

可验证随机访问机（vRAM）作为一种基础模型，能够表达具有可证明安全保证的复杂计算，应用于安全电子投票、金融审计和隐私保护智能合约等领域。然而，现有的vRAM均未提供分布式 obliviousness，这在多个证明者希望防止彼此之间以及与验证者之间信息泄露的场景中是一个关键需求，因为现有解决方案难以解决MPC与ZKP之间的范式不匹配问题，这限制了实际多证明者ZKP前端的发展。这一差距的出现是因为MPC协议针对最小计算进行了优化，而ZKPs需要完整的计算轨迹用于证明。此外，调整RAM设计也面临挑战，因为vRAM并非为盲目执行的高成本而设计，且现有的DORAM缺乏公开可验证性。为应对这些挑战，我们引入了CompatCircuit，据我们所知，这是首个多证明者ZKP前端实现，旨在弥合这一差距。CompatCircuit将协作zkSNARKs与新型MPC协议相结合，将计算和验证统一为单个兼容的电路范式。基于CompatCircuit，我们提出了VDORAM，这是首个公开可验证的分布式 oblivious RAM。VDORAM平衡了在线MPC的高通信延迟与离线证明生成的复杂性，形成了一种能够兼顾这些竞争性需求的RAM设计。我们用约15,000行代码实现了CompatCircuit和VDORAM，通过微基准测试、比较分析和程序示例等大量实验证明了它们的实际可行性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s16-paper.pdf

250、VeriLoRA: Fine-Tuning Large Language Models with Verifiable Security via Zero-Knowledge Proofs

微调大型语言模型（LLMs）对于使其适应特定任务至关重要，但这仍然计算密集，并且在不可信环境中引发了正确性和隐私方面的担忧。尽管像低秩适应（LoRA）这样的参数高效方法显著降低了资源需求，但在零知识约束下确保微调的安全性和可验证性仍然是一个未解决的挑战。为此，我们提出了VeriLoRA，这是第一个将LoRA微调与零知识证明（ZKPs）相结合的框架，实现了可证明的安全性和正确性。VeriLoRA采用先进的密码学技术——如查找参数、求和协议和多项式承诺——来验证基于Transformer架构中的算术和非算术操作。该框架为LoRA微调过程中的前向传播、反向传播和参数更新提供端到端的可验证性，同时保护模型参数和训练数据的隐私。基于GPU的实现，VeriLoRA在开源LLMs（如LLaMA）上的实验验证中展示了其实用性和效率，可扩展至130亿参数。通过将参数高效微调与ZKPs相结合，VeriLo弥合了一个关键差距，使LLMs能够在敏感或不可信环境中安全可信地部署。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2361-paper.pdf

251、VICTOR: Dataset Copyright Auditing in Video Recognition Systems

视频识别系统正日益应用于日常生活，如内容推荐和安全监控。为促进视频识别的发展，许多机构已发布了高质量的开源许可公共数据集，用于训练先进模型。同时，这些数据集也容易被滥用和侵权。数据集版权审核是识别此类未经授权使用的有效解决方案。然而，现有的数据集版权解决方案主要关注图像领域；视频数据的复杂性使得视频领域的数据集版权审核尚未得到探索。具体而言，视频数据引入了额外的时间维度，这对现有方法的有效性和隐蔽性构成了重大挑战。在本文中，我们提出了VICTOR，这是首个面向视频识别系统的数据集版权审核方法。我们开发了一种通用且隐蔽的样本修改策略，能够增强目标模型的输出差异。通过仅修改少量样本（例如1%），VICTOR放大了已发布修改样本对目标模型预测行为的影响。然后，模型对已发布修改样本和未发布原始样本的行为差异可作为数据集审核的关键依据。在多个模型和数据集上的广泛实验凸显了VICTOR的优越性。最后，我们证明了在面对针对训练视频或目标模型的多种干扰机制时，VICTOR具有鲁棒性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f746-paper.pdf

252、ViGText: Deepfake Image Detection with Vision-Language Model Explanations and Graph Neural Networks

深度伪造技术的迅速崛起产生了逼真但虚假的数字内容，威胁着媒体的真实性。深度伪造技术操纵视频、图像和音频，传播错误信息，模糊真实与虚假的界限，凸显了对有效检测方法的需求。传统的深度伪造检测方法往往难以应对复杂、定制的深度伪造内容，特别是在泛化能力和对抗恶意攻击的鲁棒性方面。本文介绍了ViGText，一种创新方法，它将图像与基于视觉的大语言模型(VLLM)文本解释在基于图的框架中集成，以改进深度伪造检测。ViGText的创新之处在于它将详细解释与视觉数据相结合，提供了比通常缺乏特异性且无法揭示细微不一致性的字幕更具上下文感知能力的分析。ViGText系统地将图像分割为块，构建图像和文本图，并利用图神经网络(GNN)进行集成分析以识别深度伪造。通过在空间和频域进行多级特征提取，ViGText捕捉了增强其鲁棒性和准确性的细节，能够检测复杂的深度伪造内容。大量实验表明，ViGText显著提高了泛化能力，并在检测用户定制的深度伪造内容时取得了显著的性能提升。具体而言，在泛化评估中，平均F1分数从72.45%上升到98.32%，反映了该模型对未见过的、经过微调的稳定扩散模型变体的优越泛化能力。在鲁棒性方面，ViGText与其他深度伪造检测方法相比，在面对最先进的基础模型对抗攻击时，召回率提高了11.1%。ViGText在面对利用其图架构的针对性攻击时，将分类性能的降低限制在4%以内，同时略微增加了执行成本。ViGText将细粒度的视觉分析与文本解释相结合，为深度伪造检测建立了新的基准，并为保护媒体真实性和信息完整性提供了更可靠的框架。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s303-paper.pdf

253、vSim: Semantics-Aware Value Extraction for Efficient Binary Code Similarity Analysis

二进制代码相似性分析（BCSA）在许多安全任务中发挥着至关重要的作用，包括恶意软件分析、漏洞检测和软件供应链安全。尽管过去十年提出了许多BCSA技术，但很少有利用寄存器和内存值的语义进行比较的，尽管初步结果很有前景。现有的基于值的方法通常仅关注在编译设置中保持不变的值，从而忽略了更广泛的语义丰富信息。在本文中，我们确定了限制基于值的BCSA有效性的三个核心挑战：值提取的可扩展性不足、缺乏噪声过滤以及值比较效率低下。这些缺点既限制了语义覆盖范围，也影响了可扩展性。为了充分释放基于值的BCSA的潜力，我们提出了vSim，这是一个新颖的框架，能够系统性地捕获所有寄存器和内存操作的值，过滤掉语义无关的值（例如全局地址），并对剩余值进行归一化和传播，以实现健壮且可扩展的相似性分析。广泛的评估表明，vSim在准确性、鲁棒性和可扩展性方面 consistently优于最先进的BCSA系统。它在不同架构和工具链上具有良好的泛化能力，能够在多样化的数据集上产生可靠的结果。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f213-paper.pdf

254、VulSCA: A Community-Level SCA Approach for Accurate C/C++ Supply Chain Vulnerability Analysis

随着第三方库（TPLs）在C/C++开发中的广泛采用，软件供应链安全变得至关重要。现有的C/C++供应链漏洞分析方法存在显著局限性。一些方法仅专注于依赖识别，导致误报（FPs），而另一些方法强调漏洞检测却忽略依赖关系，需要耗时的完整仓库扫描，从而阻碍了对供应链漏洞的快速响应。为此，我们探讨了准确依赖构建和漏洞检测的适当粒度。我们提出了一种社区级的软件成分分析（SCA）方法，将项目的调用图建模为社会网络并应用社区检测。然后通过社区相似性建立项目与TPLs之间的依赖关系。对于漏洞检测，我们在依赖社区内执行基于克隆的检测以验证漏洞的存在，并引入两阶段可达性分析以确定这些漏洞是否可以传播到目标项目。我们实现了VulSCA，这是首个集成漏洞检测和可达性分析的C/C++ SCA框架。实验结果表明，在SCA方面，VulSCA的性能优于CENTRIS和OSSFP，F1-score提高了4-12%。在供应链漏洞检测方面，其F1-score比基于版本的方法高44-48%，比基于代码的方法高17-23%。在效率方面，VulSCA的整体开销低于所有基于代码的方法。此外，VulSCA在广泛使用的开源项目中识别出32个先前未被修复的供应链漏洞，这些漏洞已报告给相应的供应商。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s613-paper.pdf

255、Was My Data Used for Training? Membership Inference in Open-Source LLMs via Neural Activations

随着大型语言模型（LLMs）的快速发展，其应用已扩展到日常生活的各个方面。开源LLMs因其可访问性而广受欢迎，导致广泛下载和再分发。LLMs的强大能力源于对大规模且通常未公开的数据集的训练，这引发了关于是否包含版权或个人数据等敏感内容的问题，这被称为成员推断问题。现有方法主要依赖模型输出，而忽略了丰富的内部表示。内部数据的有限访问导致次优结果，揭示了开源白盒LLMs中成员推断的研究空白。在本文中，我们解决了检测开源LLMs训练数据的挑战。为支持这项研究，我们引入了三个动态基准：WikiTection、NewsTection和ArXivTection。随后，我们提出了一种通过分析LLMs的神经激活来进行训练数据检测的白盒方法。我们的关键见解是，LLMs所有层的神经元激活反映了输入数据在LLM内部的知识表示，能够有效区分LLM的训练数据和非训练数据。在这些基准上的广泛实验证明了我们方法的有效性。例如，在WikiTection基准上，我们的方法在五个LLMs（GPT2-xl、LLaMA2-7B、LLaMA3-8B、Mistral-7B和LLaMA2-13B）上均实现了约0.98的AUC。此外，我们对模型大小、输入长度和文本改写等因素进行了深入分析，进一步验证了我们方法的鲁棒性和适应性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f474-paper.pdf

256、WBSLT: A Framework for White-Box Encryption Based on Substitution-Linear Transformation Ciphers

加密算法面临各种密钥提取攻击，促使在不同威胁模型下产生多种防御工作。其中，白盒威胁模型具有最强的对抗场景，攻击者可以完全访问和控制密码学实现及其执行环境。然而，先前的白盒加密设计主要保护单个密钥相关表，使得白盒和侧信道攻击能够恢复密钥。基于我们的观察，对这些表的边界进行模糊化可以使攻击无效。因此，我们提出了WBSLT，一种用于替换-线性变换（SLT）密码表格式白盒实现的新型设计框架。WBSLT通过线性和非线性变换保护嵌入密钥的表，并部分将每个组件的计算留给下一个组件，以减轻单个密钥相关表泄露。为进一步防御差分计算分析和差分故障分析，该框架集成了掩码、随机化和外部编码。理论分析表明其对各种攻击具有免疫性。实验结果验证了WBSLT在多个计算平台上的实用性，显示出高效的加密性能和合理的内存消耗。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2492-paper.pdf

257、WCDCAnalyzer: Scalable Security Analysis of Wi-Fi Certified Device Connectivity Protocols

Wi-Fi联盟已开发了多种设备连接协议，如Wi-Fi Direct、Wi-Fi EasyConnect和Wi-Fi EasyMesh，这些协议在全球数十亿设备中发挥着关键作用。鉴于其广泛采用，确保这些协议的安全性和隐私性至关重要。然而，现有研究尚未全面审视这些协议设计的安全性和隐私性方面。为填补这一空白，我们推出了WCDCAnalyzer（Wi-Fi认证设备连接分析器），这是一个正式分析框架，旨在评估这些广泛使用的Wi-Fi认证设备连接协议的安全性和隐私性。在形式化验证Wi-Fi Direct协议时，一个重大挑战是由协议规模大、复杂性高导致的状态爆炸问题所引起的可扩展性问题，这会导致内存使用呈指数级增长。为应对这一挑战，我们开发了一种遵循组合推理范式的系统分解方法，并将其整合到WCDCAnalyzer中。这使得WCDCAnalyzer能够自动将给定协议分解为多个子协议，分别验证每个子协议，然后合并结果。我们的设计是基于严格基础的组合推理的实际应用，我们提供了详细算法，展示了如何将这种推理方法应用于密码协议验证。使用WCDCAnalyzer，我们分析了这些协议并发现了10个漏洞，包括身份验证绕过、隐私泄露和拒绝服务攻击。这些漏洞及相关实际攻击已在商业设备上得到验证，并获得了Wi-Fi联盟的认可。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1049-paper.pdf

258、What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs

开源软件项目是现代软件生态系统的基础，Linux内核因其普遍性和复杂性而成为关键典范。尽管安全补丁持续集成到Linux主线内核中，但下游维护者常常延迟采用这些补丁，从而造成漏洞窗口。这种滞后的一个关键原因是难以识别安全关键补丁，特别是那些处理可利用漏洞的补丁，如越界（OOB）访问和使用后释放（UAF）错误。由于故意静默的bug修复、不完整或缺失的CVE分配、CVE发布延迟以及最近Linux内核CVE分配标准的变更，这一挑战进一步加剧。以往的工作如GraphSPD提出了二元分类器来区分安全补丁与非安全补丁。然而，这些方法不能提供漏洞类型的细粒度分类，这对于优先修复OOB和UAF等高影响错误至关重要。我们的工作旨在将这些粗略标记的安全补丁分类为细粒度类别，即OOB、UAF或非OOB-UAF类型。尽管细粒度补丁分类方法已经存在，但它们在覆盖范围和准确性方面都存在局限性。在这项工作中，我们确定了以前未被探索的机会，可以显著改进细粒度补丁分类。具体而言，通过利用提交标题/消息和差异的线索以及适当的代码上下文，我们开发了DUALLM，这是一个双方法流水线，集成了基于大型语言模型（LLM）和微调小型语言模型的两种方法。DUALLM实现了87.4%的准确率和0.875的F1分数，显著优于先前解决方案。值得注意的是，DUALLM成功地将5,140个最近的Linux内核补丁中的111个识别为处理OOB或UAF漏洞，其中90个真阳性通过手动验证确认（许多在补丁描述中没有明确指示）。此外，我们为两个已识别的错误（一个UAF和一个OOB）构建了概念验证，包括一个用于执行先前未知的控制流劫持的漏洞，进一步证明了分类的正确性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s328-paper.pdf

259、When Cache Poisoning Meets LLM Systems: Semantic Cache Poisoning and Its Countermeasures

大型语言模型（LLM）的出现催生了广泛应用，包括代码生成、聊天机器人和AI智能体。然而，部署这些应用在成本和效率方面面临重大挑战。应对这些挑战的一种重要优化是语义缓存，它基于语义相似性跨用户重用查询-响应对。这种机制在学术界和工业界都获得了广泛关注，并已被集成到Azure、AWS和阿里巴巴等云服务提供商的LLM服务基础设施中。本文首次证明语义缓存容易受到缓存投毒攻击，即攻击者注入精心设计的缓存条目，导致其他用户接收到攻击者定义的响应。我们在多种场景下演示了语义缓存投毒攻击，并确认其在三大主要公有云中的实用性。基于这些攻击，我们评估了现有的对抗性提示防御方法，发现它们对语义缓存投毒无效，促使我们提出了一种新的防御机制，相比现有方法显示出更好的保护效果，尽管完全缓解仍然具有挑战性。我们的研究表明，缓存投毒这一长期存在的安全问题在LLM系统中重新出现。虽然我们的分析聚焦于语义缓存，但潜在风险可能延伸至LLM系统中使用的其他类型的缓存机制。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f200-paper.pdf

260、When Focus Enhances Utility: Target Range LDP Frequency Estimation and Unknown Item Discovery

局部差分隐私（LDP）协议能够收集随机化的客户端消息用于数据分析，而无需可信的数据管理员。此类协议已被谷歌、苹果和微软等大型科技公司成功应用于实际场景。在本文中，我们提出了一种广义计数均值草图（GCMS）协议，该协议涵盖了多种现有的频率估计协议。我们的方法显著改善了通信、隐私和准确性之间的三向权衡。我们还引入了一种通用效用分析框架，能够优化参数设计。基于此，我们提出了一种最优计数均值草图（OCMS）框架，用于最小化收集具有目标频率项目的方差。此外，我们提出了一种用于收集未知领域数据的新协议，因为我们的频率估计协议仅对已知数据领域有效。利用基于稳定性的直方图技术与加密-打乱-分析（ESA）框架相结合，我们的方法采用辅助服务器构建直方图，而无需访问原始数据消息。该协议实现了与中心DP模型相当的准确性，同时提供了类本地隐私保证，并显著降低了计算成本。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1397-paper.pdf

261、When Mixnets Fail: Evaluating, Quantifying, and Mitigating the Impact of Adversarial Nodes in Mix Networks

混合网络（mixnets）通过将数据包独立地随机经过选定的跳节点（mixnodes）传输，为客户端提供针对强大网络对手的通信匿名性，从而破坏数据包的可链接性。尽管这种方法在Nym系统中实现，能够最大化对网络对手的混淆效果，但它允许攻击者通过控制部分mixnodes（节点总数的10%/5%）来完全消除通信量与其目的地超过特定阈值（4MB/30MB）的所有客户端的匿名性。为缓解此类漏洞，本研究开发了一系列新颖的路径选择技术，实现了对网络对手的抵抗力与对受损mixnodes的弹性之间的平衡。鉴于现有的匿名性度量不足以量化混合网络中的 adversarial 风险，我们额外引入了有效的基于实证和模拟的度量指标。通过理论、实证和基于模拟的评估，我们全面评估了所提出的方案，证明这些方法可将对受损节点的脆弱性降低高达80%，同时为网络对手带来的有限优势。我们的分析进一步揭示，最先进的匿名性度量指标与我们所提出的度量指标相比，会产生误导性结果，这些结果影响了Nym系统中的某些设计决策。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2384-paper.pdf

262、WhiteCloak: How to Hold Anonymous Malicious Clients Accountable in Secure Aggregation?

随着人工智能的进步和各行业数字化程度的不断提高，个人数据收集和分析的规模持续增长，导致对个人数据和身份隐私保护的需求日益增加。然而，现有的安全聚合方法（如ACORN (USENIX 2023)）在确保输入数据的隐私和合规性方面表现良好，却无法满足客户端匿名性的要求。简单地应用匿名凭证允许先前已识别的恶意客户端（例如使用不合规数据的客户端）通过更新其凭证重新进入聚合轮次，从而逃避责任。为解决这一问题，我们提出了WhiteCloak，这是首个在客户端匿名性下确保责任归属的安全聚合解决方案。WhiteCloak要求每个客户端i使用匿名凭证$\tilde{i}_{\tau}$参与第$\tau$轮。参与前，每个客户端必须提交一个零知识证明，验证自己未被列入黑名单，从而防止恶意客户端通过更改凭证逃避责任。WhiteCloak可以无缝集成到现有框架中。在SHAKESPEARE数据集的联邦学习实验中，WhiteCloak仅增加了1.77秒的额外处理时间和35.68KB的通信开销，分别占ACORN总开销的0.34%和0.1%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s142-paper.pdf

263、WiFinger: Fingerprinting Noisy IoT Event Traffic Using Packet-level Sequence Matching

智能家居等物联网环境容易受到隐私推断攻击，攻击者可以通过分析加密网络流量模式来推断设备状态甚至人的活动。虽然大多数现有攻击利用机器学习技术来发现此类流量模式，但由于无线流量（尤其是Wi-Fi）的高噪声性和数据包丢失问题，它们在无线流量上的表现不佳。此外，这些方法通常针对区分分块的物联网事件流量样本，无法有效同时跟踪多个事件。在这项工作中，我们提出了WiFinger，一种针对噪声流量的细粒度多物联网事件指纹识别方法。WiFinger将流量模式分类任务转化为子序列匹配问题，并引入了新技术来处理高时间复杂度，同时保持高准确性。此外，它对训练样本量的依赖减少了未来指纹更新的工作量。实验表明，在实际威胁模型下，WiFinger的性能优于现有方法，平均召回率达到89%（相比之下，分别为49%和46%），且对于各种物联网事件的误报率几乎为零。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1083-paper.pdf

264、XR Devices Send WiFi Packets When They Should Not: Cross-Building Keylogging Attacks via Non-Cooperative Wireless Sensing

随着扩展现实(XR)技术不断融入各个领域，各种安全漏洞——如按键推断(键盘记录)——已成为日益增长的担忧。几种键盘记录攻击证明了利用语音和视觉等多种模态利用此漏洞的可行性。然而，这些攻击通常需要视线(LoS)和/或近距离(<10米)的限制。我们提出了一种针对XR设备的新型键盘记录攻击，利用WiFi无线传感。与先前方法不同，我们的攻击不需要视线，并且在各种场景中均有效，包括远距离、跨建筑物设置(最远30米)。我们的攻击仅需一个廉价、口袋大小的接收装置即可收集受害者的WiFi数据包。与利用WiFi的先前键盘记录攻击相比，我们的方法首次消除了对独立发射器和接收器或虚假热点的需求。因此，与先前方法不同，我们的攻击即使在远距离也有效。核心思想在于利用WiFi芯片组中的安全漏洞。此漏洞允许攻击者向受害者设备发送一个虚假的未加密数据包，作为响应，受害者设备会不由自主地自动传输一个确认(ACK)数据包。通过利用此机制，我们可以持续强制头显的WiFi芯片组传输数据包，从而从受害者的头显中收集大量信道状态信息(CSI)数据。随后，我们开发了一种新颖的无监督信号处理算法，利用CSI数据进行姿态估计，定位受害者的手和手指，最终实现按键推断。我们在Meta Quest 2和Meta Quest 3头显上评估了我们的攻击，测试条件多样，包括距离从1米到30米，角度从-90°到+90°，多用户场景，以及穿墙场景，证明了其在广泛环境中的鲁棒性和有效性。我们的攻击在建筑物内实现了78.6%的top-25准确率，可推断长达15个字符的密码。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f926-paper.pdf

265、ZKSL: Verifiable and Efficient Split Federated Learning via Asynchronous Zero-Knowledge Proofs

在垂直联邦学习(VFL)中，先前的工作主要侧重于保护数据隐私，而忽视了参与者可能操纵本地模型执行以实施完整性攻击的风险。将零知识证明(ZKPs)整合到训练过程中可以确保各方计算的可验证性，同时不泄露私有数据。然而，由于以下原因，将深度模型训练直接编码为整体ZKP电路是不切实际的：(i)复杂的电路设计和频繁参数承诺带来的高开销，(ii)嵌入层(跨方信息接口)的证明生成成本高昂，以及(iii)同步证明生成会阻塞迭代训练轮次。为应对这些挑战，我们提出了ZKSL，这是一个高效且异步的VFL框架，在恶意威胁模型下实现可验证训练。ZKSL将深度神经网络划分为分层电路并并行生成其证明，通过"隐私承诺PLONK"(PC-PLONK)确保输入-输出一致性，这是一种轻量级扩展，支持低成本、逐次迭代的参数承诺。对于嵌入层，ZKSL采用概率验证技术，将证明复杂度从${O(Nnd)}$降低到${O(nd)}$。此外，ZKSL集成了异步计算-证明调度机制，将证明生成与训练迭代解耦，有效缓解了流水线停滞问题。在DeepFM和CNN模型上的实验结果表明，ZKSL将证明生成时间最多减少73%，同时保持99.4%的准确率，展示了其在实际联邦学习中的卓越可扩展性和实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2008-paper.pdf

跳转微信打开

今年共读完 37 本书，其中文学类的书籍占比较多，选择个人最喜欢的 16 本书做推荐，刚好推荐的书都在微信读书上。

这次就不写书评了，附上的图片上面都有二维码，直接点开就可以看到一些推荐值和书评了。

如果要对 2025 年的读书做一个总结的话，那主要有以下几个感受：

1.随着年龄的增长与生活阅历的丰富，自己越来越喜欢阅读文学作品，因为它能够抚慰人心，能够表达你表达不了的话，犹如哑巴突然开口说话一般惊喜；其次，它能够给你丰富的想象，对从事理工科研究工作的人，可以培养创新思维。

2.网络安全书籍读的越来越少，因为很多同类书籍大都出版过，已经鲜有新主题方向的书可出版，导致此类新书就越来越少了；其次，个人认为网络安全研究越往深处走，就会回归到底层的一些计算机基础上，所以近两年看的计算机专业基础书籍反而更多；最后是时效性问题，书籍的出版对于内容很多时候它容易过时，而论文的出版则更为及时，所以现在我读论文的数量反而更多。

3.给自己创造读书的空间很重要，比如买几个阅读器和书架，放在不同的地方，挑把坐的舒服的椅子，便于自己随手随地可以看书，同时可以培养孩子的阅读习惯。

跳转微信打开

ISSTA 主会场 Full Paper，之前发的只是附属研讨会的短文

前一篇发的其实是ISSTA Companion 短文，之前没注意，下载好多篇看了之后，发现都是短文，质量远不及主会场的论文，今天重新采集主会场 Full Paper 列表发出来。

1、A Large-Scale Empirical Study on Fine-Tuning Large Language Models for Unit Testing

单元测试在软件开发中扮演着关键角色，能有效提升软件质量与可靠性。然而人工生成高效测试用例耗时费力，这推动了单元测试自动化研究的发展。近年来，大语言模型（LLMs）在测试生成、断言生成和测试演进等单元测试任务中展现出潜力，但现有研究范围有限且缺乏对LLMs效能的系统评估。为填补这一空白，我们开展了针对单元测试任务的大规模大语言模型微调实证研究。本研究涵盖三项单元测试任务、五个基准数据集、八项评估指标以及37种不同架构和规模的流行LLMs，累计消耗超过3,000个NVIDIA A100 GPU小时。我们聚焦三个核心研究问题：（1）LLMs相较于现有最优方法的性能表现；（2）不同因素对LLM性能的影响；（3）微调与提示工程的效果对比。研究发现：在所有三项单元测试任务中，LLMs在几乎全部指标上均优于现有最优方法，凸显了微调LLMs在单元测试任务中的潜力。进一步地，大规模仅解码器模型在所有任务中表现最佳，而编码器-解码器模型在相同参数规模下性能更优。此外，通过对比微调与提示工程的性能表现，我们发现提示工程方法在单元测试任务中具有显著潜力。我们继而探讨了测试生成任务中的关键问题，包括数据泄露问题、缺陷检测能力和指标对比。最后，我们进一步为近期基于LLM的单元测试任务实践提出了具体指导准则。总体而言，本研究证明了微调LLMs在单元测试任务中的广阔前景，并有效降低了实际场景中单元测试专家的人工投入成本。

链接：https://doi.org/10.1145/3728951

2、A Low-Cost Feature Interaction Fault Localization Approach for Software Product Lines

在软件产品线（SPL）中，定位缺陷特征交互能帮助开发人员识别测试失败的根源，从而减轻其工作负担。由于潜在交互数量随特征数量呈指数级增长，该任务面临巨大挑战——尤其对于大型SPL而言，搜索空间极为庞大。现有方法通过基于可疑特征选择（例如出现在失败配置但未通过测试的特征）构建和检测潜在特征交互，部分解决了这一问题。然而这些方法往往忽略缺陷特征交互与测试失败之间的因果关系，导致搜索空间过大和故障定位成本高昂。为此，我们提出一种基于反事实推理的低成本故障定位方法（CRFL），通过缩减搜索空间和减少冗余计算来提升定位效率。具体而言，CRFL运用反事实推理推断可疑特征选择，并采用对称不确定性过滤无关特征交互。此外，该方法融合两项发现机制以避免重复生成和检测相同特征交互。我们在八个公开SPL系统上评估本方法性能，并针对BerkeleyDB和TankWar生成多个缺陷变异体以支持大规模真实SPL的对比实验。实验结果表明：对于小型SPL（6-9个特征），本方法将搜索空间缩减51%∼73%；对于大型SPL（13-99个特征），缩减幅度达71%∼88%。本方法平均运行时间比现有最优技术快约15.6倍。当与语句级定位技术结合时，CRFL能高效定位缺陷语句，这证明其可准确识别缺陷特征交互。

链接：https://doi.org/10.1145/3728917

3、ALMOND: Learning an Assembly Language Model for 0-Shot Code Obfuscation Detection

代码混淆是一种通过增加软件理解和逆向工程难度来保护软件的技术。然而，该技术也可能被恶意利用，如实施代码抄袭或开发恶意程序。基于学习的技术在监督学习和标注训练集的帮助下已取得显著成功。但面对现实环境中涉及私有开发且未公开的混淆器时，这些监督学习方法在面对未见未知类别的混淆技术时，其泛化性和鲁棒性常引发担忧。

本文提出ALMOND——一种用于检测二进制可执行文件中代码混淆的新型零样本方法。与先前监督学习方法不同，ALMOND无需标注的混淆样本进行训练，而是利用仅在未混淆汇编代码上预训练的语言模型来识别混淆引入的语言偏差。其核心创新是采用"错误困惑度"作为检测指标，该指标专注于模型未能预测的标记。连续错误困惑度进一步强化此方法，以捕捉混淆序列特有的连续预测错误特征。

实验表明，ALMOND对未见混淆方法的检测准确率达96.3%，优于监督基线方法。在真实恶意软件样本上，其AUC值达到0.869，显著超越监督学习基线。我们的数据集、预训练模型及评估代码将在https://github.com/palmtreemodel/ALMOND 公开。

链接：https://doi.org/10.1145/3728886

4、Adding Spatial Memory Safety to EDK II through Checked C (Experience Paper)

嵌入式软件主要采用C语言编写，由于空间内存问题而易受内存破坏漏洞影响。尽管存在多种内存安全技术，但由于资源限制和缺乏标准化操作系统支持，这些技术通常不适用于嵌入式系统。Checked C作为一种向后兼容的内存安全C方言，通过使用指针注解进行运行时检查，以最小开销提升空间内存安全性，提供了潜在解决方案。本文首次呈现了将典型嵌入式代码库EDK2（开源UEFI实现）移植到Checked C的实践报告，重点阐明移植过程中的挑战，并为在类似嵌入式系统中应用Checked C提供见解。我们还开发了增强型自动注解工具e3c，将转换率提升25%，显著简化了向Checked C的转换过程。

链接：https://doi.org/10.1145/3728929

5、AdverIntent-Agent: Adversarial Reasoning for Repair Based on Inferred Program Intent

自动程序修复（APR）技术已展现出显著成果，尤其是神经网络的应用。当前多数APR工具聚焦于测试套件规定的代码转换，而非对程序意图和高级错误规约的推理。若缺乏对程序意图的准确理解，这些工具易生成过度拟合不完整测试套件的补丁，无法体现开发者真实意图。然而，程序意图推理本身极具挑战性。本研究提出一种基于批判与对抗推理的方法——AdverIntent-Agent。其创新性在于将重心从生成多个APR补丁转向推断多种潜在程序意图。理想情况下，我们致力于推断出具有一定对抗性的多重意图，从而最大化至少一种意图与开发者原始意图高度匹配的概率。AdverIntent-Agent采用多智能体架构，包含推理智能体、测试智能体和修复智能体：推理智能体首先生成对抗性程序意图及对应错误语句；测试智能体随后为每个推断意图生成对抗测试用例，构建使用相同输入但预期输出不同的测试预言；最终修复智能体通过动态精准的LLM提示生成同时满足推断程序意图和生成测试的补丁。我们在Defects4J 2.0和HumanEval-Java基准上评估AdverIntent-Agent，分别成功修复77和105个错误。本研究通过让开发者以自然语言评估程序意图（而非审查代码补丁），显著降低了补丁审核所需的工作量。

链接：https://doi.org/10.1145/3728939

6、An Investigation on Numerical Bugs in GPU Programs Towards Automated Bug Detection

通用图形处理器（GPU）计算已成为主流的并行计算范式，在科学计算和深度学习等多个领域带来显著的性能提升。然而，GPU程序易受数值错误影响，可能导致计算结果错误或系统崩溃。这类错误的检测、调试和修复极具挑战性：它们依赖于特定输入值或类型，缺乏可靠的错误检查机制和验证基准，且GPU独特的编程规范增加了定位根本原因的难度。修复过程还需要掌握GPU计算及数值库的领域知识。因此，深入理解GPU数值错误（GPU-NBs）的特征对开发有效解决方案至关重要。

本文通过分析GitHub中397个真实错误样本，对GPU-NBs展开全面研究。我们归纳了常见根本原因、症状、触发错误的输入模式与测试验证方法，并总结了修复策略。同时，我们开发了初步检测工具GPU-NBDetect，可检测六类不同数值错误。该工具在四个数值库的186个数学函数中共计发现226个错误，其中60个已获开发者确认。本研究为GPU数值错误的检测与预防技术奠定了基础，并为构建高效调试与自动修复工具提供了重要参考。

链接：https://doi.org/10.1145/3728950

7、Are Autonomous Web Agents Good Testers?

尽管自动化测试技术不断进步，但由于测试脚本脆弱性带来的高维护需求——应用程序结构的微小变更就可能导致脚本失效，手动测试仍然占据主导地位。大型语言模型（LLMs）的最新发展为自主网页代理（AWAs）提供了潜在替代方案，这些代理能够自主与应用程序进行交互。此类代理可作为自主测试代理（ATAs），通过使用类似人类测试人员所需的自然语言指令，有望减少对高维护性自动化脚本的依赖。本文研究了将AWAs应用于自然语言测试用例执行的可行性及其评估方法。

我们的贡献包括：（1）构建包含三个离线Web应用程序的基准测试集及113个手动测试用例（含通过/失败案例），用于评估比较ATAs性能；（2）开发SeeAct-ATA和pinATA两个开源ATA实现，能够执行测试步骤、验证断言并给出判定结果；（3）通过基准测试进行对比实验，量化评估ATA的有效性。最后我们还对性能最佳的PinATA进行了定性评估以识别其局限性。

研究结果表明：在执行测试用例时，我们简单的SeeAct-ATA实现相比更先进的PinATA实现性能较差（性能差距达50%）。尽管PinATA能获得约60%的正确判定率和高达94%的特异性指标，但我们发现要开发更具韧性和可靠性的ATAs仍需解决若干局限性，这为构建强健、低维护的测试自动化系统指明了方向。

链接：https://doi.org/10.1145/3728879

8、AudioTest: Prioritizing Audio Test Cases

基于深度神经网络（DNN）的音频分类系统是影响日常生活各类应用（如语音助手）的核心组件。确保此类系统的准确性至关重要，因为分类错误可能导致严重的安全问题与用户信任危机。然而音频分类器的测试面临重大挑战：音频测试样本的人工标注成本极高。测试优先级排序已成为缓解标注成本问题的有效手段，该方法通过优先处理可能被误分类的测试样本，实现关键样本的早期标注，从而提升调试效率。但现有优先级排序方法在音频测试样本上存在局限：1）基于代码覆盖的方法在效果和效率上均逊于基于置信度的方法；2）基于置信度的方法仅依赖预测概率向量，忽略了音频数据的独特性；3）基于变异的方法缺乏针对音频设计的变异操作，难以适用于音频测试样本。为此，我们提出专为音频测试样本设计的新型优先级排序方法AudioTest。其核心思想是：与误分类样本空间距离越近的测试越可能被误分类。基于音频数据的特性，AudioTest生成四类特征：时域特征、频域特征、感知特征和输出特征。该方法将每项测试的四类特征拼接为特征向量，并采用精心设计的特征变换策略，使误分类样本在空间中的分布更紧凑。AudioTest借助训练好的模型，根据变换后的向量预测每项测试的误分类概率，并据此排序。我们在包含纯净与带噪数据集的96个实验对象上评估AudioTest，采用故障检测率（PFD）和平均故障检测百分比（APFD）两项经典指标。结果表明，AudioTest在PFD和APFD上均优于所有对比方法。在纯净数据集上，相比基线方法的平均提升幅度为12.63%至54.58%；在带噪数据集上，提升幅度为12.71%至40.48%。

链接：https://doi.org/10.1145/3728907

9、Automated Attack Synthesis for Constant Product Market Makers

去中心化金融（DeFi）实现了传统金融中许多前所未有的新型应用，但同时也引入了新型安全漏洞。此类漏洞的一个典型代表是代币合约与遵循恒定乘积做市商（CPMM）模型的去中心化交易所（DEX）之间的可组合性缺陷。我们将这类缺陷称为CPMM可组合性漏洞，其根源在于代币合约的设计问题导致其与CPMM模型不兼容，进而危及CPMM生态系统中的其他代币。自2022年以来，此类漏洞已引发23次攻击事件，累计造成220万美元损失。智能合约审计公司BlockSec报告显示，仅2023年2月就发生了138次此类攻击。

本文提出CPMMX工具，能够自动检测整个区块链上的CPMM可组合性漏洞。为实现这种可扩展性，我们首先形式化定义了CPMM可组合性漏洞，发现破坏两个安全不变量即可诱发此类漏洞。基于该发现，我们设计了采用"先浅层后深度"双步检测机制的CPMMX工具：首先通过浅层搜索识别破坏不变量的交易，继而通过深度搜索精炼这些交易以验证攻击者可获利性。我们在两个公共数据集和一个合成数据集上使用五种基线方法进行评估。实验表明，CPMMX的漏洞检测数量是基线方法的1.5至2.5倍，分析速度显著提升且F1分数更高。此外，我们将CPMMX应用于以太坊和币安网络最新区块的所有合约，新发现26个可获利漏洞，潜在攻击总收益达1.57万美元。

链接：https://doi.org/10.1145/3728872

10、Automated Test Transfer across Android Apps using Large Language Models

移动应用在日常生活中的普及要求采用强大的测试策略来确保质量和效率，特别是通过基于使用的端到端移动应用用户界面（UI）测试。然而，手动创建和维护此类测试对开发者而言成本高昂。由于许多应用在多样化UI下具有相似功能，先前研究已证明在同领域不同应用间迁移UI测试的可能性，从而避免了手动编写测试的需求。但这些方法难以适应现实场景中的变化，当源应用和目标应用相似度不高或未能准确迁移测试预言时往往存在局限。本文提出创新技术LLMigrate，利用大语言模型（LLM）高效实现跨移动应用的基于使用的UI测试迁移。实验评估表明，LLMigrate在自动化测试迁移中可实现97.5%的成功率，将手动编写测试的工作量减少91.1%。相较于现有最佳技术，该方案在成功率上提升9.1%，在工作量减少上提高38.2%，为自动化测试迁移设立了新基准。

链接：https://doi.org/10.1145/3728975

11、Beyond Static Pattern Matching? Rethinking Automatic Cryptographic API Misuse Detection in the Era of LLMs

尽管加密API误用的自动化检测已取得显著进展，但由于依赖手动定义模式，其在复杂目标上的精确度仍然有限。大语言模型（LLM）凭借其上下文感知能力为弥补这一缺陷提供了新途径，但其随机性及幻觉问题对精准安全分析应用构成挑战。本文首次系统研究LLM在加密API误用检测中的应用，并获得重要发现：直接应用LLM的不稳定性导致初始报告中超过半数误报。然而，通过将检测范围与现实场景对齐并采用创新的代码与分析验证技术，可显著提升基于LLM检测的可靠性，实现近90%的检测召回率，这一提升远超传统方法，并成功在成熟基准测试中发现未知漏洞。研究同时揭示了当前LLM存在的共性失效模式，包括密码学知识缺失和代码语义误判等盲点。基于这些发现，我们部署了LLM检测系统，在开源Java和Python代码库（含Apache等知名项目）中新发现63个漏洞（47个已确认，7个已完成修复）。

链接：https://doi.org/10.1145/3728875

12、BinDSA: Efficient, Precise Binary-Level Pointer Analysis with Context-Sensitive Heap Reconstruction

指针分析是二进制代码逆向工程领域的基础组件。它可用于重建二进制程序的调用图，并能进一步应用于各种安全分析。然而，二进制代码中符号和类型信息的缺失给有效的指针分析带来了巨大挑战。现有研究在对二进制代码进行指针分析时通常采用近似方法，但这些方法往往效率低下且会产生大量误报目标。本文提出了一种专为二进制指针分析定制的新模型BinDSA，该模型将精确性和效率置于完备性之上。它具备字段敏感性和上下文敏感性，采用基于统一化的技术并重建上下文敏感的堆结构。通过联合恢复数据结构和指向关系，进一步提升了分析精度。评估结果表明，BinDSA的效率比当前最先进技术提升5倍，且在未显著牺牲完备性的情况下显著提高了精确度。我们还将BinDSA应用于CVE可达性分析和漏洞检测，证明了其在安全任务中的有效应用。

链接：https://doi.org/10.1145/3728928

13、BinQuery: A Novel Framework for Natural Language-Based Binary Code Retrieval

二进制函数检索（BFR）在逆向工程中至关重要，用于识别二进制代码中的特定功能，尤其是与恶意行为或漏洞相关的功能。传统的BFR方法依赖启发式规则，往往缺乏处理大规模或多样化二进制分析任务所需的效率和适应性。为应对这些挑战，我们提出了BinQuery——一个基于自然语言的BFR（NL-based BFR）框架，通过自然语言查询以更高的灵活性和精确度检索相关二进制函数。BinQuery引入了创新技术来弥合二进制代码与自然语言之间的信息鸿沟，实现细粒度对齐以提升检索准确度，并利用大语言模型（LLM）优化查询和生成多样化描述。大量实验表明，BinQuery显著超越当前最先进方法，在可比基准测试中召回率@1提升42.55%，性能提高4倍。

链接：https://doi.org/10.1145/3728927

14、Bridge the Islands: Pointer Analysis for Microservice Systems

微服务架构通过将应用程序分解为松散耦合的服务，为企业级软件带来了可扩展性与灵活性的革命。然而这种范式转变为指针分析——一种对支持各类客户端分析至关重要的基础静态分析技术——带来了独特挑战。现有基础分析方法主要针对单体式企业应用设计，难以处理复杂的服务间通信（如远程过程调用和基于消息的通信）以及依赖注入和Web端点配置等核心编程范式。本文提出Micans，这是首个专门针对微服务系统这些挑战设计的指针分析方案，能够构建跨服务的完整值流。我们在多个领域的真实基准测试上对Micans进行了全面评估，重点关注其在解析服务通信、构建调用图等关键程序信息以及支持污点分析等客户端分析方面的有效性。Micans持续显著优于现有最先进方法，证明了其处理复杂跨服务通信和多样化编程范式的能力。这些结果凸显了Micans作为强大基础分析方案的潜力，推动了静态分析能力以适应现代微服务复杂性的发展。

链接：https://doi.org/10.1145/3728896

15、Bridging the Gaps between Graph Neural Networks and Data-Flow Analysis: The Closer, the Better

近年来，深度神经网络在编程任务中的应用取得了显著实践成果，这促使研究者开始探索这些模型执行传统程序分析技术的能力。数据流分析（DFA）作为经典且成熟的分析方法，为评估神经网络在此领域的能力提供了契机。基于DFA与图神经网络（GNN）的结构相似性，我们深入探究GNN在多大程度上能有效建模DFA算法。依托神经算法推理（NAR）中的算法对齐概念，我们识别出两大关键挑战：DFA中位向量的非干扰特性，以及算法不同阶段外部信息的复杂处理机制。针对这些不足，我们提出三种逐步与DFA算法对齐的GNN架构——DFA-GNN−、DFA-GNN和DFA-GNN+。实验评估重点关注模型的泛化能力，特别是在小规模样本训练、大规模输入测试场景下的表现。结果表明，具有更高算法对齐度的GNN（如DFA-GNN+）展现出卓越的泛化能力和样本效率，仅需极少训练数据即可精准处理10倍规模的输入。值得注意的是，仅通过输入-输出对训练的GNN模型，其性能可与采用完整执行轨迹监督（当前NAR研究常用方法）的模型相媲美。这一发现凸显了当GNN与目标算法实现算法对齐时，在推理任务中表现出的高效性与鲁棒性。

链接：https://doi.org/10.1145/3728906

16、Can LLMs Replace Human Evaluators? An Empirical Study of LLM-as-a-Judge in Software Engineering

近年来，大型语言模型（LLM）已被应用于代码生成等多种软件工程（SE）任务，显著推进了软件工程任务的自动化进程。然而，评估这些由LLM生成的代码与文本质量仍具挑战性。当前广泛使用的Pass@k指标不仅需要大量单元测试和配置环境，导致人力成本高昂，且不适用于LLM生成文本的评估。而BLEU等传统指标仅衡量词汇而非语义相似性，也已受到质疑。为此，学界新兴趋势是采用LLM进行自动化评估，即"LLM即评判员"方法。这类方法被认为能比传统指标更好地模拟人类评估，且无需依赖高质量参考答案。但它们在软件工程任务中与人类评估的真实契合度尚未得到验证。

本文通过实证研究探讨了用于评估软件工程任务的LLM即评判员方法，重点关注其与人类判断的一致性。我们选取了七种基于通用LLM的评判方法，以及两种专为评估任务微调的LLM。通过在代码翻译、代码生成和代码摘要这三个最新软件工程数据集上生成LLM响应并进行人工评分后，我们引导这些方法对每个响应进行评估。最终将自动评分结果与人工评估进行对比。研究表明：在代码翻译和代码生成任务中，基于输出的评判方法与人类评分的皮尔逊相关系数分别达到81.32和68.51，接近人类评估水平，显著优于传统最佳指标ChrF++的34.23和64.92。此类方法直接引导LLM输出判断结果，且呈现出更接近人类评分模式的平衡分布特征。最后我们提出洞见与启示，指出当前最先进的LLM即评判员方法在某些软件工程任务中具有替代人类评估的潜力。

链接：https://doi.org/10.1145/3728963

17、Causality-Aided Evaluation and Explanation of Large Language Model-Based Code Generation

尽管代码生成已广泛应用于各种软件开发场景，但生成代码的质量仍无法得到保证。这在基于大语言模型（LLM）的代码生成时代尤为令人担忧——LLMs被视为复杂而强大的黑盒模型，通过高级自然语言规范（即提示词）来生成代码。然而，鉴于LLMs的复杂性和缺乏透明性，有效评估和解释其代码生成能力存在固有挑战。

受因果分析及其软件工程应用领域最新进展的启发，本文提出一种因果驱动的方法来系统分析提示词与代码间的因果关系。该研究面临三个关键技术挑战：(1) 以规范形式表示文本提示词和代码；(2) 建立高层概念与代码特征间的因果关系；(3) 系统分析多样化的提示词变体。针对这些挑战，我们首先提出基于因果图的新型表示方法，对输入提示词中细粒度、人类可理解的概念进行建模。随后利用构建的因果图识别提示词与衍生代码间的因果关系。

我们通过对四个主流LLMs模型应用12种以上提示词调整策略进行研究，展示了该框架的洞察能力。研究结果表明：我们的技术具有揭示LLM有效性机理、帮助终端用户理解预测结果的潜力。此外，实验证明该方法可通过合理校准提示词，为提升LLM生成代码质量提供可操作的改进建议。

链接：https://doi.org/10.1145/3728938

18、ClassEval-T: Evaluating Large Language Models in Class-Level Code Translation

摘要近年来，大型语言模型（LLM）显著提升了自动化代码翻译的性能，在多项传统基准测试中其计算准确率可达80%以上。然而，这些基准中的代码样本多为简短、独立、语句/方法级别且算法导向的类型，与实际编程任务存在偏差。因此，LLM在处理日常开发中所编写代码的实际翻译能力仍不明确。

为此，我们构建了类级别代码翻译基准ClassEval-T，首次系统评估了当前主流LLM在类级别代码翻译任务上的表现。该基准扩展自知名类级别Python代码生成基准ClassEval，涵盖数据库操作、游戏设计等实际编程主题，并包含字段、方法、库依赖等多样化上下文关联。我们耗费360人时完成了向Java和C++的手动迁移，提供完整代码样本及对应测试套件。随后，我们设计了整体翻译、最小依赖翻译和独立翻译三种类级别代码翻译策略，在ClassEval-T上评估了涵盖商业型、通用型和代码专用型的八个最新LLM（不同系列与参数量）。实验结果表明：与最广泛研究方法级别代码翻译的基准相比，LLM性能出现显著下降；不同模型间表现差异明显，证实ClassEval-T能有效衡量当前LLM能力。我们进一步探讨了不同翻译策略的适用场景，以及LLM在处理类样本时对依赖关系的感知能力。最后，本文对最佳性能LLM产生的1,243个失败案例进行了全面归因分析，为实践指导和未来研究提供启示。

链接：https://doi.org/10.1145/3728940

19、Clause2Inv: A Generate-Combine-Check Framework for Loop Invariant Inference

循环不变式推断是程序验证中一个基础且具有挑战性的问题。近期研究采用"生成-验证"框架，通过迭代方式在生成步骤产生候选循环不变式，并在验证步骤进行确认。该框架的主要挑战在于每次迭代中产生高质量的候选不变式，以加速推断过程的收敛。我们通过实证发现：由于逻辑连接词的复杂性，现有方法可能难以直接生成完整不变式，但正确循环不变式的所有子句通常已出现在历史生成结果中。这一发现促使我们改进现有框架，提出了"生成-组合-验证"新框架，将循环不变式推断任务分解为子句生成和子句组合两个阶段。具体而言，我们基于新框架提出了一种新型循环不变式推断方法：采用基于大语言模型的子句生成器与反例驱动的子句组合器。子句生成器利用大语言模型生成大量子句；子句组合器则基于历史反例将生成子句组合成不变式。实验表明，该方法显著优于现有循环不变式推断方案：在线性不变式推断任务中解决316题中的312题，在非线性任务中解决50题中的44题，分别比现有基线方法多解决至少93题和16题。该框架具有良好扩展性，可通过将候选不变式拆分为子句的方式，灵活适配当前基于"生成-验证"框架的各类现有方法。评估显示经轻微适配后，我们的方法能同时提升现有方案的效果与效率：例如Code2Inv原本解决210个线性问题（平均耗时137.6秒），改进后可解决252个问题（平均耗时降至17.8秒）。

链接：https://doi.org/10.1145/3728920

20、ConTested: Consistency-Aided Tested Code Generation with LLM

近年来，大语言模型（LLM）在代码生成领域取得显著进展，能够根据自然语言需求自动生成代码片段。尽管已达到最先进水平，但LLM生成的代码往往存在准确性与可靠性问题，开发者需耗费大量精力进行调试和评估。现有研究提出利用一致性原则：通过选择能通过更多测试（内部一致性）且在多轮生成中表现稳定（外部一致性）的代码。但由于测试用例同样由LLM生成，依赖错误测试的多数投票会导致不可靠结果。为此，我们提出一种轻量级交互框架，通过融入用户反馈有效引导一致性优化。实验表明，该方法仅需极少人工介入即可显著提升性能。我们在每轮迭代中引入代码与测试的"排序-修正-修复"协同进化机制，通过双向迭代提升二者质量，使代码与测试间的一致性投票更可靠。经大量实验验证，ConTested框架在GPT-3.5和GPT-4o等多个LLM上均表现优异：相对GPT-3.5提升32.9%，相对GPT-4o提升16.97%，较当前最先进的后处理技术MPSC提升11.1%。该改进仅需4轮用户交互，人力成本极低。用户研究进一步证实了ConTested的可行性与成本效益，表明其能在不过度增加负担的前提下有效提升代码生成质量。

链接：https://doi.org/10.1145/3728902

21、Copy-and-Paste? Identifying EVM-Inequivalent Code Smells in Multi-chain Reuse Contracts

随着以太坊上Solidity合约的发展，越来越多的开发者开始在其他兼容区块链上复用这些合约。然而，开发者可能忽视区块链系统设计之间的差异（如Gas机制和共识协议），导致相同合约在不同区块链上无法实现与以太坊一致的执行效果。这种不一致性揭示了复用合约中的设计缺陷，暴露出阻碍代码可复用性的代码坏味，我们将这种不一致性定义为EVM不等价代码坏味。

本文首次通过实证研究揭示EVM不等价代码坏味的成因与特征。为确保所识别的坏味真实反映开发者关切，我们收集并分析了1,379份安全审计报告和326篇Stack Overflow帖子，这些资料涉及币安智能链（BSC）和Polygon等EVM兼容区块链上的复用合约。采用开放式卡片分类法，我们定义了六类EVM不等价代码坏味。针对自动化检测需求，我们开发了名为EquivGuard的工具。该工具采用静态污点分析识别关键路径，并通过符号执行验证路径可达性。通过对六大区块链上905,948份合约的分析，我们发现EVM不等价代码坏味普遍存在，平均出现率达17.70%。虽然存在代码坏味的合约未必直接导致财务损失或攻击，但其高出现率及涉及的巨额资产管理规模，凸显了复用这些存在坏味的以太坊合约的潜在威胁。因此，建议开发者摒弃复制-粘贴的编程实践，并在复用以太坊合约前检测EVM不等价代码坏味。

链接：https://doi.org/10.1145/3728921

22、CrossProbe: LLM-Empowered Cross-Project Bug Detection for Deep Learning Frameworks

深度学习（DL）模型可能给底层DL框架带来可靠性挑战。这些框架易存在缺陷，可能导致崩溃或错误结果，尤其在涉及复杂模型架构和高计算需求时。此类框架缺陷会破坏DL应用，影响用户体验并可能造成经济损失。传统测试DL框架的方法难以适应模型结构的庞大搜索空间、多样化的API以及混合编程与硬件环境的复杂性。尽管近期基于大语言模型（LLM）的技术改进了DL框架模糊测试，但其效果高度依赖于输入提示的质量与多样性，而现有提示通常基于单一框架数据构建。  

本文提出一种创新方法，通过利用“镜像问题”（即不同框架中因共通功能存在的类似缺陷）来增强DL框架的测试生成。我们的方法基于以下发现：如PyTorch和TensorFlow等DL框架常因依赖项、开发者错误或边缘情况输入而存在共性缺陷。我们开发了CrossProbe工具，利用LLM从某一框架的现有问题中有效学习，并将获得的知识迁移至另一框架的测试用例生成中，从而发现镜像问题，实现跨框架缺陷检测。为克服框架间功能不兼容与实现差异导致的测试用例生成挑战，我们引入了三个处理流程：对齐、筛选和区分。这些流程通过建立API对数据库、过滤不适用案例及强化跨框架差异，降低迁移错误。实验表明，CrossProbe节省了36.3%的生成迭代次数，且相比现有最先进的基于LLM的测试技术，问题迁移成功率提升25.0%。通过迁移知识，CrossProbe检测到24个独特缺陷，其中19个为先前未知且均需依赖深度学习跨框架知识才能识别。

链接：https://doi.org/10.1145/3728984

23、DataHook: An Efficient and Lightweight System Call Hooking Technique without Instruction Modification

系统调用是用户空间程序与操作系统内核交互的主要接口。通过挂钩系统调用，可以分析和修改用户空间程序的行为。本文提出DataHook，一种针对32位程序的高效轻量级系统调用挂钩技术。与现有系统调用挂钩技术相比，DataHook通过仅修改少量数据元素而不改变任何程序指令，以极低的挂钩开销实现挂钩。这一独特特性不仅避免了二进制重写带来的多线程冲突，还能支持程序应用更高效的用户空间操作系统子系统。然而现有系统调用挂钩技术难以同时满足这些目标：虽然系统调用用户分发（SUD）和ptrace等技术无需重写进程指令，但会引入显著挂钩开销；而低开销技术通常涉及多字节或多指令的二进制重写，这会带来新的问题。DataHook通过利用32位程序在执行系统调用时的特定行为，巧妙解决了这些问题。简言之，与64位程序不同，32位程序在进行系统调用时使用间接调用指令跳转至执行syscall/sysenter的函数。本文通过操纵间接调用过程中涉及的数据依赖关系来实现系统调用挂钩。这一特性普遍存在于基于glibc的Linux系统上的32位程序中（无论运行于x86或x86-64架构），因此DataHook可部署于这些系统。实验结果表明，DataHook将挂钩开销降至现有技术的1/5.4至1/1429.0。当将DataHook应用于服务器程序使其使用用户空间网络协议栈时，服务器性能提升约4.3倍。在Redis中的应用显示，DataHook仅导致4.0%的性能损失，而其他技术会造成8.0%至94.7%的性能损失。

链接：https://doi.org/10.1145/3728874

24、DeCoMa: Detecting and Purifying Code Dataset Watermarks through Dual Channel Code Abstraction

水印技术是一种用于识别数据来源的方法，可帮助防止受保护数据集的滥用。现有代码水印方法借鉴后门研究思想，通过嵌入隐蔽触发器作为水印。尽管这些方法对稀释攻击和后门检测具有高度抵抗力，但其鲁棒性尚未得到充分评估。为填补这一空白，我们提出DeCoMa——一种检测与净化代码数据集水印的双通道方法。针对代码水印隐蔽性带来的高壁垒，DeCoMa利用代码的双通道约束将样本泛化并映射至标准化模板，继而通过识别标准化模板内配对元素的异常关联来提取隐藏水印。最后，DeCoMa通过移除所有含检测水印的样本实现数据净化，从而实现受保护代码的静默占用。我们开展大量实验评估DeCoMa的有效性与效率，涵盖14种代码水印类型和3类代表性智能代码任务（共14种场景）。实验结果表明，DeCoMa在14种水印检测场景中均实现100%的稳定召回率，显著优于基线方法。此外，DeCoMa能有效攻击嵌入率低至0.1%的代码水印，且在净化数据集上训练后仍保持可比模型性能。由于无需模型训练即可完成检测，DeCoMa的效率远超所有基线方法，加速比达31.5至130.9倍。该结果呼吁开发更先进的代码模型水印技术，而DeCoMa可为未来评估提供基线标准。

链接：https://doi.org/10.1145/3728952

25、DecLLM: LLM-Augmented Recompilable Decompilation for Enabling Programmatic Use of Decompiled Code

反编译器在逆向工程（RE）中被广泛用于将已编译的可执行文件转换为人类可读的伪代码，并支持各种安全分析任务。现有的反编译器（如IDA Pro和Ghidra）侧重于提升反编译代码的可读性而非可重编译性，这限制了进一步的程序化应用——例如基于CodeQL的漏洞分析需要可编译的反编译代码版本。近期基于大语言模型（LLM）的改进方法虽然对人类逆向分析师有帮助，但遗憾的是仍遵循相同路径。

本文首次探索如何利用现成的大语言模型实现可重编译的反编译——自动将反编译器输出修正为可编译版本。我们首先通过试点研究表明：现有基于规则和基于LLM的方法均难以实现此目标。基于这些发现，我们设计了DecLLM：一种基于迭代LLM修复的循环框架，利用静态重编译和动态运行时反馈作为验证机制，逐步修复反编译器输出。我们在主流C基准测试和真实二进制文件上使用GPT-3.5和GPT-4测试DecLLM，结果表明现成LLM可实现约70%的重编译成功率上限（即100个原本不可重编译的反编译输出中70个变为可重编译）。我们还通过基于CodeQL的漏洞分析验证了可重编译代码的实际应用价值，这种分析无法直接在二进制文件上执行。针对剩余30%的困难案例，我们深入分析其错误类型，为未来面向反编译的LLM设计改进提供见解。

链接：https://doi.org/10.1145/3728958

26、DepState: Detecting Synchronization Failure Bugs in Distributed Database Management Systems

分布式数据库管理系统（DDBMS）对管理大规模分布式数据至关重要。与单节点数据库不同，DDBMS部署于集群环境，将数据分布至多个节点。其同步过程通过应对数据和集群更新来维持数据一致性。由于同步机制复杂度高，同步缺陷不可避免，可能导致数据不一致、事务错误或集群崩溃，严重损害DDBMS的可用性与可靠性。然而目前针对DDBMS同步过程的测试研究相对匮乏。本文提出DepState框架用于检测同步故障缺陷。该框架通过模拟数据分片和动态集群状态的复杂性，建立跨节点表间依赖关系，并系统性地引入受控的集群状态变化。我们在四大DDBMS系统（MySQL NDB Cluster、MySQL InnoDB Cluster、MariaDB Galera Cluster和TiDB Cluster）上应用DepState，发现25个新缺陷（其中13个已确认）。与最先进工具对比表明：DepState在24小时内多发现14个同步故障缺陷，且在同步相关函数的代码行覆盖率上分别比Jepsen、Mallory、SQLsmith、SQLancer和Mozi高出6.13%-66.51%、5.82%-57.28%、14.12%-83.30%、36.81%-83.88%和43.24%-54.28%。

链接：https://doi.org/10.1145/3728965

27、Detecting Isolation Anomalies in Relational DBMSs

关系数据库管理系统（DBMS）通过事务确保数据一致性与完整性，并提供多种隔离级别以平衡一致性与性能。然而，关系型DBMS中的隔离异常可能破坏其宣称的隔离级别，导致严重后果（例如错误的查询结果和数据库状态）。现有隔离检查器仅能处理简单的键值式数据模型及相关的read(key)/write(key,value)操作，无法直接支持关系数据模型和复杂SQL操作。

本文提出新型黑盒式关系型DBMS隔离检查器IsoRel，可支持关系数据模型与复杂SQL操作。为推断关系型DBMS中事务间的依赖关系，我们首先设计了一种与隔离机制无关的SQL语句插桩方案：通过在每张数据库表中使用两个辅助列，记录每条SQL语句访问的数据行。随后利用SQL语句的记录数据构建关系型事务的依赖图，并根据异常模式识别隔离异常。

我们在五种广泛使用的关系型DBMS（MySQL、PostgreSQL、MariaDB、CockroachDB和TiDB）及其所有支持的隔离级别上评估IsoRel，共发现48种违反Adya所定义隔离级别的独特隔离异常。

链接：https://doi.org/10.1145/3728953

28、Doctor: Optimizing Container Rebuild Efficiency by Instruction Re-orchestration

容器化技术彻底改变了软件部署方式，其中Docker凭借其易用性和一致的运行时环境成为行业引领者。随着Docker使用量的增长，优化Dockerfile性能（特别是减少重建时间）已成为维持高效CI/CD流水线的关键。然而，现有优化方法主要针对单次构建，未考虑修改和迭代过程中产生的重复重建成本，限制了长期效率收益。为弥补这一缺陷，我们提出Doctor方法——通过指令重排序提升Dockerfile构建效率，该方法攻克了四大核心挑战：识别指令依赖关系、预测未来修改、确保行为等效性以及管理优化计算复杂度。我们基于Dockerfile语法建立了完整的依赖关系分类体系，并通过历史修改分析优先处理频繁修改的指令。Doctor采用加权拓扑排序算法优化指令顺序，在保持功能性的同时最小化未来重建时间。对2,000个GitHub代码库的实验表明，Doctor成功优化了92.75%的Dockerfile，平均降低26.5%的重建时间，其中12.82%的文件实现超50%的降幅。值得注意的是，86.2%的案例保持了功能相似性。这些发现为Dockerfile管理提供了最佳实践，使开发者能通过科学的优化策略提升Docker效率。

链接：https://dl.acm.org/doi/10.1145/3728870

29、Dynamically Fusing Python HPC Kernels

近年来，高性能计算领域呈现出两大趋势：一是越来越多地采用Kokkos等性能可移植框架，二是Python等解释型语言的普及。PyKokkos顺应这些趋势，允许开发者使用Python编写性能可移植的内核，显著提升了开发效率。然而，开发者仍面临并行代码组织的问题——将代码拆分为独立内核虽能简化测试与调试，但可能导致性能下降。为让开发者自由组织内核的同时确保性能，我们提出PyFuser：一个用于自动融合性能可移植PyKokkos内核的程序分析框架。该框架动态追踪内核调用，并在应用程序请求计算结果时延迟融合内核。通过提升数据复用率、改进编译器优化效果并减少内核启动开销，PyFuser生成的融合内核可实现加速，且无需修改现有PyKokkos代码。我们还引入了自动化代码转换技术，进一步优化PyFuser生成的融合内核。实验表明，在NVIDIA/AMD GPU及Intel/AMD CPU平台上，PyFuser相比未融合内核平均可实现3.8倍的加速比。

链接：https://doi.org/10.1145/3728959

30、Effective REST APIs Testing with Error Message Analysis

REST API在现代企业系统构建中至关重要，但对其进行有效测试仍存在挑战，尤其是从规范中推断约束条件存在困难。现有测试方法通常依赖HTTP状态码的反馈来指导输入生成，但忽略了伴随错误消息中的宝贵信息，导致探索API输入空间的效果受限。本文提出EmRest——一种利用错误消息分析来增强REST API有效及异常测试输入生成的黑盒测试方法。针对被测操作，EmRest首先识别其每个输入参数所有可能的值分配策略，随后基于这些策略反复应用组合测试来采样测试输入，并通过统计分析收到的错误消息（400系列状态码）来推断并排除无效的值分配策略组合（即输入空间的约束）。此外，EmRest通过变异最终确定的有效值分配策略来生成异常测试输入，并对收到的错误消息（500系列状态码）进行分类以识别易出故障的操作，为其分配更多测试资源。在16个真实REST API上的实验结果表明，EmRest在50%的API中实现了比现有最优方法更高的操作覆盖率，并检测到226个其他方法未发现的独特错误。

链接：https://doi.org/10.1145/3728964

31、Enhanced Prompting Framework for Code Summarization with Large Language Models

代码摘要技术对于提升软件开发效率至关重要，它能帮助开发者快速理解并维护软件项目。近期研究利用大型语言模型生成精准代码摘要已展现出优异性能，这主要得益于其强大的生成能力。采用连续提示技术的语言模型能够探索更广阔的问题空间，从而释放更大潜力。然而此类方法也面临特定挑战，尤其是在适配任务特定场景方面——而这正是离散提示的优势所在。此外，编程语言与自然语言之间的本质差异会增加语言模型的理解难度，影响复杂编程场景下摘要的准确性与相关性。这些问题可能导致输出结果与实际需求不匹配，凸显出需要进一步研究以增强语言模型在代码摘要中的有效性。  

为突破这些局限，我们融合上述两种方法的优势，提出EP4CS框架——一种面向大语言模型代码摘要的增强型提示学习框架。首先设计Mapper模块，通过预训练<代码，知识>对促进提示向量根据语言模型输出进行优化更新；同时开发结构分析智能体（Struct-Agent），使语言模型能深入解析编程语言的语法结构以更精准理解复杂代码。实验结果表明：在相同参数规模下，本框架相较现有基线方法显著提升性能。基于StarCoderBase1B的Java测试中，EP4CS在BLEU、METEOR和ROUGE-L指标分别提升6.59%、7.06%与4.43%，同时展现出强劲的鲁棒性。在SentenceBERT语义评估维度更接近真实场景需求。人工评估与案例研究证实，EP4CS生成的摘要质量更高、相关性更强，全面优于基线方法。

链接：https://doi.org/10.1145/3728949

32、Enhancing Smart Contract Security Analysis with Execution Property Graphs

智能合约漏洞已导致重大经济损失，随着其复杂性的日益增加，彻底防范黑客攻击变得愈发困难。这一趋势凸显了对高级取证分析和实时入侵检测的迫切需求，其中动态分析在剖析智能合约执行过程中发挥着关键作用。因此，亟需一种统一且通用的智能合约执行表示方法，并辅以高效的技术手段，以实现对各类新兴攻击的建模与识别。

我们提出Clue——一个专为以太坊虚拟机设计的动态分析框架。其核心能力在于捕获合约执行过程中的关键运行时信息，并采用创新的基于图的表示方法：执行属性图。Clue的关键特性是其创新的图遍历技术，该技术擅长检测复杂攻击，包括（只读型）重入攻击和价格操纵攻击。评估结果表明，Clue以高真阳性率和低假阳性率展现出卓越性能，优于现有最先进工具。此外，Clue的高效性使其成为取证分析和实时入侵检测的双重利器。

链接：https://doi.org/10.1145/3728924

33、Enhancing Vulnerability Detection via Inter-procedural Semantic Completion

受深度学习进展的启发，众多基于学习的漏洞检测方法应运而生，这些方法主要基于函数级操作以实现可扩展性。然而这种设计存在一个关键局限：许多漏洞跨越多个函数，导致函数级方法丢失被调用函数的语义信息，无法捕捉真实的漏洞模式。为解决这一问题，我们提出VulnSC框架，该创新框架通过补充过程间语义来增强基于学习的检测方法。VulnSC为数据集检索被调用函数的源代码，并利用大语言模型（LLMs）配合精心设计的提示词生成函数摘要。经过摘要增强的数据集被输入神经网络，以实现更精准的漏洞检测。VulnSC是首个将过程间语义整合到现有基于学习的漏洞检测方法中，同时保持可扩展性的通用框架。我们在两个广泛使用的数据集上对四种最先进的基于学习方法进行评估，实验结果表明VulnSC以极小的额外计算开销显著提升了检测性能。

链接：https://doi.org/10.1145/3728912

34、Extended Reality Cybersickness Assessment via User Review Analysis

摘要近年来，扩展现实（XR）软件生态系统已成为下一代普适计算平台，其通过沉浸式交互体验为用户提供服务。然而XR生态系统存在晕眩症问题，会严重影响用户舒适度与安全，引发头痛、定向障碍等症状，这使得有效评估晕眩症成为亟待解决的重要课题。当前评估XR软件晕眩症的先进方法通常需在用户使用XR时监测其生理指标，这种方法严重依赖人工游戏测试，存在可扩展性受限的问题。XR应用商店中的用户评论能为开发者提供应用晕眩症评级及其成因的重要信息，但海量用户评论难以通过人工方式分析，且现有自动评论分析方法大多仅能提供粗粒度结果（如提取评论讨论的若干高层主题组）。大语言模型（LLM）的最新进展可能带来新机遇，但直接利用LLM评估XR晕眩症存在挑战：LLM对大量短文本处理效果不佳，且上下文窗口有限。为此，我们提出XRCare框架——通过细粒度用户评论分析实现XR应用晕眩症自动评估与根源推理的综合解决方案。该框架包含三阶段：（1）洞察池构建：汇集领域专家提供的晕眩症分析链及对应分析结果；（2）推理图谱构建：通过自演进层级图动态提取、分类和维护用户评论中引发晕眩症的成因；（3）多智能体演绎推理：利用多智能体系统模拟多样化用户群体，分析晕眩症强度等级并追溯成因。这种结构化方法使XRCare能系统化识别、分类和处理晕眩症实例。实验方面，我们构建了包含来自9,667款XR应用的685,111条用户评论的大规模数据集。评估表明，XRCare在最佳基线基础上将F1分数提升20.63%，平均超越所有基线32.27%，同时提供更精确细致的可解释性洞察。

链接：https://doi.org/10.1145/3728933

35、FANDANGO: Evolving Language-Based Testing

基于语言的模糊测试器利用形式化输入规范（语言）为被测程序生成任意规模且多样化的有效输入集。现代基于语言的测试生成器结合语法与约束条件，以满足句法和语义层面的输入约束。该领域的领先输入生成工具ISLA采用符号约束求解技术处理输入约束。虽然使用求解器使ISLA成为精度最高的模糊测试器之一，但也导致其运行速度缓慢。

本文探索以基于搜索的测试作为符号约束求解的替代方案。我们采用遗传算法，通过输入规范迭代生成候选输入，依据既定约束评估这些输入，通过句法有效的变异演化输入种群，保留适应度更优的个体直至满足语义输入约束。这种类似于自然遗传进化的演化过程，逐步产生能同时覆盖语义和句法的改进输入。此项改进显著提升了基于语言的测试效率：实验表明，相较于ISLA，我们基于搜索的FANDANGO原型在保持同等精度的前提下，速度提升一至三个数量级。

基于搜索的方法不再将约束限制于约束求解器的（微型）语言范畴。FANDANGO允许约束条件使用完整的Python语言及其库。这种表达自由度为测试人员提供了前所未有的测试输入塑造灵活性，使其能够设定任意测试生成目标："请生成1000个有效测试输入，其中电压字段遵循高斯分布且始终不超过20毫伏"。

链接：https://dl.acm.org/doi/10.1145/3728915

36、Fairness Mediator: Neutralize Stereotype Associations to Mitigate Bias in Large Language Models

大型语言模型（LLM）虽在众多应用中展现出卓越性能，却会无意间吸收训练数据中的伪相关性，导致偏见概念与特定社会群体之间形成刻板印象关联。这些关联延续甚至放大了有害的社会偏见，引发了对公平性的重大关切——这正是软件工程领域的核心议题。为缓解此类偏见，现有研究尝试在推理过程中将模型嵌入投影至无偏见空间，但由于其与下游社会偏见的对齐程度较弱，这些方法效果有限。受到LLM中概念认知主要通过线性关联记忆机制（即MLP层中键值映射）实现的启发，我们提出偏见概念与社会群体同样以实体（键）和信息（值）对的形式编码，可通过操作这种编码机制促进更公平的关联。为此，我们提出公平中介器（FairMed）——一个高效且有效的偏见缓解框架，通过中和刻板印象关联来实现去偏。该框架包含两个核心组件：刻板关联探测器和对抗去偏中和器。探测器通过使用以偏见概念（键）为核心的提示词，捕获MLP层激活中编码的刻板关联，并检测社会群体（值）的发射概率；随后，对抗去偏中和器在推理过程中干预MLP激活，使不同社会群体间的关联概率趋于均衡。在九类受保护属性上的大规模实验表明，FairMed在效果上显著优于现有最优方法，平均偏见削减率最高达84.42%。

链接：https://doi.org/10.1145/3728881

37、Finding 709 Defects in 258 Projects: An Experience Report on Applying CodeQL to Open-Source Embedded Software (Experience Paper)

嵌入式软件部署于全球数十亿设备中，包括医疗设备和自动驾驶汽车等安全关键系统。其缺陷可能造成严重后果。由于多数嵌入式软件产品整合了开源嵌入式软件（EMBOSS），采用适当机制规避缺陷对EMBOSS工程师至关重要。静态应用安全测试（SAST）工具作为常见安全实践手段，可帮助识别高频漏洞。现有SAST研究主要针对常规（非嵌入式）软件，缺乏对嵌入式软件领域的应用认知。嵌入式软件在语义结构、代码实践和构建配置方面与常规软件存在显著差异，这些因素都会影响SAST工具的实际效能。

本文通过大规模实证研究，分析了258个主流EMBOSS项目的SAST应用现状。结合程序分析和开发者调研（N=25）发现：仅3%的项目采用超越基础编译器分析的高级SAST工具。开发者认为工具有效性不足和误报率高是主要制约因素。为此，我们应用最先进的CodeQL SAST工具进行实测，评估其易用性与实效性。在258个项目中，CodeQL检出709个真实缺陷（误报率34%），其中535个（75%）为潜在安全漏洞（涉及微软、亚马逊和阿帕奇基金会维护的重点项目）。EMBOSS工程师已确认376个缺陷（53%），主要通过合并我们提交的拉取请求；另促成2个CVE漏洞编号的分配。基于此，我们提议将检测流程集成至EMOSS持续集成（CI）管道，已有37个活跃仓库（占比71%）采纳该方案。研究表明：当代SAST工具具备低误报率与高缺陷检出效能，我们强烈建议EMBOSS工程师予以采用。

链接：https://doi.org/10.1145/3728923

38、Fixing Outside the Box: Uncovering Tactics for Open-Source Security Issue Management

在快速演变的软件开发领域中，开源软件（OSS）安全漏洞的修复已变得至关重要。然而，学术界和工业界现有研究与工具主要依赖有限解决方案（如脆弱版本调整和采用补丁）来处理已识别的漏洞。而开源社区实际采用了更为灵活多样的应对策略，亟需通过整体性实证研究来探索这些多样化策略的普及程度、分布特征、偏好选择及实施效果。为此，本文对开源项目中的漏洞修复策略（RT）进行了系统分类研究，并评估了各类策略的优劣。本研究通过对GitHub上21,187个问题进行实证分析，揭示了开源社区修复策略的覆盖范围及有效性。我们构建了包含44种具体修复策略的层次化分类体系，并评估了其修复效果和实施成本。研究发现：社区高度依赖替代依赖库、漏洞规避等社区驱动策略（其中44%尚未被前沿工具支持），通过分析修复方案的采纳情况和拒绝原因，揭示了社区对特定修复方法的偏好。研究同时指出现代漏洞数据库存在严重缺陷——54%的CVE条目缺乏修复建议，而GitHub议题中93%的可操作解决方案可有效弥补这一缺口。

链接：https://doi.org/10.1145/3728977

39、FreeWavm: Enhanced WebAssembly Runtime Fuzzing Guided by Parse Tree Mutation and Snapshot

WebAssembly作为一种低级、可移植的语言，已被广泛应用于浏览器和区块链等多个领域，成为推动互联网发展的革命性力量。然而，WebAssembly运行时中的缺陷和漏洞会在运行WebAssembly应用程序时导致意外结果。目前已有多种方案被提出用于检测WebAssembly运行时的漏洞，其中模糊测试因其显著效果成为最具前景和说服力的方法。尽管潜力巨大，但由于WebAssembly运行时语法复杂性——现有方法缺乏对独特模块化代码结构的深入理解，导致生成的测试输入难以触及运行时深层逻辑，限制了其揭示漏洞的有效性。

为弥补这一不足，我们提出FreeWavm——通过激进突变WebAssembly代码结构来模糊测试运行时的新型框架。技术层面，我们将WebAssembly字节码转换为能捕捉代码结构复杂特征的解析树格式。为生成具有意义的测试输入，设计了结构感知突变模块：采用定制化节点优先级策略筛选解析树中的关键节点，并施加特定结构突变。为确保突变后测试输入的有效性，FreeWavm配备自动修复机制来修补突变后的解析树。此外，我们利用解析树快照促进输入进化与整体模糊测试流程。通过在多类WebAssembly运行时上进行广泛实验，实证结果表明FreeWavm能有效触发运行时中结构特异性崩溃，性能优于同类方案。该框架已发现69个未知漏洞，其中24个目前已获得CVE编号。

链接：https://doi.org/10.1145/3728877

40、Freesia: Verifying Correctness of TEE Communication with Concurrent Separation Logic

可信执行环境（TEE）作为现代处理器中的安全扩展，为敏感代码和数据提供了安全的运行时环境。尽管TEE旨在保护应用程序及其私有数据，但其庞大的代码库常存在可能危及数据安全的漏洞。虽然已有形式化验证工作针对TEE标准及实现的功能与安全性展开，但对并发场景下TEE正确性的验证仍不充分。本文提出一种名为Freesia的增强方案，通过形式化验证的并发分离逻辑确保TEE的并发安全性。基于对GlobalPlatform TEE标准的深入分析，Freesia解决了TEE通信接口中的数据竞争问题，并确保客户端与TEE间共享内存的一致性保护。我们在开源TEE平台OP-TEE中实现了Freesia原型，并利用Iris并发分离逻辑框架对其并发正确性进行建模与验证。通过实际案例研究和性能评估，进一步证明了Freesia的有效性与高效性。

链接：https://doi.org/10.1145/3728967

41、GUIPilot: A Consistency-Based Mobile GUI Testing Approach for Detecting Application-Specific Bugs

图形用户界面（GUI）测试对于确保移动应用可靠性至关重要。现有最先进的GUI测试方法虽能成功探索更多应用场景并发现应用崩溃等通用缺陷，但工业级GUI测试还需检测特定于应用的缺陷，例如屏幕布局、控件位置或GUI转场效果与设计稿之间的偏差。这些由应用设计师创建的设计稿明确了预期屏幕、控件及其对应行为。验证GUI设计与实现的一致性虽耗时费力，却在工业GUI测试中具有重要作用。  

本研究提出一种检测移动应用设计与实现间不一致性的方法。移动设计通常包含两类设计稿：(1) 预期屏幕外观（如控件布局、颜色和形状）；(2) 预期屏幕行为（如带有文本描述的控件如何触发屏幕跳转）。给定设计稿及其对应应用实现，本方法可同时检测屏幕级和流程级不一致性。在屏幕检测方面，通过将屏幕抽象为控件容器（每个控件以位置、宽高和类型表示），定义控件偏序关系及替换、插入、删除操作的代价，将屏幕匹配问题转化为可优化的控件对齐问题。在流程检测方面，将指定GUI转场转化为屏幕操作序列（如点击、长按、文本输入），并提出视觉提示机制使视觉语言模型推断屏幕控件的具体操作，从而验证预期转场是否被正确实现。  

在80个移动应用和160个设计稿上的实验表明：(1) 屏幕不一致性检测精度达99.8%，召回率达98.6%，分别较GVT等现有最优方法提升66.2%和56.6%；(2) 流程不一致性检测误差为零。此外，在交易类移动应用上的工业案例研究中，本方法成功检测出9个应用缺陷且均获原应用专家确认。代码已开源：https://github.com/code-philia/GUIPilot。

链接：https://doi.org/10.1145/3728909

42、Gamifying Testing in IntelliJ: A Replicability Study

游戏化是一种新兴技术，旨在提升传统枯燥任务（如软件测试）中的参与度和绩效。已有研究表明，通过提供成就和反馈机制，游戏化系统具有改善软件测试流程的潜力。然而，仍需在不同环境、编程语言和参与者群体中进一步验证这些益处。本文旨在复现并验证IntelliGame（一款IntelliJ IDEA游戏化插件）的效果，该插件旨在激励开发者编写和执行测试。研究目标是将早期研究中观察到的效益推广至新语境（即TypeScript编程语言和更大规模的参与者群体）。本次复现研究包含一项受控实验，招募174名参与者并分为两组：一组使用IntelliGame插件，另一组不使用任何游戏化插件。研究采用双组实验设计，比较两组在测试行为、覆盖率、变异分数及参与者反馈方面的差异。通过测试指标和参与者问卷收集数据，并进行统计分析以确定统计显著性。使用IntelliGame的参与者在测试实践中表现出比对照组更高的参与度和生产力，具体体现在创建更多测试用例、提高测试执行频率以及增强测试工具使用率。这些改进最终催生了更优质的代码实现，凸显了游戏化在提升功能成果和激励用户参与测试方面的有效性。本复现研究证实，通过IntelliGame实现的游戏化能对软件测试行为和开发者参与编码任务产生积极影响。这些发现表明，将游戏元素集成到测试环境中可成为改进软件测试实践的有效策略。

链接：https://doi.org/10.1145/3728983

43、GoPV: Detecting Blocking Concurrency Bugs Related to Shared-Memory Synchronization in Go

Go是一种流行的并发编程语言，它采用消息传递和共享内存同步原语来实现不同线程（即goroutine）间的交互。然而，同步原语的误用极易导致阻塞型并发缺陷，包括死锁和goroutine泄漏。尽管与消息传递相关的阻塞型并发缺陷日益受到关注，但针对共享内存同步原语误用引发的阻塞型并发缺陷的研究却十分有限。本文提出GoPV——一个基于静态分析的并发缺陷检测工具，通过执行并发分析和（后）支配者分析来判定同步原语是否被误用，从而识别阻塞型并发缺陷。我们在8个基准测试程序和21个大型真实Go项目上对GoPV进行评估。实验结果表明，GoPV不仅成功检测出8个基准测试程序中所有与共享内存同步相关的阻塞型并发缺陷，还在2.78小时内从21个大型Go应用中发现了17个此类缺陷。

链接：https://doi.org/10.1145/3728979

44、Hulk: Exploring Data-Sensitive Performance Anomalies in DBMSs via Data-Driven Analysis

性能对数据库管理系统（DBMS）至关重要，这类系统始终被设计用于高效处理不断变化的工作负载。然而，基于成本的优化器（CBO）及其交互机制的复杂性可能引发实现错误，导致数据敏感的性能异常。这些异常在某些数据集下可能导致与预期设计相比显著的性能下降。为诊断性能问题，DBMS开发者通常依赖直觉或与基线DBMS的执行时间进行对比，但这些方法忽略了数据集对性能的影响，导致仅能识别和解决部分性能问题。  

本文提出Hulk系统，通过数据驱动分析自动探索这类数据敏感的性能异常。其核心思想是在数据集演化过程中识别性能异常：首先通过估算不同数据量下的合理响应时间范围来定位性能陡降点，随后通过寻找符合性能预期的合理执行计划来检测这些陡降点是否偏离预期性能。我们在六种广泛使用的DBMS（MySQL、MariaDB、Percona、TiDB、PostgreSQL和AntDB）上评估Hulk，共报告135个异常，其中129个被确认为新缺陷（含14个CVE漏洞），且94个属于数据敏感的性能异常。

链接：https://doi.org/10.1145/3728973

45、ICEPRE: ICS Protocol Reverse Engineering via Data-Driven Concolic Execution

随着数字化转型的推进，工业控制系统（ICS）正变得日益开放和智能化。然而，ICS协议固有的脆弱性对设备和系统构成重大安全威胁。ICS协议的专有特性使得其安全分析和防护机制部署变得复杂。协议逆向工程旨在缺乏官方规范的情况下推断协议的语法、语义及状态机。传统协议逆向工程工具因缺乏可执行环境、推断策略不完善及网络流量质量低下而面临显著局限。本文提出ICEPRE——一种基于混合执行的新型数据驱动协议逆向工程方法，其独特地将网络轨迹与静态分析相结合。与传统依赖可执行环境的方法不同，ICEPRE通过静态追踪程序对特定输入消息的解析过程，采用创新的字段边界推断策略，通过分析协议解析器处理不同字段的方式推断协议语法。评估表明，ICEPRE在字段边界推断上显著优于现有工具：其F1分数达0.76、完美度分数0.67，而DynPRE、BinaryInferno、Nemeys和Netzob分别仅为（0.65, 0.35）、（0.42, 0.14）、（0.39, 0.09）和（0.27, 0.10）。这些结果印证了本方法卓越的整体性能。此外，ICEPRE在真实场景的专有协议测试中展现出优异表现，凸显了其在下游应用中的实用价值。

链接：https://doi.org/10.1145/3728982

46、Identifying Multi-parameter Constraint Errors in Python Data Science Library API Documentation

现代人工智能与数据密集型软件系统高度依赖于数据科学和机器学习库，这些库提供核心算法实现和计算框架。这些库通过复杂API对外提供服务，其正确使用需遵循多个相互依赖参数间的约束条件。开发者通常需通过文档学习这些约束，任何偏差都可能导致意外行为。然而在API文档中保持多参数约束的正确性与一致性，仍是影响API兼容性和可靠性的重大挑战。为解决该问题，我们提出MPChecker工具，专门用于检测代码与文档间在多参数约束上的不一致性。该工具通过符号执行探索代码执行路径以识别代码级约束，并利用大语言模型（LLM）从文档中提取对应约束。我们提出定制化的模糊约束逻辑，以调和LLM输出的不确定性，并检测代码约束与文档约束间的逻辑不一致性。基于四个主流数据科学库构建的双数据集测试表明，MPChecker在126个不一致约束中成功识别117个，召回率达92.8%，有效验证了其检测能力。我们向库开发者提交了14个检测到的不一致问题，截至撰稿时已有11个获得确认。

链接：https://doi.org/10.1145/3728945

47、Improving Deep Learning Framework Testing with Model-Level Metamorphic Testing

深度学习（DL）框架是DL软件系统的核心组件，其缺陷可能引发严重事故，因此需要有效的测试方法。现有研究通常采用DL模型或单一接口作为测试输入，通过分析执行结果来检测缺陷。然而浮点误差、固有随机性及测试输入的复杂性，使得执行结果分析面临巨大挑战，导致现有方法缺乏合适的测试预言。部分研究者采用蜕变测试应对该挑战，基于单一框架接口的输入数据和参数设置设计蜕变关系（MR），通过生成输出一致的等价测试输入来验证结果。这类方法虽具成效，仍存在三大局限：（1）现有MR忽视结构复杂性，限制测试输入多样性；（2）仅关注有限接口，制约泛化能力且需额外适配；（3）所检测缺陷多涉及单一接口结果一致性，难以发现多接口组合与运行时指标（如资源使用）相关的缺陷。为此，我们提出ModelMeta——一种面向DL框架的模型级蜕变测试方法，基于DL模型结构特性设计四种MR。该方法通过QR-DQN策略引导，利用多样化接口组合增强种子模型，生成输出一致的测试输入，并通过对训练损失/梯度、内存/GPU使用率及执行时间的细粒度分析来检测缺陷。我们在三大主流DL框架（MindSpore、PyTorch和ONNX）上使用涵盖图像分类至目标检测等十类实际任务的17个DL模型进行评估。结果表明：ModelMeta在测试覆盖率和生成测试输入多样性方面优于现有基线方法；共检测到31个新缺陷（其中27个获官方确认，11个已修复），包括7个现有方法无法检测的缺陷（5个资源使用错误和2个低效缺陷），证明了该方法的实用性。

链接：https://doi.org/10.1145/3728972

48、Incremental Verification of Concurrent Programs through Refinement Constraint Adaptation

程序在其整个生命周期中持续演化。对每个版本从头开始进行验证通常不切实际，尤其是对于并发程序而言。设计高效的并发程序增量验证技术具有迫切需求。我们专注于面向并发程序验证的抽象精化技术。当程序被修改时，先前版本验证过程中生成的精化约束会被适配到新程序，以避免冗余分析。针对基于调度约束的抽象精化方法（当前最高效的并发程序验证精化方法之一），我们提出了基于内核源码的精化约束适配方案。本方法支持所有类型的程序修改，并能根据变更生成适配后的精化约束。在SV-COMP 2024基准测试集和Nidhugg基准测试上的评估表明，我们的方法取得了显著成效：实验中大多数先前版本验证生成的精化约束可成功适配至修改后的程序。与从头验证修改后程序相比，我们的增量验证方法对复杂程序可实现两个数量级的加速比。

链接：https://doi.org/10.1145/3728976

49、Intention-Based GUI Test Migration for Mobile Apps using Large Language Models

图形用户界面（GUI）测试是移动应用质量保障的主要方法之一。人工构建高质量的GUI测试用例成本高昂且劳动密集，这推动了多种自动化方法的发展，这些方法旨在将测试用例从源应用迁移至目标应用。现有方法主要将该测试迁移任务视为控件匹配问题，在应用间交互逻辑保持一致时表现良好。但当不同应用对特定功能存在交互逻辑差异时（这是跨应用的常见场景），现有方法则面临挑战。为解决这一局限，本文提出了一种名为ITeM的新型测试迁移方法。与将问题建模为控件匹配任务的现有工作不同，ITeM通过采用具备大语言模型理解与推理能力的双阶段框架开辟了新路径：首先通过过渡感知机制生成测试意图，其次通过基于动态推理的机制实现这些意图。该方法能有效应对源应用与目标应用间交互逻辑的差异。在35个真实安卓应用上开展的280项测试迁移任务实验表明，ITeM相比最先进方法具有显著优越的有效性和效率。

链接：https://doi.org/10.1145/3728978

50、KEENHash: Hashing Programs into Function-Aware Embeddings for Large-Scale Binary Code Similarity Analysis

二进制代码相似性分析（BCSA）是网络安全等众多领域的关键研究方向。其中，函数级差异比对工具在BCSA中应用最为广泛：它们通过逐函数匹配来评估二进制程序间的相似性。然而此类方法具有较高的时间复杂度，难以适应大规模场景（如1对n或n对n搜索）。为实现高效且精准的程序级BCSA，我们提出KEENHash——一种通过大语言模型（LLM）生成函数嵌入的新型哈希方法，将二进制代码转换为程序级表征。该方法结合K-Means聚类和特征哈希技术，将二进制程序压缩为紧凑的定长程序嵌入，从而实现了高效的大规模程序级BCSA，其性能超越现有最优方法。实验结果表明：在保持精度的前提下，KEENHash比最先进的函数匹配工具快至少215倍。在53亿次相似性比对的大规模场景中，KEENHash仅需395.83秒，而传统工具至少需要56天。我们在包含202,305个二进制程序的大规模数据集上进行程序克隆搜索测试，与4种前沿方法相比，KEENHash以至少23.16%的优势全面胜出，并在恶意软件检测的大规模BCSA安全场景中展现出显著优越性。

链接：https://doi.org/10.1145/3728911

51、KRAKEN: Program-Adaptive Parallel Fuzzing

并行模糊测试通过利用多核计算机加速测试过程，已在工业级软件缺陷检测领域获得广泛应用。然而由于静态推断模糊测试运行时存在困难，针对不同特性的程序制定高效并行策略仍具挑战性。现有方案仍采用预定义策略应对不同程序，导致性能未达最优。

本文提出KraKen——一种新型程序自适应并行模糊测试器，通过动态策略优化提升测试效率。其核心在于：通过代码覆盖率变化等运行时反馈可观测并行模糊测试的低效现象，从而调整策略以避免低效路径搜索，逐步逼近最优方案。基于此，我们将寻找最优策略的任务构建为优化问题，通过动态最大化特定目标函数，逐步适配出针对具体程序的最佳策略。

我们在C/C++中实现了KraKen，并在19个真实世界程序上与6种最先进并行模糊测试器进行对比评估。实验结果表明，KraKen在给定时间内可实现54.7%的代码覆盖率提升，并多发现70.2%的程序错误。此外，KraKen已在37个热门开源项目中发现192个错误，其中119个被分配了CVE编号。

链接：https://doi.org/10.1145/3728882

52、LLM Hallucinations in Practical Code Generation: Phenomena, Mechanism, and Mitigation

代码生成旨在根据输入需求自动生成代码，显著提升开发效率。基于大型语言模型（LLM）的最新方法已展现出突破性成果，彻底改变了代码生成任务。尽管性能前景可观，LLM生成的代码常存在幻觉现象，尤其在需要处理实际开发过程中复杂上下文依赖的代码生成场景中。虽然已有研究分析了LLM代码生成中的幻觉问题，但其研究范围局限于独立函数生成。本文通过实证研究，在更贴近实际且复杂度更高的仓库级代码生成场景中，系统探究LLM幻觉的现象、机理与缓解策略。首先，我们人工检测了六种主流LLM的代码生成结果，建立了LLM生成代码的幻觉分类体系；继而详细阐述了幻觉现象特征，并分析了不同模型间的幻觉分布规律；随后深入剖析幻觉成因，识别出四大潜在致幻因素；最后提出基于检索增强生成（RAG）的缓解方法，该方法在所有研究的LLM中均展现出持续有效的改善效果。

链接：https://doi.org/10.1145/3728894

53、LLM4SZZ: Enhancing SZZ Algorithm with Context-Enhanced Assessment on Large Language Models

SZZ算法是识别缺陷引入提交（bug-inducing commits）的核心技术，为许多软件工程研究（如缺陷预测和静态代码分析）提供基础，从而提升软件质量并优化维护实践。自该算法提出以来，研究者已开发多种改进版本以增强其性能。大多数改进依赖静态技术或启发式假设，虽易于实现，但性能提升有限。近期出现了一种基于深度学习的SZZ算法，但其需复杂预处理且仅支持单一编程语言；虽提高了精确率，却降低了召回率。此外，现有改进大多忽略关键信息（如提交消息和补丁上下文），且仅适用于涉及代码删除行的缺陷修复提交。  

大语言模型（LLMs）的出现为解决这些问题提供了新机遇。本研究系统分析了LLMs的优势与局限，提出LLM4SZZ框架，采用两种方法（基于排序的识别和上下文增强识别）处理不同类型的缺陷修复提交。我们根据LLM对缺陷的理解能力及其判断提交是否包含缺陷的能力来选择方法：上下文增强识别为LLM提供更丰富的上下文，要求其从候选提交中定位缺陷引入提交；基于排序的识别则让LLM从缺陷修复提交中筛选缺陷代码语句，并按其与根本原因的相关性排序。实验结果表明，LLM4SZZ在三个数据集上均优于所有基线模型，F1分数提升6.9%至16.0%，且未显著牺牲召回率。此外，LLM4SZZ能识别基线模型未能检测的缺陷引入提交，占比分别达三个数据集提交总量的7.8%、7.4%和2.5%。

链接：https://doi.org/10.1145/3728885

54、LogBase: A Large-Scale Benchmark for Semantic Log Parsing

大规模软件系统生成的日志包含大量有用信息。作为自动化日志分析的第一步，日志解析技术已被广泛研究。通用日志解析方法主要关注从原始日志中识别静态模板，但忽略了动态日志参数中隐含的更重要的语义信息。随着智能运维（AIOps）的普及，传统日志解析方法已无法满足各类下游任务的需求。研究者开始探索新一代日志解析技术——语义日志解析，旨在同时识别日志模板和参数语义。然而，现有数据集中语义标注的缺失阻碍了语义日志解析器的训练与评估，制约了该领域的发展。  

为填补这一空白并推动语义日志解析研究，我们构建了首个语义日志解析基准数据集LogBase。该数据集涵盖130个热门开源项目的日志，包含85,300条带语义标注的日志模板，在日志源多样性和模板丰富性上均超越现有数据集。为实现LogBase的构建，我们开发了语义日志解析数据集构建框架GenLog。该框架从GitHub热门开源仓库中挖掘日志模板-参数-上下文三元组，并采用思维链（CoT）技术驱动大语言模型（LLMs）生成高质量日志。同时，GenLog通过人工反馈优化生成数据质量并确保其可靠性。该框架具备高度自动化与成本效益，可助力研究者高效构建语义日志解析数据集。此外，我们还为LogBase设计了一套综合评估指标，涵盖通用日志解析器指标、语义日志解析器专项指标及基于LLM的解析器指标。  

基于LogBase，我们对15种现有日志解析器进行了全面评估，揭示了它们在复杂场景下的真实性能。我们相信，这项工作将为研究者提供宝贵数据、可靠工具和深入见解，以支持并引导语义日志解析的未来研究。

链接：https://doi.org/10.1145/3728969

55、MLLM-Based UI2Code Automation Guided by UI Layout Information

将用户界面转换为代码（UI2Code）是网站开发中的关键环节，该过程耗时且费力。实现UI2Code的自动化对提升开发效率至关重要。现有基于深度学习的方法严重依赖大量标注训练数据，且难以泛化到真实世界中未见过的网页设计。多模态大语言模型（MLLMs）的出现为解决该问题提供了可能，但其难以理解UI中的复杂布局并生成保留布局的精确代码。为此，我们提出LayoutCoder——一种基于MLLM的创新框架，可从真实网页图像生成UI代码，包含三个核心模块：（1）元素关系构建：通过识别和分组具有相似结构的组件来捕捉UI布局；（2）UI布局解析：生成UI布局树以指导后续代码生成；（3）布局引导的代码融合：生成保留布局的精确代码。为进行评估，我们构建了包含350个真实网站的新基准数据集Snap2Code（分为可见与不可见部分以缓解数据泄露问题），并采用流行数据集Design2Code。大量实验表明，LayoutCoder在所有数据集上平均BLEU分数提升10.14%，CLIP分数提升3.95%，显著优于现有最优方法。

链接：https://doi.org/10.1145/3728925

56、MoDitector: Module-Directed Testing for Autonomous Driving Systems

测试自动驾驶系统（ADS）对于确保其安全性、可靠性和性能至关重要。尽管现有多种测试方法能够生成多样化的高难度场景以发现潜在漏洞，但这些方法通常将ADS视为黑盒，主要关注识别系统级故障（如碰撞或险兆事故），而无法定位导致故障的具体模块。这种对故障根本原因的认知缺失阻碍了有效的调试与后续系统修复。此外，现有方法在生成能够从系统层面充分测试ADS各独立模块（如感知、预测、规划与控制）的违规场景方面存在不足。为弥补这一缺陷，我们提出MoDitector——一种具备根本原因识别能力的ADS测试方法，该方法可生成专门针对目标ADS模块弱点设计的安全关键场景。与现有方法不同，MoDitector不仅能产生导致违规的场景，还能精确定位引发每个故障的具体责任模块。具体而言，我们通过引入模块专用预言机（Module-Specific Oracles）自动检测模块级错误，并识别导致系统级违规的根本原因模块。为有效生成模块专属故障，我们提出一种模块导向测试策略，该策略融合模块专用反馈与自适应场景生成技术来指导测试过程。我们在四个关键ADS模块和四个代表性测试场景中评估MoDitector。实验结果表明，MoDitector能高效生成可归因于特定目标模块的故障场景，总计生成216.7个预期场景，显著优于最佳基线方法（仅生成79.0个场景）。本研究通过聚焦系统内模块专属错误的识别与修正，突破了传统黑盒故障检测的局限，代表了ADS测试领域的重大创新。

链接：https://doi.org/10.1145/3728876

57、Model Checking Guided Incremental Testing for Distributed Systems

近年来，模型检测引导测试（MCGT）方法被提出用于系统化测试分布式系统。该方法通过遍历从分布式系统形式化规范导出的完整已验证抽象状态空间来自动生成测试用例，并检查目标系统在测试过程中是否表现正确。尽管MCGT具有有效性，但使用该技术测试分布式系统通常成本高昂且可能耗时数周。当分布式系统发生演进（如引入新功能或修复缺陷）时，这种低效问题会进一步加剧。我们必须为演进后的系统重新运行完整测试流程以验证其正确性，这使得MCGT不仅资源密集且效率低下。

为降低分布式系统演进过程中模型检测引导测试的开销，我们提出iMocket——一种新型的模型检测引导增量式测试方法。我们首先从形式化规范和系统实现中提取变更内容，随后识别抽象状态空间中受影响的状态，并专门针对这些状态生成增量测试用例，从而避免对未受影响状态的冗余测试。基于三个主流分布式系统的12个真实变更场景进行评估实验，结果表明：iMocket平均可减少74.83%的测试用例数量，并将测试时间降低22.54%至99.99%，显著证明了其在降低分布式系统测试成本方面的有效性。

链接：https://doi.org/10.1145/3728883

58、More Effective JavaScript Breaking Change Detection via Dynamic Object Relation Graph

JavaScript库以其广泛使用、频繁的代码变更及对向后不兼容变更的高容忍度而著称。意识到这类破坏性变更可帮助开发者适应版本更新并规避负面影响。JavaScript社区已有多种专门或可用于检测破坏性变更的工具，但这些工具采用不同检测方式，且目前缺乏对这些方法的系统性综述。通过对流行JavaScript库的初步研究，我们发现现有方法（包括简单回归测试、基于模型的测试和类型差异分析）不仅会遗漏大量破坏性变更，还会产生大量误报。本文讨论了漏检与误报的产生原因。

基于研究发现的启示，我们提出名为Diagnose的新方法：该方法通过API探索和基于强制执行的类型分析迭代构建对象关系图，随后对图谱进行精细化处理并在库的新版本中重构图谱以检测破坏性变更。通过在实证研究相同库集上的评估，Diagnose能检测出更多破坏性变更（60.2%）且误报更少，因此具备实际应用价值。

链接：https://doi.org/10.1145/3728980

59、NADA: Neural Acceptance-Driven Approximate Specification Mining

仅从期望的软件行为（即正例）中挖掘高质量的有限状态自动机（FSA）十分困难，这源于搜索空间爆炸以及缺乏非期望软件行为（即反例）导致的过度泛化问题。为解决过度泛化问题，我们建议将该问题建模为从含噪声的正例与反例中搜索近似FSA，其中噪声源自用于拒绝过度泛化结果的合成反例。为在爆炸性搜索空间中获取有效的搜索偏置，我们将FSA接受度与神经网络推理相融合。核心贡献在于设计了一种神经网络，其参数分配对应于FSA，且其名为"神经接受"的推理过程能够模拟FSA接受行为。神经接受机制提供了一种高效量化FSA与噪声数据拟合程度的方法。我们提出NADA——一种神经接受驱动的搜索方法，通过接受正例与拒绝合成反例来指导近似FSA的搜索。NADA基于FSA离散搜索空间的连续松弛化改造及高效的梯度下降搜索算法实现。实验结果表明：相较于最先进方法，NADA显著提升了挖掘FSA的质量（平均提升41.63%的F1分数），且其搜索速度比挖掘次高质量FSA的方法快19.8倍。

链接：https://doi.org/10.1145/3728956

60、No Bias Left Behind: Fairness Testing for Deep Recommender Systems Targeting General Disadvantaged Groups

推荐系统在现代社会中扮演着日益重要的角色，它们驱动着数字平台对新闻、音乐、职位列表等多种内容进行个性化推荐，深刻影响着日常生活的诸多方面。为提升个性化效果，这些系统常使用人口统计信息。然而，确保跨人口群体推荐质量的公平性仍具挑战性，尤其因为推荐系统易受用户反馈循环中"富者愈富"的马太效应影响。随着深度学习算法的普及，公平性问题的识别变得愈发复杂。研究者已开始探索利用优化算法识别最弱势用户群体的方法。尽管如此，次优弱势群体的研究仍显不足，这导致马太效应引发的偏见放大风险未被有效解决。本文主张同时识别最弱势与次优弱势群体的必要性，并提出基于自适应采样的FairAS方法实现该目标。通过对四个深度推荐系统和六个数据集的评估，FairAS在最弱势群体识别上相比当前最优公平性测试方法（FairRec）平均提升19.2%，同时将测试时间降低43.07%。此外，FairAS发现的额外次优弱势群体有助于提升系统公平性，在所有实验对象上相比FairRec平均实现70.27%的改进。

链接：https://doi.org/10.1145/3728948

61、OmniGIRL: A Multilingual and Multimodal Benchmark for GitHub Issue Resolution

GitHub问题解决任务旨在自动处理代码仓库中报告的问题。随着大语言模型（LLM）的发展，该任务日益受到关注，多个基准测试被提出以评估LLM的问题解决能力。然而，现有基准存在三个主要局限：首先，当前基准仅关注单一编程语言，限制了跨语言仓库问题的评估；其次，它们通常覆盖领域范围狭窄，难以体现现实问题的多样性；第三，现有基准仅依赖问题描述中的文本信息，忽略了图像等多模态信息。本文提出OmniGIRL——一个多语言、多模态、多领域的GitHub问题解决基准，包含从四种编程语言（Python、JavaScript、TypeScript和Java）和八个不同领域的仓库中收集的959个任务实例。评估表明，当前LLM在OmniGIRL上表现有限，性能最佳的GPT-4o仅解决8.6%的问题。此外，我们发现现有LLM难以处理需要理解图像的问题，Claude-3.5-Sonnet在含图像信息的问题上仅解决10.5%。最后，我们分析了LLM在OmniGIRL上失败的原因，为未来改进提供见解。

链接：https://doi.org/10.1145/3728871

62、OpDiffer: LLM-Assisted Opcode-Level Differential Testing of Ethereum Virtual Machine

随着以太坊的持续繁荣，以太坊虚拟机（EVM）已成为支撑数百万活跃智能合约的基石。直观而言，EVM中的安全问题可能导致智能合约间的行为不一致，甚至造成整个区块链网络的拒绝服务。然而据我们所知，目前仅有有限的研究聚焦于EVM安全性，且存在两大局限：1）测试输入多样性不足且缺乏无效语义；2）无法自动识别漏洞并定位根本原因。为弥补这一空白，我们提出OpDiffer——一种基于差分测试的EVM检测框架，通过结合大语言模型（LLM）与静态分析方法解决上述问题。我们开展了最大规模的评估实验，覆盖九种EVM实现，发现26个此前未知的漏洞（其中22个获开发者确认，3个获得CNVD编号）。相比最先进的基线方法，OpDiffer最高可分别提升71.06%、148.40%和655.56%的代码覆盖率。通过对实际部署的以太坊合约分析，我们预估7.21%的合约在特定环境配置下可能触发已发现的EVM漏洞，这将对以太坊生态系统产生严重的负面影响。

链接：https://doi.org/10.1145/3728946

63、PatchScope: LLM-Enhanced Fine-Grained Stable Patch Classification for Linux Kernel

稳定的补丁分类在Linux内核漏洞管理中起着至关重要的作用，对长期支持（LTS）版本的稳定性和安全性具有重大意义。尽管现有工具能有效辅助判断补丁是否应合并至稳定版本，但无法确定哪些稳定补丁应被合并到哪些LTS版本中。该过程仍需发行版社区维护者根据各自版本需求进行人工筛选。  

为解决这一问题，我们提出PatchScope，其旨在预测补丁的具体合并状态。PatchScope包含两个组件：补丁分析与补丁分类。补丁分析利用大语言模型（LLMs），通过提交信息与代码变更生成详细的补丁描述，从而深化模型对补丁的语义理解；补丁分类采用预训练语言模型提取补丁的语义特征，并利用两阶段分类器预测补丁的合并状态。通过动态加权损失函数优化模型，以处理数据不平衡问题并提升整体性能。  

鉴于当前主要维护Linux内核5.10与6.6版本，我们基于这两个版本进行了对比实验。实验结果表明，PatchScope能有效预测补丁的合并状态。

链接：https://doi.org/10.1145/3728944

64、Pepper: Preference-Aware Active Trapping for Ransomware

勒索软件通过加密受感染系统中的文件并索要高额解密赎金，对企业与个人构成严重威胁。然而现有方法未能捕捉不同勒索软件家族的加密偏好，缺乏高效系统的主动防御方案。本文提出Pepper——一种基于偏好感知的主动式勒索软件诱捕方法，涵盖诱饵文件生成、部署与监控环节。通过对大量勒索软件家族的分析，我们识别出两种普遍存在的加密偏好：文件类型偏好与加密路径偏好。在勒索软件偏好的路径中部署符合其加密偏好的诱饵文件，能够为高效早期诱捕提供可能。Pepper融合基于图神经网络的推荐模型与专家知识，揭示不同勒索软件家族的文件与路径加密偏好，指导诱饵文件的生成与部署。此外，系统设计诱饵文件监控模块持续追踪文件变化并及时响应异常。大规模实验表明，Pepper实现98.68%的勒索软件检测率，平均仅损失2.27个文件，且在检测未知勒索软件变种时表现出强鲁棒性，同时不会干扰正常用户操作。

链接：https://doi.org/10.1145/3728932

65、Porting Software Libraries to OpenHarmony: Transitioning from TypeScript or JavaScript to ArkTS

OpenHarmony正崛起为移动应用领域的重要力量，有望与行业巨头比肩。其主力开发语言ArkTS基于TypeScript(TS)和JavaScript(JS)进行强化，通过严格类型系统提升性能。生态建设需要开发者将主流TS/JS库移植至OpenHarmony，官方虽提供详细移植指南，但要求开发者深度掌握ArkTS语法规范、遵循移植规则并实施人工代码改造，因此自动化移植工具对提升效率和完善软件生态至关重要。  

作为新兴编程语言，ArkTS目前缺乏支持自动化库移植的分析工具。而大语言模型(LLMs)的兴起为自动化移植任务提供了新机遇。基于LLM实现TS/JS库到OpenHarmony的自动化移植面临两大挑战：(1)LLMs对ArkTS代码接触有限，难以掌握其与JS/TS的语法差异及多样化适配场景；(2)项目级代码适配需修正大量语法不匹配问题，不同不匹配项与互依代码间的交互作用更增加了LLM的处理复杂度。  

为此，我们提出项目级自动代码适配方案ArkAdapter：针对挑战一，通过构建包含多场景专家经验的真实代码适配案例库，建立ArkTS语法理解知识库，借助小样本学习增强LLMs的适配能力；针对挑战二，基于依赖结构和语法不匹配代码粒度制定适配优先级策略，避免不同语法不匹配项及其关联代码的相互干扰。实验表明ArkAdapter在JS/TS库到ArkTS的移植中达到86.84%的高准确率。

链接：https://doi.org/10.1145/3728941

66、Preventing Disruption of System Backup against Ransomware Attacks

摘要近年来，勒索软件对软件生态系统的威胁迅速增长。尽管已有深入研究，但新型勒索软件变种不断涌现，旨在规避现有基于加密的检测机制。本文提出Remembrall——通过监控并防止系统备份中断来防御勒索软件的新方案。该工具聚焦Windows系统卷影副本（VSC）的删除操作，捕获相关恶意事件并实时识别所有勒索软件痕迹。为确保全面防护，我们系统性地分类研究了应用层、操作系统层和硬件层中所有可能用于删除VSC的攻击行为。基于此分析，Remembrall通过检索系统事件信息实现精准识别，确保零漏报率。通过对最新勒索软件样本的评估，Remembrall在60个勒索软件家族检测中的F1分数比现有顶级反勒索软件工具提高4.31%-87.55%，并在实验中成功检测出8个零日勒索软件样本。

链接：https://doi.org/10.1145/3728880

67、Productively Deploying Emerging Models on Emerging Platforms: A Top-Down Approach for Testing and Debugging

尽管现有的机器学习（ML）框架主要针对成熟平台（如在服务器级GPU上运行CUDA），但越来越多的需求希望在各种新兴场景中实现人工智能应用，例如在浏览器和移动端运行大语言模型（LLM）。然而，由于模型快速迭代以及新平台（如Metal和WebGPU）缺乏成熟的工具链和实践经验，在这些平台上部署新兴模型面临显著的软件工程挑战。传统的ML模型部署通常采用自下而上的方式：工程师先实现单个必需算子，再进行组合集成。但这种开发模式难以满足新兴ML应用的部署效率要求，其中测试与调试环节成为瓶颈。为此，我们提出TapML——一种自上而下的方法，旨在简化跨平台模型部署流程。传统自下而上方法需手动编写测试用例，而TapML通过算子级测试切分自动生成高质量的真实测试数据；此外，采用基于迁移的策略逐步将模型实现从成熟源平台转移至目标平台，最大限度缩小复合错误的调试范围。TapML已作为MLC-LLM项目的默认开发方法用于部署新兴ML模型。两年内，依托该方法成功在5个新兴平台上部署了涵盖27种模型架构的105个新兴模型。实践表明TapML在保证部署质量的同时显著提升了开发效率，并基于实际开发经验总结了全面案例研究，为新兴ML系统开发提供了最佳实践指南。

链接：https://doi.org/10.1145/3728957

68、Program Analysis Combining Generalized Bit-Level and Word-Level Abstractions

抽象解释被广泛用于确定程序的数值属性。然而，当前抽象域主要关注数学语义，未能完全捕捉依赖机器整数语义且涉及大量位向量操作的实际程序的复杂性。本文提出了一种结合位级抽象和字级抽象的解决方案来捕捉机器整数语义。首先，我们通过补充所有必需操作作为标准抽象域，推广了Linux eBPF验证器中用于确定实际程序已知位与未知位的位级抽象。基于此抽象，我们设计了一个具备符号感知能力、同时保留上述位级和字级边界信息的抽象域。这两个层级的信息通过标准缩减积操作进行协作，以提高分析精度。我们在Crab分析器和内核外eBPF验证器PREVAL中实现了所提出的抽象域。实验证明其在分析SV-COMP基准程序、辅助硬件设计以及eBPF验证方面的有效性。

链接：https://doi.org/10.1145/3728905

69、Program Feature-Based Benchmarking for Fuzz Testing

模糊测试是一种强大的软件测试技术，以其在识别软件漏洞方面的有效性而闻名。传统的模糊测试评估通常关注模糊测试工具在一组目标程序上的整体性能，但很少有基准测试考虑细粒度程序特征如何影响模糊测试效果。为弥补这一空白，我们提出了FeatureBench——一种新颖的基准测试框架，能通过可配置的细粒度程序特征生成测试程序，以增强模糊测试评估效果。通过系统回顾25项近期灰盒模糊测试研究，我们提取出7个可能影响测试性能的控制流与数据流相关程序特征。基于这些特征，我们生成了包含153个程序的基准测试集，并通过10个细粒度可配置参数进行控制。使用该基准测试集对11种模糊测试工具进行评估（每种工具均代表特定改进方向或是广泛使用的基准方案），结果表明：测试工具性能会随程序特征及其强度呈现显著差异，这凸显了将程序特性纳入模糊测试评估体系的重要性。

链接：https://doi.org/10.1145/3728899

70、QTRAN: Extending Metamorphic-Oracle Based Logical Bug Detection Techniques for Multiple-DBMS Dialect Support

蜕变测试是一种广泛用于检测数据库管理系统（DBMS）中逻辑缺陷的方法，本文称为MOLT（基于蜕变关系的逻辑缺陷检测技术）。该技术通过构建SQL语句对（包括原始查询和变异查询），并评估执行结果是否符合预定义的蜕变关系来识别逻辑缺陷。然而，现有的MOLT严重依赖特定DBMS的语法生成有效SQL语句对，导致难以适配具有不同语法结构的各类DBMS。因此，当前仅支持少数主流DBMS（如PostgreSQL、MySQL和MariaDB），扩展至其他系统需大量人工投入。鉴于许多DBMS仍缺乏充分测试，亟需一种能够轻松扩展MOLT至异构DBMS的方法。  

本文提出QTRAN——一种基于大语言模型（LLM）的新方法，可自动将现有MOLT扩展至多种DBMS。核心思路是利用LLM将现有MOLT中的SQL语句对翻译为目标DBMS的语法以进行蜕变测试。针对LLM对方言差异和蜕变机制理解有限的挑战，我们提出包含转换阶段和变异阶段的两阶段方法。QTRAN借鉴开发者创建MOLT的过程：通过理解目标DBMS语法生成原始查询，并利用定制化变异器执行突变。转换阶段通过识别潜在方言并利用SQL文档信息增强查询检索，使LLM能精准跨DBMS翻译原始查询；变异阶段则收集现有MOLT的SQL语句对微调预训练模型，专门适配变异任务，再使用定制化LLM对翻译后的原始查询进行变异，保留蜕变测试所需的定义关系。  

我们将该方法实现为工具，并应用于扩展四种前沿MOLT至八种DBMS：MySQL、MariaDB、TiDB、PostgreSQL、SQLite、MonetDB、DuckDB和ClickHouse。评估结果表明，QTRAN转换的SQL语句对超过99%满足测试所需的蜕变关系，且在这些DBMS中检测到24个逻辑缺陷，其中16个被确认为独特的新缺陷。我们相信QTRAN的通用性将显著提升DBMS的可靠性。

链接：https://doi.org/10.1145/3728908

71、Quantum Concolic Testing

本文首次提出了一个专为量子程序设计的混成测试框架。该框架针对量化量子态的量子控制语句提出了量子约束生成方法，并为量子变量提供了符号化方法。基于此框架，我们为量子程序的每条具体执行路径生成路径约束。这些约束条件指导新路径的探索，通过量子约束求解器确定结果以生成新颖的输入样本，从而提升分支覆盖率。本框架已在Python中实现并与Qiskit集成进行实践评估。实验结果表明，我们的混成测试框架不仅能提高分支覆盖率，还能生成高质量量子输入样本并检测程序缺陷，证明了其在量子编程和错误检测方面的有效性与高效性。在分支覆盖率方面，本框架对5量子位以下的量子程序实现了超过74.27%的覆盖效果。

链接：https://doi.org/10.1145/3728926

72、REACCEPT: Automated Co-evolution of Production and Test Code Based on Dynamic Validation and Large Language Models

生产代码与测试代码的同步（称为PT协同演化）对软件质量至关重要。鉴于其涉及大量手动工作，研究人员尝试使用预定义启发式规则和机器学习模型实现PT协同演化的自动化。然而现有解决方案仍不完善：大多数方法仅能检测并标记过时测试用例，仍需开发者手动更新；同时现有方案准确率较低，尤其在真实软件项目中表现不佳。本文提出ReAccept——一种融合大型语言模型（LLM）、检索增强生成（RAG）和动态验证的新方法，以高精度实现全自动PT协同演化。ReAccept采用经验引导方法生成提示模板，用于识别和更新过程；在更新测试用例后，通过语法检查、语义验证和测试覆盖评估进行动态验证；若验证失败，则利用错误消息迭代优化补丁。为评估ReAccept的有效性，我们在包含537个Java项目的数据集上开展广泛实验，并与多种先进方法对比。结果表明，ReAccept在正确识别的过时测试代码上达到60.16%的更新准确率，较最优技术CEPROT提升90%。这些发现证明ReAccept能有效维护测试代码、提升软件质量并显著降低维护成本。

链接：https://doi.org/10.1145/3728930

73、Recurring Vulnerability Detection: How Far Are We?

随着开源软件的快速发展，代码复用已成为加速开发进程的普遍实践。然而这也导致原始漏洞被继承，在复用项目中重现形成复现漏洞（RVs）。传统通用漏洞检测方法受限于可扩展性与适应性，基于学习的方法则常因训练数据集有限而对未见漏洞效果不佳。尽管已有特定复现漏洞检测（RVD）方法被提出，但其针对不同RV特征的有效性尚不明确。本文通过新构建的包含4,569个RVs的大规模数据集（较先前数据集扩展953%）开展实证研究，系统分析RV特征，评估最先进RVD方法的有效性，探究误报/漏报的根本原因并得出关键洞见。基于这些发现，我们设计出新型RVD工具AntMan：通过识别修改函数的显性与隐式调用关系，在函数内实施过程间污点分析和过程内依赖切片以生成综合签名，最终采用柔性匹配检测RVs。评估结果表明该方法具有卓越的有效性、通用性和实用价值。AntMan已检测到4,593个RVs（其中307个获开发者确认），在15个项目中识别出73个新的0-day漏洞，并获得5个CVE标识符。

链接：https://doi.org/10.1145/3728901

74、Reinforcement Learning-Based Fuzz Testing for the Gazebo Robotic Simulator

作为机器人技术领域应用最广泛的模拟器，Gazebo在开发和测试机器人系统方面发挥着关键作用。鉴于其对机器人操作安全性和可靠性的重大影响，早期缺陷检测至关重要。然而，由于严格的输入结构和庞大的状态空间带来的挑战，直接对Gazebo应用现有模糊测试方法效果有限。本文提出GzFuzz——首个专为Gazebo设计的模糊测试框架。该框架通过语法感知的可行命令生成机制处理严格输入要求，并采用基于强化学习的命令生成器选择机制高效探索状态空间。通过将两种机制整合在统一框架下，GzFuzz能有效检测Gazebo中的缺陷。大量实验表明，GzFuzz在12小时内平均检测到9.6个独特缺陷，其代码覆盖率较现有模糊测试工具AFL++和Fuzzotron实现显著提升，增幅约达239%-363%。在不到六个月的时间内，GzFuzz共发现Gazebo中25个独特崩溃案例，其中24个已获修复或确认。我们的研究成果凸显了直接对Gazebo进行模糊测试的重要性，为此提出了一种新颖高效的方法论，为增强更广泛模拟器的测试能力提供了重要启示。

链接：https://doi.org/10.1145/3728942

75、Rethinking Performance Analysis for Configurable Software Systems: A Case Study from a Fitness Landscape Perspective

现代软件系统通常具有高度可配置性，以满足不同利益相关者的多样化需求。理解配置项与期望性能属性之间的映射关系，对于提升底层系统的可控性和调优能力具有基础性作用，但由于其黑盒特性，这一直是知识体系中的盲区。尽管已有研究对这些系统进行性能分析，但它们将配置项作为孤立数据点进行分析，未能考虑其固有的空间关联性。这导致无法探查配置空间的许多重要特征，如局部最优区域。本研究提出一种创新视角——将配置空间建模为结构化的"地形景观"。为验证这一理念，我们采用GraphFLA这一基于图数据挖掘的适应度景观分析开源框架，通过对3个真实系统32个运行工作负载中8600万条基准配置进行分析，得出6项主要发现。这些发现共同构建了景观地形的整体图谱，对配置调优和性能建模均具有重要启示意义。

链接：https://doi.org/10.1145/3728954

76、Robust Vulnerability Detection across Compilations: LLVM-IR vs. Assembly with Transformer Model

检测二进制文件中的漏洞是网络安全领域的一项挑战性任务，尤其在源代码不可用且编译过程及其参数未知的情况下更为困难。现有的基于深度学习的检测方法通常依赖于已知二进制文件的特定编译设置，这可能限制其在其他类型二进制文件上的性能表现。本研究对汇编表示与LLVM-IR进行了全面比较，以确定在编译参数未知时哪种表示更具鲁棒性和适用性。表示方式的选择显著影响检测准确性。本文的另一贡献是采用基于Transformer的模型CodeBERT作为分类工具，用于在编译过程未知的场景下检测漏洞。该研究将Transformer模型应用于LLVM-IR领域中的多类漏洞检测任务，重点关注二进制衍生表示。虽然近期研究已探索了Transformer在源代码和原始二进制指令流漏洞分析中的应用，但作为LLVM-IR层级分类器的系统性评估仍较为有限。先前研究通常依赖基于RNN的方法（此类方法被视为该任务的当前最优方案），但这些模型难以有效捕获长距离依赖关系。为解决这一局限性，我们将基于Transformer的分类方法扩展至二进制文件生成的LLVM-IR，并在此场景下提供全面评估。实验结果凸显了该方法在强化多样化二进制配置系统安全方面的潜力。

链接：https://doi.org/10.1145/3728903

77、RouthSearch: Inferring PID Parameter Specification for Flight Control Program by Coordinate Search

飞行控制程序被广泛应用于无人机（UAV）中，用于动态管理和维持无人机的飞行行为。这些飞行控制程序包含一个PID控制模块，该模块接收三个用户可配置的PID参数：比例（P）、积分（I）和微分（D）。用户还可在飞行过程中调整这些PID参数以适应不同飞行任务的需求。然而，飞行控制程序对用户提供的PID参数缺乏充分的安全检查，导致无人机存在严重漏洞——输入验证缺陷。当用户错误配置PID参数时，会导致无人机进入危险状态，例如偏离预期路径、失控甚至坠毁。

现有研究通常采用模糊测试等随机测试方法从用户输入中识别无效PID参数。但这些方法在三维PID参数搜索空间中效果有限，且每次无人机测试的动态执行成本极高，进一步影响了随机测试的性能。

本研究通过将劳斯-赫尔维茨稳定性判据与坐标搜索相结合，提出名为RouthSearch的方法来解决PID参数错误配置问题。RouthSearch并非以临时方式识别错误配置的PID参数，而是基于原理确定三维PID参数的有效范围。我们首先利用劳斯-赫尔维茨判据识别理论上的PID参数边界，随后通过高效坐标搜索对边界进行精细化处理。RouthSearch确定的三维PID参数有效范围可在飞行过程中过滤用户的错误配置参数，并进一步帮助发现主流飞行控制程序中的逻辑缺陷。

我们在PX4和ArduPilot两款主流飞行控制程序的八种飞行模式下对RouthSearch进行评估。结果显示：与真实值相比，RouthSearch确定三维PID参数有效范围的准确率达到92.0%。在错误配置参数总数方面，RouthSearch在48小时内发现3,853组PID错误配置，而当前最先进的PGFuzz仅发现449组，性能提升达8.58倍。此外，本方法还帮助检测出ArduPilot和PX4中的三个缺陷。

链接：https://doi.org/10.1145/3728904

78、S-Eval: Towards Automated and Comprehensive Safety Evaluation for Large Language Models

生成式大语言模型（LLM）以其变革性和涌现能力彻底改变了自然语言处理领域。然而，最新研究表明，LLM可能生成违反社会规范的有害内容，这引发了关于部署此类先进模型的安全性与伦理影响的重大关切。因此，在部署前对LLM进行严格全面的安全评估既至关重要又势在必行。尽管存在这一需求，但由于LLM生成空间的广泛性，目前仍缺乏统一规范的风险分类体系来系统反映LLM内容安全性，以及高效探索潜在风险的自动化安全评估技术。

为弥补这一显著空白，我们提出S-Eval——一个基于LLM的新型自动化安全评估框架，其配备新定义的全面风险分类体系。S-Eval包含两个核心组件：专家测试LLM Mt和新型安全评判LLM Mc。专家测试LLM Mt负责根据提出的风险管理体系（包含8个风险维度和102项细分风险）自动生成测试用例；安全评判LLM Mc则可提供可量化的可解释安全评估，以增强对LLM风险的认知。与现有工作相比，S-Eval具有三大显著优势：（i）高效性——通过Mt构建包含102类风险共22万个测试用例的多维度开放式基准，并借助Mc对21个具有影响力的LLM进行安全评估，全过程无需人工干预；（ii）有效性——大量验证表明S-Eval能实现更全面的评估和更好的风险感知，Mc不仅能精准量化LLM风险，还提供超越LLaMA-Guard-2等可比模型的可解释深度安全洞察；（iii）适应性——基于LLM的架构使S-Eval可灵活配置，适应LLM快速演进伴随的新安全威胁、测试生成方法和安全评判方法。我们进一步探究超参数和语言环境对模型安全的影响，为未来研究指明方向。目前S-Eval已在工业合作伙伴中部署，为服务数百万用户的多类LLM提供自动化安全评估，实证了其在真实场景中的有效性。

链接：https://doi.org/10.1145/3728971

79、STRUT: Structured Seed Case Guided Unit Test Generation for C Programs using LLMs

单元测试在缺陷检测与保障软件正确性方面发挥着关键作用，其能帮助开发者在早期发现错误，从而减少软件缺陷。近年来，大型语言模型（LLMs）在自动化单元测试生成领域展现出巨大潜力，但应用LLMs生成单元测试仍面临诸多挑战：1）LLMs生成的测试用例执行通过率较低；2）测试用例覆盖度不足，难以检测代码中的潜在风险；3）现有研究方法主要集中于Java和Python等语言，而对现实世界中至关重要的C语言研究却十分匮乏。为应对这些挑战，我们提出了一种新颖的单元测试生成方法STRUT。该方法以结构化测试用例作为复杂编程语言与LLMs之间的桥梁，通过引导LLMs生成结构化测试用例而非直接生成测试代码，有效缓解了LLMs在生成具有复杂特性编程语言代码时的局限性。具体而言，STRUT首先分析目标方法的上下文并构建结构化种子测试用例，随后引导LLMs生成一组结构化测试用例，最终采用基于规则的方法将结构化测试用例转换为可执行测试代码。通过全面评估，STRUT实现了96.01%的执行通过率、77.67%的代码行覆盖率和63.60%的分支覆盖率，其性能显著优于基于LLMs的基线方法和符号执行工具SunwiseAUnit。这些结果表明STRUT通过融合LLMs优势并克服其固有局限性，具备生成高质量单元测试用例的卓越能力。

链接：https://doi.org/10.1145/3728970

80、SWE-GPT: A Process-Centric Language Model for Automated Software Improvement

大型语言模型（LLM）在代码生成方面展现出卓越性能，显著提升了开发者的编码效率。基于LLM的智能体技术最新进展，推动了端到端自动化软件工程（ASE）的重大突破，特别是在软件维护（如修复缺陷）和演进（如添加新功能）领域。尽管取得这些令人鼓舞的进展，当前研究仍面临两大挑战：其一，最先进性能主要依赖GPT-4等闭源模型，极大限制了技术可及性及在多样化软件工程任务中的定制潜力，同时处理敏感代码库时也引发数据隐私担忧；其二，现有模型主要基于静态代码数据训练，缺乏对软件开发中动态交互、迭代问题解决过程及演进特性的深度理解，导致其在处理复杂项目结构和生成上下文相关解决方案时存在局限，影响实际应用效果。

针对这些挑战，本研究从软件工程视角出发，认识到真实世界的软件维护与演进过程不仅包含静态代码数据，还涉及开发者的思维过程、外部工具使用以及不同职能人员间的交互。我们的目标是开发专为软件改进优化的开源大语言模型，在实现与闭源模型相当性能的同时，提供更强的可访问性和定制潜力。为此，我们推出Lingma SWE-GPT系列模型（包括70亿参数的Lingma SWE-GPT 7B和720亿参数的Lingma SWE-GPT 72B）。通过学习和模拟真实代码提交活动，该系列系统性地融入了软件开发过程中的动态交互与迭代问题解决机制（如仓库理解、故障定位和补丁生成），从而实现对软件改进过程的更全面认知。

基于OpenAI最新提出的SWE-bench-Verified基准测试（包含500个真实GitHub问题），实验结果表明：Lingma SWE-GPT 72B成功解决30.20%的GitHub问题，在自动问题解决方面实现显著提升（较Llama 3.1 405B相对提升22.76%），接近闭源模型性能（GPT-4o解决率为31.80%）；值得注意的是，Lingma SWE-GPT 7B解决率达18.20%，超越Llama 3.1 70B的17.20%，彰显了较小模型在ASE任务中的应用潜力。

链接：https://doi.org/10.1145/3728981

81、Safe4U: Identifying Unsound Safe Encapsulations of Unsafe Calls in Rust using LLMs

Rust是一种新兴的编程语言，通过严格的编译时检查确保安全性。标记为unsafe的函数表明其具有额外的安全要求（例如已初始化、非空等），社区中称之为契约。这些unsafe函数只能在显式的unsafe代码块中被调用，且契约必须由调用方保证。为了重用并减少unsafe代码，社区实践中推荐采用对unsafe调用的安全封装（EUC）。但若任何契约未得到保证，EUC就会出现缺陷（unsound），可能导致安全Rust中的未定义行为，从而破坏Rust的安全承诺。由于代码与自然语言跨语言理解的局限性，传统技术难以有效识别缺陷EUC。大型语言模型（LLM）虽展现出强大能力，但因契约复杂性及领域知识缺乏，其表现仍不尽如人意。为此，我们提出新型框架Safe4U，融合LLM、静态分析工具与领域知识来识别缺陷EUC。Safe4U首先利用静态分析工具获取相关上下文，随后将原始契约描述分解为多个细粒度分类契约，最终引入领域知识并调用LLM的推理能力验证每个细粒度契约。评估结果表明，Safe4U实现了整体性能提升，且细粒度结果对定位具体缺陷源具有建设性。在真实场景中，Safe4U从CVE报告的11个缺陷EUC中成功识别出9个，并在下载量最高的crates中检测到22个新的缺陷EUC，其中16个已获确认。

链接：https://doi.org/10.1145/3728890

82、Smart-LLaMA-DPO: Reinforced Large Language Model for Explainable Smart Contract Vulnerability Detection

智能合约漏洞检测是快速发展的区块链领域中的关键挑战。现有漏洞检测方法面临两个主要问题：(1) 现有数据集缺乏全面性和足够质量，漏洞类型覆盖范围有限，且对偏好学习的高质量与低质量解释区分不足；(2) 大语言模型（LLM）往往难以准确解释智能合约安全中的特定概念。通过实证分析，我们发现即使经过持续预训练和监督微调，LLM在精确理解智能合约状态变更执行顺序方面仍存在局限，这可能导致在做出正确检测决策的同时产生错误的漏洞解释。这些局限导致检测性能不佳，进而引发潜在的严重财务损失。  

为解决这些挑战，我们提出基于LLaMA-3.1-8B的先进检测方法Smart-LLaMA-DPO。首先，我们构建了涵盖四种漏洞类型及机器不可审计漏洞的综合数据集，包含用于监督微调（SFT）的标签、详细解释和精确漏洞位置，以及用于直接偏好优化（DPO）的配对高质量与低质量输出。其次，我们使用大规模智能合约代码进行持续预训练，以增强LLM对智能合约特定安全实践的理解。进一步，我们利用综合数据集实施监督微调。最后，我们应用DPO技术，通过人类反馈提升生成解释的质量。Smart-LLaMA-DPO采用特殊设计的损失函数，促使LLM增加偏好输出的概率同时降低非偏好输出的概率，从而提升其生成高质量解释的能力。  

我们在四大漏洞类型（重入、时间戳依赖、整数溢出/下溢和delegatecall）及机器不可审计漏洞上评估Smart-LLaMA-DPO。我们的方法显著优于现有最优基线，F1分数平均提升10.43%，准确率平均提高7.87%。此外，LLM评估与人工评估均证明Smart-LLaMA-DPO生成的解释在正确性、全面性和清晰度方面具有卓越质量。

链接：https://doi.org/10.1145/3728878

83、SoK: A Taxonomic Analysis of DeFi Rug Pulls: Types, Dataset, and Tool Assessment

拉地毯骗局是去中心化金融（DeFi）领域的关键威胁，造成重大财务损失并侵蚀生态系统信任。尽管研究取得进展，但零散的分类法、有限的数据集和不充分的工具评估仍阻碍着有效检测。通过对学术和行业资源的系统分析，我们建立了包含35种独特拉地毯类型的综合分类法，其中包括9种先前未记录的变体。分析揭示了显著的检测缺口：现有数据集仅覆盖20%的已知类型，这促使我们创建包含2,391个实例的增强数据集，将覆盖率提升至82.9%。对13种检测工具的评估显示其能力存在显著差异（25.7%至62.9%），其中9种类型完全无法检测。最关键的是，面对复杂攻击时工具性能显著下降：单向量攻击的检测率从55.6%骤降至复合场景下的31.3%。这些发现为开发更强大的去中心化系统智能合约漏洞安全测试方法提供了重要见解。

链接：https://doi.org/10.1145/3728900

84、Static Program Reduction via Type-Directed Slicing

传统的程序切片工具能够针对目标变量构建一个计算相同结果的精简程序变体，即程序切片保留了原始程序的运行时语义。本文提出类型导向切片方法，该方法构建一个更小的程序，确保类型检查器在仅考虑目标程序位置时对切片程序产生相同的结果——即类型导向切片器从特定类型检查器的视角出发，保留了目标程序在编译时的语义。  

类型导向切片是类型检查器设计者和维护者的有效调试辅助工具。当类型检查器在大型代码库上产生意外结果（如崩溃、误报警告、遗漏警告等）时，用户通常会在未提供测试用例的情况下向类型检查器维护者报告错误。当前最先进的程序缩减方案是动态方法：需要反复运行类型检查器以验证最小化结果。而类型导向切片器通过利用类型检查器类型规则固有的模块化特性，无需重新运行类型检查器即可静态解决该问题。我们针对Java开发的类型导向切片原型工具完全自动化，可处理不完整程序，且运行高效。该工具能为三个广泛使用的类型检查器（Java编译器自身、NullAway和Checker Framework）的28个历史缺陷中的25个（89%）生成保留类型检查器异常行为的小型测试用例；在这25个案例中，即使缺少目标程序的类路径，它仍能保持类型检查器的行为特征。此外，在免费层级的CI运行器上，该工具对每个基准测试（代码规模高达数百万行）的处理时间均在一分钟内完成。

链接：https://doi.org/10.1145/3728968

85、Structure-Aware, Diagnosis-Guided ECU Firmware Fuzzing

电子控制单元（ECU）在现代车辆中扮演着关键角色，其功能范围涵盖基础控制功能至安全关键功能。模糊测试已成为确保ECU固件功能安全与车辆安全性的有效手段。然而现有模糊测试方法主要关注通过外部总线（如CAN）来自其他ECU的输入，却忽视了通过板载总线（如SPI）从内部外设接收的输入。由于输入空间探索受限，这些方法无法全面覆盖ECU固件的模糊测试。此外，现有方法通常缺乏对ECU固件内部状态的可见性，仅依赖有限反馈（如消息超时或硬件指示灯），制约了测试有效性。

针对这些局限性，我们提出结构感知、诊断引导的EcuFuzz框架，以实现全面有效的ECU固件模糊测试。具体而言，EcuFuzz同步处理外部总线（CAN）与板载总线（SPI），利用CAN和SPI的协议结构有效变异CAN消息与SPI序列，并采用基于双核微控制器的外设模拟器处理实时SPI通信。此外，EcuFuzz创新性地引入车辆诊断协议作为反馈机制，通过采集ECU内部状态（包括错误相关变量、故障码及异常上下文）来指导测试进程。在对三家主流一级供应商的十款ECU兼容性评估中，本框架成功适配九款设备；对三款代表性ECU的有效性评估表明，该方法检测出九个未知安全关键故障，相关供应商已发布技术补丁。

链接：https://doi.org/10.1145/3728914

86、Testing the Fault-Tolerance of Multi-sensor Fusion Perception in Autonomous Driving Systems

生产级自动驾驶系统（如谷歌Waymo与百度Apollo）通常依赖多传感器融合策略实现环境感知。该策略通过结合摄像头与激光雷达的各自优势提升感知鲁棒性，直接影响自动驾驶车辆的安全关键驾驶决策。然而在实际自动驾驶场景中，摄像头与激光雷达均易受各类故障影响，显著改变自动驾驶系统的决策与后续行为。开发阶段需全面测试多传感器融合的鲁棒性。现有测试方法仅关注系统未能识别的极端案例，尚未深入研究传感器故障如何影响自动驾驶系统的整体行为。为此，我们提出FADE——首个全面评估基于多传感器融合感知的自动驾驶系统容错能力的测试方法。我们系统化构建自动驾驶车辆摄像头与激光雷达的故障模型，并将这些故障注入基于多传感器融合的自动驾驶系统，以测试其在多种场景下的行为。为高效探索传感器故障模型的参数空间，我们设计了一种反馈引导的差分模糊测试器，用于揭示注入故障引发的自动驾驶系统安全违规。我们在代表性工业级自动驾驶系统百度Apollo上评估FADE，实验结果证明了该方法的实用价值并揭示重要发现。我们进一步使用百度Apollo 6.0 EDU自动驾驶车辆进行实体实验，在真实场景中验证了这些发现。

链接：https://doi.org/10.1145/3728910

87、The First Prompt Counts the Most! An Evaluation of Large Language Models on Iterative Example-Based Code Generation

大型语言模型（LLM）在代码生成方面的能力已得到广泛研究，尤其是在根据自然语言描述实现目标功能方面。作为自然语言的替代方案，输入输出（I/O）示例提供了一种可访问、明确且灵活的功能描述方式。然而，其固有的多样性、不透明性和不完整性为理解和实现目标需求带来了更大挑战。因此，基于I/O示例生成代码（即基于示例的代码生成）提供了新视角，使我们能够额外评估LLM从有限信息推断目标功能以及处理新型需求的能力。但关于LLM在基于示例代码生成中的相关研究仍处于探索阶段。为填补这一空白，本文首次对基于示例的代码生成开展综合性研究。针对I/O示例不完整性导致的错误问题，我们采用迭代评估框架，并将基于示例的代码生成目标形式化为两个连续子目标：生成符合给定示例的代码，以及通过（迭代）给定示例成功实现目标功能的代码。我们使用包含172个多样化目标功能（源自HumanEval和CodeHunt）的新基准测试评估了六个前沿LLM。结果表明：当使用迭代I/O示例而非自然语言描述需求时，LLM的得分下降超过60%，说明基于示例的代码生成对当前LLM仍具挑战性。值得注意的是，绝大多数（甚至超过95%）成功实现的功能均在首轮迭代中完成，表明LLM难以有效利用迭代补充的需求。此外，我们发现将I/O示例与即使不精确且碎片化的自然语言描述结合可显著提升LLM性能，且初始I/O示例的选择也会影响得分，这为提示优化提供了可能。这些发现凸显了交互过程中早期提示的重要性，并为增强基于LLM的代码生成提供了关键见解与启示。

链接：https://doi.org/10.1145/3728947

88、The Incredible Shrinking Context... in a Decompiler Near You

二进制代码反编译在以太坊虚拟机（EVM）智能合约领域已成为一项至关重要的应用。出于多种逆向工程或工具开发目的，几乎每年都会出现新的主流反编译器并广受欢迎。从技术角度看，该问题具有根本性挑战：其核心是从高度优化的延续传递风格（CPS）表示中恢复高级控制流。在架构层面，反编译器可通过静态分析或符号执行技术构建。  

我们提出Shrnkr——一种基于静态分析的反编译器，继承了最先进的Elipmoc反编译器的优势。Shrnkr在所有关键维度上均实现了显著改进：可扩展性、完整性和精确度。其核心技术采用了一种新型静态分析上下文变体：收缩上下文敏感性。该技术通过深度裁剪静态分析上下文，主动"遗忘"控制流历史，从而为更精确的推理创造空间。  

我们将Shrnkr与基于静态分析和符号执行的最先进反编译器进行对比。在标准基准测试集中，Shrnkr可扩展至99.5%以上的合约（Elipmoc约为95%），代码覆盖率（即触及并成功反编译的代码）较Heimdall-rs提升67%，关键不精确度指标较Elipmoc降低超65%。

链接：https://doi.org/10.1145/3728935

89、Top Score on the Wrong Exam: On Benchmarking in Machine Learning for Vulnerability Detection

根据我们对漏洞检测机器学习（ML4VD）的调研，过去五年中发表的论文十有八九将ML4VD定义为函数级二元分类问题：给定一个函数，判断其是否包含安全漏洞？基于安全研究者的经验，在判定某函数是否导致程序存在攻击漏洞时，我们往往需要先理解该函数的调用上下文。本文通过分析主流ML4VD数据集中的漏洞函数与非漏洞函数，探究在缺乏上下文的情况下做出准确判断的实际可行性。若某函数因实际安全漏洞的修复而被修改，且被确认为导致程序漏洞的根源，则判定为漏洞函数；反之则为非漏洞函数。研究发现，几乎所有案例均表明脱离上下文无法做出准确判断：漏洞函数往往仅因存在诱发漏洞的调用上下文而具有危险性，而非漏洞函数在特定上下文中也可能转化为漏洞函数。  

但为何现有ML4VD技术能在样本明显信息不足的情况下获得高评分？伪相关性现象：研究发现即使仅依据词频统计也能获得高评分，这表明当前数据集存在被利用以获取高评分而非真正检测安全漏洞的缺陷。本文结论指出，主流ML4VD问题定义存在根本性缺陷，并质疑该领域大量研究的内部有效性。建设性地，我们呼吁建立更有效的基准评估方法以衡量ML4VD的真实能力，提出替代性问题定义框架，并探讨其对机器学习与程序分析研究评估体系的更广泛启示。

链接：https://doi.org/10.1145/3728887

90、Tracezip: Efficient Distributed Tracing via Trace Compression

分布式追踪是云服务系统监控与测试的基础构建模块。为降低计算与存储开销，当前普遍采用采样方式减少追踪数据采集。然而现有工作面临追踪完整性与系统开销之间的权衡：基于头部采样的方法在请求进入系统时 indiscriminately 选择追踪对象，可能遗漏关键事件；基于尾部采样的方法先全量采集请求，再选择性保留边缘案例追踪，但会带来追踪数据收集与录入的开销。本文另辟蹊径，提出Tracezip通过追踪压缩提升分布式追踪效率。核心洞见在于：追踪数据间存在显著冗余，导致相同数据在服务与后端之间重复传输。我们设计了一种名为跨度检索树（SRT）的新型数据结构，可在服务端持续封装此类冗余，将追踪跨度转换为轻量形式。在后端，通过检索先前跨度已传输的公共数据即可无缝重构完整追踪链。Tracezip包含一系列优化SRT结构的策略，以及通过差分更新机制高效同步服务与后端间SRT的方法。基于微服务基准测试、主流云服务系统和真实生产追踪数据的评估表明，Tracezip能以可忽略的开销显著提升追踪收集性能。我们已在OpenTelemetry Collector中实现Tracezip，使其与现有追踪API保持兼容。

链接：https://doi.org/10.1145/3728888

91、Tratto: A Neuro-Symbolic Approach to Deriving Axiomatic Test Oracles

本文提出Tratto——一种神经符号方法，能够从源代码和文档中生成可作为公理化预言（布尔表达式）的断言。Tratto的符号模块利用编程语言的语法、被测单元及其上下文（所属类与可用API）来约束可成功生成有效预言词符的搜索空间。其神经模块采用经微调的Transformer模型，既决策是否输出预言，又从符号模块返回的词符集合中选择下一个词符来逐步构建预言。实验表明，Tratto以73%准确率、72%精确率和61% F1分数显著优于现有公理化预言生成方法，大幅超越本研究中最优符号方法与神经方法的最佳结果（分别为61%、62%和37%）。Tratto生成的公理化预言数量是当前符号方法的三倍，而生成的误报数量比采用少样本学习和思维链提示的GPT-4减少十倍。

链接：https://doi.org/10.1145/3728960

92、Type-Alias Analysis: Enabling LLVM IR with Accurate Types

LLVM中间表示（IR）作为LLVM编译器基础设施的核心，提供了强大的类型系统和静态单赋值（SSA）形式，非常适合程序分析。但其单类型设计为每个IR变量严格指定单一类型，即使该变量可能合法对应多种类型。近期不透明指针的引入加剧了这一局限：IR中所有指针均以通用指针类型（ptr）统一表示，抹除了具体指针目标类型信息，导致许多基于类型的分析失效。

为突破单类型设计的限制，我们提出类型别名分析——一种多类型设计方案，通过维护IR变量的类型别名集并在IR指令间推断类型。我们开发了原型工具TypeCopilot，专门针对C程序生成的启用不透明指针的LLVM IR恢复具体指针目标类型。TypeCopilot实现了98.57%的准确率和94.98%的覆盖率，使现有分析工具在采用不透明指针后仍能保持有效性。为促进进一步研究和安全应用，我们已开源TypeCopilot，为社区在现代LLVM IR上开展精确的类型感知安全分析提供实践基础。

链接：https://doi.org/10.1145/3728974

93、Uncovering API-Scope Misalignment in the App-in-App Ecosystem

摘要“应用内应用”（app-in-app）模式是移动系统的新兴趋势，超级应用（简称superApps，如微信、百度、抖音）通过提供特权API，允许外部供应商在其平台上开发小程序（简称miniApps）。为便于管理，超级应用设计了特定的权限配置（称为scope）来授予API对特定功能和资源的访问权限。在API实现过程中严格遵守这些权限范围对维护安全至关重要，否则超级应用的权限管理可能被绕过——我们将这种漏洞称为API-权限范围失配。本研究首次对应用内应用生态中的API-权限范围失配问题进行系统性分析，揭示了根本原因和安全风险。更重要的是，我们开发了名为ScopeChecker的自动化工具，用于检测超级应用和小程序中的API-权限范围失配问题。该工具通过将Android权限机制集成到超级应用功能中，提取标准API-权限范围映射关系，并基于LLM的代码生成技术创建可执行的API代码片段作为测试用例。执行结果反映了API与权限范围的实际映射关系，通过与标准映射比对即可识别失配现象。随后，ScopeChecker通过将失配API与定制化的目标小程序方法导向抽象语法树（MAST）进行匹配，验证小程序中的失配情况。经人工确认，ScopeChecker在头部超级应用中检出38个存在权限失配的API，其性能优于当前最先进的小程序测试方法。值得注意的是，我们获得了超级应用开发商及CNVD的11次正面回应，其中9个漏洞获得确认并获奖励：包括1个高风险、7个中风险和1个低风险漏洞。为评估普遍性，ScopeChecker检测了42,000余个小程序，发现51%存在API-权限范围失配问题，平均每个小程序存在1.4个失配API。最后，我们通过分析真实攻击案例，阐述了由API-权限范围失配引发的四类安全威胁。

链接：https://doi.org/10.1145/3728962

94、Understanding Model Weaknesses: A Path to Strengthening DNN-Based Android Malware Detection

Android恶意软件检测仍是网络安全研究中的关键挑战。近年来研究利用人工智能技术（特别是深度神经网络DNN）训练检测模型，但常用训练数据集中恶意软件家族间的显著不平衡往往会影响其有效性。这种不平衡导致模型在主流类别上过拟合，而在低代表性类别上表现不佳，增加了对罕见恶意软件家族的预测不确定性。为改善许多DNN模型的次优性能，我们提出MalTutor新型框架，通过优化训练流程增强模型鲁棒性。我们的核心洞见在于将不确定性从"负担"转化为"资产"，并将其策略性融入DNN训练方法。具体而言，我们首先评估DNN模型在不同训练周期中的预测不确定性，以此指导样本分类。结合课程学习策略，我们从低不确定性的易学习样本开始训练，逐步加入高不确定性的难学习样本。实验结果表明，MalTutor显著提升了在不平衡数据集上训练的模型性能：准确率提高31.0%，F1分数提升138.8%，特别是在检测各类恶意应用时的平均准确率提升133.9%。我们的发现为利用不确定性增强面向预测的软件工程任务中DNN模型鲁棒性提供了重要见解。

链接：https://doi.org/10.1145/3728884

95、Understanding Practitioners’ Expectations on Clear Code Review Comments

代码审查评论（CRC）在现代代码审查过程中至关重要。它为审查者提供了识别潜在缺陷、提供建设性反馈及改进建议的机会。清晰简洁的代码审查评论能促进开发者之间的沟通，并对正确理解已发现问题和建议解决方案具有关键作用。尽管CRC清晰度的重要性已被广泛认可，但目前仍缺乏关于良好清晰度构成要素及评估标准的指导原则。本文通过综合研究来理解和评估CRC的清晰度：首先基于文献综述和实践者调研，推导出与CRC清晰度相关的一组属性——RIE属性（即相关性、信息量和表达质量）及其对应评估标准；随后对九种编程语言开源项目中的CRC清晰度进行实证分析，发现其中较大比例（28.8%）的评论至少存在某一属性上的清晰度缺陷；最后，我们通过提出ClearCRC框架探索自动评估CRC清晰度的可行性。实验结果表明，基于预训练语言模型的ClearCRC能有效评估CRC清晰度，其平衡准确率最高达73.04%，F-1分数最高达94.61%。

链接：https://doi.org/10.1145/3728931

96、Unlocking Low Frequency Syscalls in Kernel Fuzzing with Dependency-Based RAG

大多数覆盖引导的内核模糊测试工具通过系统调用序列合成来测试操作系统内核。然而，在模糊测试过程中仍存在极少或未被覆盖的系统调用（称为低频系统调用，LFS），这意味着相关代码分支未被探索。这是由于LFS的复杂依赖性和突变不确定性，使得模糊测试工具难以生成相应的系统调用序列。由于许多内核模糊测试工具能够基于选择表机制从当前语料库中动态学习系统调用依赖关系，提供全面且高质量的种子有助于覆盖LFS。但构建此类种子严重依赖专家经验来解决系统调用依赖关系。  

本文提出SyzGPT，首个通过大语言模型（LLM）自动为LFS生成有效种子的内核模糊测试框架。我们采用基于依赖关系的检索增强生成（DRAG）方法释放LLM的潜力，并设计了一系列步骤提升生成种子的有效性。首先，SyzGPT通过LLM从现有文档中自动提取系统调用依赖关系；其次，基于依赖关系从模糊测试语料库中检索程序，为LLM构建自适应上下文；最后，通过反馈周期性生成并修复种子以丰富LFS的模糊测试语料库。我们提出了一套针对内核领域种子生成的新评估指标。实验表明，SyzGPT能生成有效率达87.84%的种子，并可扩展到离线和微调LLM。与七种最先进的内核模糊测试工具相比，SyzGPT平均将代码覆盖率提升17.73%，LFS覆盖率提升58.00%，漏洞检测能力提高323.22%。此外，SyzGPT独立发现了26个未知内核漏洞（其中10个与LFS相关），11个已获确认。

链接：https://doi.org/10.1145/3728913

97、Validating Network Protocol Parsers with Traceable RFC Document Interpretation

验证网络协议实现的正确性极具挑战性，主要存在预测基准缺失（oracle）和可追溯性两大难题。前者决定了何时应将协议实现判定为存在缺陷——尤其当错误未引发任何可观测症状时；后者则帮助开发者理解实现如何违反协议规范，从而促进错误修复。与现有研究很少同时考虑这两个问题不同，本文基于大语言模型（LLM）的最新进展，同时解决这两个问题并提供有效方案。我们的核心发现是：网络协议通常随结构化规范文档（即RFC文档）发布，这些文档可通过LLM系统性地转换为形式化的协议消息规范。此类规范虽可能因LLM幻觉存在误差，但可作为准预测基准来验证协议解析器，而验证结果又会逐步优化该基准。由于基准源自规范文档，我们在协议实现中发现的任何错误均可追溯至文档，从而解决可追溯性问题。我们使用九种网络协议及其C、Python和Go语言实现进行了广泛评估。结果表明：本方法优于现有最优技术，共检测出69个错误（其中36个已确认）。本项目还展示了基于自然语言规范实现全自动化软件验证的潜力——该过程因需理解规范文档并推导测试输入的预期输出，历来被认为主要依赖人工完成。

链接：https://doi.org/10.1145/3728955

98、VerLog: Enhancing Release Note Generation for Android Apps using Large Language Models

发布说明是向用户和开发者传达软件更新细节的重要文档，但其生成过程仍耗时且易出错。本文提出VerLog，一种利用大语言模型（LLM）增强软件发布说明生成的新技术。VerLog通过自适应提示的少样本上下文学习，激发LLM的图推理能力，使其能准确解读并记录代码变更的语义信息。此外，VerLog融合了多粒度信息（包括细粒度代码修改和高层非代码工件）以指导生成过程，确保发布说明具备全面性、准确性和可读性。我们将VerLog应用于248个独特Android应用的42个版本，并进行了广泛评估。结果表明，无论是在高质量参考发布说明的受控实验中，还是野外评估中，VerLog在生成发布说明的完整性、准确性、可读性及整体质量上均显著优于现有基线方法（精确率、召回率和F1值最高提升18%–21%）。

链接：https://doi.org/10.1145/3728961

99、Walls Have Ears: Demystifying Notification Listener Usage in Android Apps

Android系统中的通知监听服务（NLS）允许第三方应用监控和处理设备通知，虽能实现强大功能，但也带来安全与隐私风险。尽管访问NLS需特殊权限，其仍被恶意行为者反复利用。然而，目前缺乏对NLS使用模式及其安全影响的系统性研究。本文提出NLRadar——一种结合静态分析与大语言模型（LLM）的混合方法，用于检测Android应用中的NLS使用情况。我们将NLRadar应用于大规模应用（含恶意软件与常规应用），以揭示NLS使用模式并挖掘滥用行为。分析表明NLS存在严重滥用现象，包括应用不安全存储社交媒体消息、利用NLS进行破坏性竞争或窃取短信凭证，以及通过NLS传播推广信息甚至恶意链接等。研究还发现应用更新中存在未公开的NLS使用变更，且隐私政策披露不充分。这些发现表明，亟需加强对NLS使用的严格审查，并提升开发者对负责任NLS实践的认知。

链接：https://doi.org/10.1145/3728898

100、Wemby’s Web: Hunting for Memory Corruption in WebAssembly

WebAssembly通过原生代码实现了Web应用中性能关键模块的高速执行。然而最新研究表明，WebAssembly模块中的内存破坏错误可能被用于攻击Web应用。本文首次对WebAssembly内存破坏问题展开系统性分析，揭示了一种新型威胁模型的普遍存在：攻击者可通过内存破坏实现受害者浏览器端的代码注入。通过对37,797个域名的大规模分析，我们发现有29,411个（77.81%）域名完全信任来自潜在攻击者控制源的数据。攻击者可利用内存错误操纵WebAssembly内存——这些被隐式信任的数据常被传入敏感函数（如eval）或通过innerHTML直接插入DOM。因此，攻击者可滥用这种信任实现JavaScript代码执行，即跨站脚本攻击（XSS）。

针对该问题，我们提出首个整体分析WebAssembly网站的有效方案Wemby。通过模糊测试技术，Wemby能有效检测Web应用中远程暴露的内存破坏错误。我们实现了无需源码的WebAssembly插桩方案，提供细粒度的内存破坏检测能力。在实际应用中，Wemby成功发现了多个内存破坏漏洞（包括Zoom平台漏洞）。性能评估表明：Wemby相比现有WebAssembly模糊测试工具有显著提升，平均速度提高232倍，代码覆盖率增加46%。

链接：https://doi.org/10.1145/3728937

101、What Happened in This Pipeline? Diffing Build Logs with CiDiff

持续集成（CI）被开发者广泛用于确保软件项目的质量与可靠性。然而，诊断CI回归是一个繁琐的过程，需要人工分析冗长的构建日志。本文探索了文本差异分析如何辅助CI回归调试。由于现成的差异比对算法效果欠佳，我们提出了一种专为构建日志设计的差异化算法CiDiff。我们在包含17,906个CI回归案例的新数据集上，通过准确率研究、量化分析和用户调研，将CiDiff与多种基线方法进行对比。结果表明：在中等规模案例中，我们的算法可将需要检查的代码行数减少约60%，与当前主流的LCS差异算法相比具有合理开销。最终，在70%的回归案例中大多数参与者倾向于选择我们的算法，而LCS差异算法仅获得5%的偏好选择。

链接：https://doi.org/10.1145/3728966

102、Why Does My Transaction Fail? A First Look at Failed Transactions on the Solana Blockchain

Solana是一个新兴的区块链平台，以其高吞吐量和低交易成本著称，已成为去中心化金融（DeFi）、非同质化代币（NFT）及其他Web 3.0应用的首选基础设施。在Solana生态中，交易发起者通过提交多样化指令与各类智能合约交互，其中包括采用自动化做市商（AMM）机制的去中心化交易所（DEX），使用户无需中介即可直接在链上交易加密货币。尽管Solana具备高吞吐量和低成本优势，这些特性却使其面临机器人滥发交易以牟利的问题，导致交易失败和网络拥堵现象频发。  

现有研究主要集中于Solana区块链的性能评估（特别是可扩展性与交易吞吐量）以及智能合约安全性改进，而对失败交易的特征及影响尚缺乏深入探索。为此，我们基于涵盖7200万个区块中超过15亿笔失败交易的精选数据集，对Solana失败交易展开大规模实证研究。具体而言，我们首先从交易发起者、触发失败的程序和时间模式三个维度刻画失败交易特征，并将其与成功交易的区块位置和交易成本进行对比；随后根据错误日志中的报错信息对失败交易分类，并探究特定程序与交易发起者如何关联这些错误。  

我们发现：Solana交易失败率呈现日周期性波动，且与失败交易量呈强正相关，其中机器人交易失败率高达58.43%；失败交易错误日志中存在十类典型错误，因"价格/利润未满足"和"无效状态"导致的失败占比达67.18%；AMM在失败交易中主要遭遇"无效状态"错误，而DEX聚合器更易受"价格/利润未满足"错误影响；交易发起者中，机器人因高频交易和复杂合约交互面临更广泛的错误类型，普通用户则错误类型较为有限。基于研究结果，我们提出降低Solana交易失败率的实践建议，并展望未来研究方向。

链接：https://doi.org/10.1145/3728943

103、WildSync: Automated Fuzzing Harness Synthesis via Wild API Usage Recovery

模糊测试是高效测试软件的最实用技术之一。当对软件库API进行模糊测试时，高质量的测试套件至关重要，它能使模糊器以精确的调用序列和函数参数执行API。尽管开发人员通常依赖人工编写测试套件，但自动化生成方法正受到日益广泛的关注。现有研究因依赖基于编译器的分析或运行时执行轨迹（需要人工设置配置），在可扩展性和有效性方面存在局限。我们对多个活跃测试库的研究表明，大量被开源项目实际使用的导出API函数尚未被现有测试套件或单元测试覆盖。这些API函数缺乏测试会增加漏洞未被发现的风险，进而可能引发安全问题。为改善现有模糊测试方法的覆盖不足问题，我们提出一种创新方法：通过从真实应用场景中提取未测试函数的使用模式，基于轻量级抽象语法树分析技术从外部源代码中提取API使用规范，并将这些使用模式集成到现有测试套件中以构建覆盖未测试函数的新套件。我们实现了名为WildSync的原型系统，能够为OSS-Fuzz上的C/C++库自动生成测试套件。实验表明，WildSync成功为OSS-Fuzz中24个活跃测试库及3个可后续集成的主流库生成469个新测试套件，覆盖函数数量增加超过1.3千个，代码行数增加超过1.6万行，同时发现了7个此前未检测到的漏洞。

链接：https://doi.org/10.1145/3728918

104、You Name It, I Run It: An LLM Agent to Execute Tests of Arbitrary Projects

执行项目测试套件的能力在许多场景中至关重要，例如评估代码质量与覆盖率、验证开发者或自动化工具提交的代码变更、确保与依赖项的兼容性等。尽管其重要性显著，但在实践中执行项目测试套件常面临挑战，因为不同项目采用不同的编程语言、软件生态、构建系统、测试框架及其他工具。这些挑战使得创建一种适用于不同项目的可靠通用测试执行方法变得困难。本文提出ExecutionAgent，这是一种自动化技术，能够通过源代码为任意项目构建测试脚本并运行其测试用例。受人类开发者处理该任务方式的启发，我们的方法基于大型语言模型（LLM）构建自主代理，可自动执行命令并与主机系统交互。该代理通过元提示（meta-prompting）技术获取与目标项目相关的最新技术指南，并基于前序步骤的反馈迭代优化其执行流程。我们在评估中将ExecutionAgent应用于50个开源项目，这些项目涵盖14种编程语言及多种构建与测试工具。该方法成功执行了33/50项目的测试套件，且与基准测试套件执行结果的偏差仅为7.5%。相比现有最佳技术，该成果将成功率提升了6.6倍。该方法成本可控，单项目平均执行时间为74分钟，LLM调用成本仅为0.16美元。我们期望ExecutionAgent能成为开发者、自动化编程工具及研究人员的实用工具，助力跨多样项目的测试执行需求。

链接：https://doi.org/10.1145/3728922

105、ZTaint-Havoc: From Havoc Mode to Zero-Execution Fuzzing-Driven Taint Inference

模糊测试是一种流行的软件漏洞发现技术，其核心问题在于识别能影响程序行为的关键字节。污点分析能以白盒方式追踪关键字节的数据流，但常存在稳定性问题且无法在大型现实程序中运行。模糊驱动污点推断（FTI）是一种简单的黑盒技术，通过监控程序执行实例的动态行为，以黑盒方式推断关键字节。然而该方法需要额外O(N)次程序执行，导致较大运行时开销。  

我们观察到模糊测试中广泛使用的突变方案——havoc模式，可转化为零额外执行开销的轻量级FTI。本研究首先提出havoc模式的计算模型，形式化描述其突变过程。基于该模型，我们证明havoc模式能在生成和执行新测试用例的同时启动FTI，进而提出无需额外程序执行的ZTaint-Havoc新型FTI方案。ZTaint-Havoc在UniBench和FuzzBench上的插装开销仅分别为3.84%和12.58%。最后我们提出基于ZTaint-Havoc识别关键字节的高效突变算法。  

通过综合评估havoc模式的计算模型，我们验证了将其转化为零额外执行开销的高效FTI的可行性。基于AFL++的havoc模式实现原型ZTaint-Havoc，并在FuzzBench和UniBench数据集上进行评估。大量实验结果表明：在24小时测试中，ZTaint-Havoc相较原生AFL++在FuzzBench和UniBench上的边覆盖率最高提升33.71%和51.12%，平均提升分别为2.97%和6.12%。

链接：https://doi.org/10.1145/3728916

106、xFUZZ: A Flexible Framework for Fine-Grained, Runtime-Adaptive Fuzzing Strategy Composition

模糊测试是检测软件漏洞最高效的技术之一。现有方法在不同目标间存在性能不一致问题，且依赖于僵化的粗粒度模糊测试策略组合，限制了在运行时自适应融合不同模糊测试策略优势的灵活性。为解决这些挑战，我们提出了一个支持细粒度运行时自适应策略组合的灵活可扩展模糊测试框架。该框架将主流输入调度与变异调度策略集成为可独立切换的细粒度插件，使用户能在整个测试过程中自适应替换任意插件。此外，我们提出基于滑动窗口汤普森采样的自适应算法，在测试过程中动态选择最优的模糊测试策略组合。实验结果表明：该框架在独特漏洞发现数量上较最先进模糊测试工具提升10.07%，代码覆盖率提高4.94%。值得注意的是，其在测试套件37个漏洞中率先检测出21个，证明了其在多样化目标上的有效性。

链接：https://doi.org/10.1145/3728873

阅读原文

跳转微信打开

1、A Cloud Native Tool for Testing Automation in Kubernetes

在依赖微服务和基于Kubernetes容器编排的云原生环境中，高效测试至关重要。然而，Kubernetes基础设施的复杂性给测试人员带来了重大挑战。配置测试环境、管理并行测试执行以及确保资源隔离都需要深厚的Kubernetes专业知识，这使测试人员难以专注于验证应用逻辑。为解决此问题，我们推出K8STA（Kubernetes测试自动化工具），这是一款基于Golang的工具，旨在简化Kubernetes中的测试执行。通过利用自定义资源定义（CRD）、自定义资源（CR）和控制器等Kubernetes原生构件，K8STA实现了环境设置、测试执行和结果收集的自动化。它使测试人员能够高效运行测试用例，而无需承担复杂Kubernetes配置的管理负担。K8STA实现了无缝、可扩展且资源高效的工作流，确保测试人员可专注于应用程序质量而非基础设施管理。

论文链接：https://doi.org/10.1145/3713081.3731732

2、A Preliminary Study of Large Language Models for Multilingual Vulnerability Detection

基于深度学习的方法，尤其是利用预训练语言模型（PLM）的技术，在自动化软件漏洞检测领域展现出巨大潜力。然而现有方法大多局限于特定编程语言，制约了其在多语言环境中的适用性。大型语言模型（LLM）的最新进展提供了语言无关能力和增强的语义理解，为突破这一局限提供了可能。虽然现有研究已探索LLM在漏洞检测中的应用，但其在多语言漏洞检测中的性能表现仍未可知。为此，我们开展初步研究，评估了PLM与前沿LLM在七种主流编程语言中的检测效能。研究发现PLM模型CodeT5P在多语言漏洞检测中表现最优，尤其在识别最关键漏洞方面表现突出。基于这些发现，我们进一步探讨了LLM在推进现实世界多语言漏洞检测方面的潜力。本研究标志着探索PLM与LLM用于跨语言漏洞检测的初步尝试，为未来研究和实际部署提供了关键见解。

论文链接：https://doi.org/10.1145/3713081.3731746

3、ASTRAL: A Tool for the Automated Safety Testing of Large Language Models

本文介绍ASTRAL——一种自动化生成并执行测试输入（即提示）以评估大语言模型（LLM）安全性的工具。ASTRAL包含三个微服务模块：首先是测试生成器，其采用新颖的黑盒覆盖准则，跨多个安全类别与语言特征（如不同写作风格与说服技巧）创建平衡且多样化的不安全测试输入；该模块还融合了基于LLM的检索增强生成（RAG）、少样本提示策略及网络浏览技术，以生成与时俱进的测试输入。第二模块测试执行器负责在待测LLM上运行生成的测试输入。最终由测试评估器作为预言机分析执行输出，识别不安全响应，从而实现全自动化的LLM测试流程。

论文链接：https://doi.org/10.1145/3713081.3731733

4、Best practice for supply chain in LLM-assisted medical applications

大型语言模型在医疗领域的应用对于提升诊断准确性、改善医患沟通以及提高医疗效率至关重要。其处理海量数据、生成精准信息及实现任务自动化的能力，使LLM应用成为变革性工具。近期研究与实际案例表明，提供安全可靠的LLM辅助应用至关重要。本文旨在揭示LLM医疗应用供应链中的最佳软件实践。

论文链接：https://doi.org/10.1145/3713081.3731748

5、Bringing Invariant Analysis to modern IDEs: The DIG+ Extension for VS Code

程序不变量，即特定程序位置始终成立的属性，在形式化程序验证与分析中具有重要作用。基于动态和静态分析的传统不变量生成方法丰富而强大，支撑着广泛的应用场景。然而由于复杂的命令行界面和使用所需的技术专长，这些工具往往未能得到充分利用。

为弥合理论研究与实际应用之间的鸿沟，我们开发了DIG+系统。该系统通过采用现代IDE（如VS Code）中广泛使用的语言服务器协议设计，将DIG不变量生成器与CIVL符号执行工具相集成。这种集成使用户能够在其惯用的IDE环境中直接为C程序生成并验证不变量，显著提升了工具的可及性与易用性。我们期待DIG+能启发研究者为其研发工具开发类似的IDE集成方案，从而增强终端用户的使用意愿。

论文链接：https://doi.org/10.1145/3713081.3731737

6、BugsInDLLs : A Database of Reproducible Bugs in Deep Learning Libraries to Enable Systematic Evaluation of Testing Techniques

如今，人工智能应用已无处不在。以PyTorch和Tensorflow为代表的深度学习(DL)库，为这些应用的AI组件提供了基础构建模块。与任何软件一样，这些库也可能存在缺陷。尽管已有大量针对该问题的缺陷检测技术被提出，但由于缺乏经过系统整理的可复现DL库缺陷数据集，这些技术的可信评估始终面临挑战。为此，我们推出BugsInDLLs——一个精心构建的可复现缺陷数据库以填补这一空白。该领域存在独特挑战，例如需要安装特定CUDA版本的驱动程序才能复现某些GPU相关缺陷。目前我们的数据集包含112个可复现环境，涵盖三大主流DL库：JAX、TensorFlow和PyTorch。

论文链接：https://doi.org/10.1145/3713081.3731739

7、COOLer: A Language Support Extension for COOL in VS Code

COOL是一种面向对象的编程语言，广泛应用于本科生与研究生课程中的编译器设计教学。由于多数学生对该语言不熟悉，且代码编辑器和集成开发环境通常缺乏对COOL的支持，学生编写COOL代码及测试程序负担沉重，导致他们难以充分理解该语言及其编译器的诸多重要高级特性。本文提出COOLer——一个为流行VS Code IDE提供COOL语言支持的扩展工具。COOLer具备三大功能：(i) 通过词法分析与语法解析实现COOL语言的语法高亮；(ii) 提供语义感知的自动补全功能，帮助学生减少输入量并降低记忆陌生COOL语法规则的负担；(iii) 将底层COOL解释器/编译器的相关反馈（如错误信息和类型信息）直接集成至VS Code编辑器，助力调试过程。我们相信COOLer能让学生更享受编写COOL程序的过程，从而更有效地学习和理解高级编译器概念。

论文链接：https://doi.org/10.1145/3713081.3731729

8、Code2API: A Tool for Generating Reusable APIs from Stack Overflow Code Snippets

如今，开发者常借助Stack Overflow解决日常编程问题，但这些代码片段多为无法直接测试验证的局部代码。测试此类代码片段的一种有效方式是将它们转化为可供开发者直接调用的API（应用程序接口）。然而，由于需要执行多项差异化操作（例如概括合适的方法名称、推断参数列表和返回语句），人工完成这种转换（称为API化任务）往往成本高昂且易出错。为帮助开发者快速复用Stack Overflow代码片段，本文提出Code2API——一款基于大语言模型（LLMs）的谷歌浏览器扩展程序，可自动实现Stack Overflow代码片段的API化。Code2API通过精心设计的提示词引导LLMs生成可复用API，采用思维链推理和少样本上下文学习技术，使LLMs能够以类开发者思维方式理解并解决API化任务。评估结果表明，Code2API显著优于基于规则的方法，且优势明显。本工具全文已作为研究论文发表于FSE'24会议[11]。演示视频：https://youtu.be/RI-ZpBnNNwQ。演示网站：https://doi.org/10.6084/m9.figshare.24426961.v1。复现资料：https://github.com/qq804020866/Code2API。

论文链接：https://doi.org/10.1145/3713081.3731741

9、From Large Language Models to Adversarial Malware: How far are we

大型语言模型（LLM）在自然语言处理、网络威胁检测和自动化渗透测试等领域取得显著进展，正日益应用于实际场景。然而，该技术的快速发展也导致其可能被恶意利用，为网络空间安全带来新挑战。网络钓鱼攻击和虚假信息传播等领域已出现相关安全事件。但LLM在生成对抗性恶意软件方面的进展及潜在影响仍待深入探索。本研究系统分析了LLM生成对抗性恶意软件的规避能力：通过将思维链整合至马尔可夫过程，设计基于提示的状态转移函数与奖励机制，在包含2000余个真实恶意软件样本的数据集上评估其对主流静态检测方法的规避效能。实验结果显示，针对VirusTotal平台12款商业杀毒引擎的平均规避率达89.92%。研究表明，仅具备基础自然语言能力和有限技术知识的个体即可生成规避静态检测的恶意软件，这揭示了当前网络空间防御与检测系统在对抗性恶意软件应对方面存在的潜在脆弱性。

论文链接：https://doi.org/10.1145/3713081.3732928

10、FuseApplyBench: Multilingual Benchmark for Trustworthy Code Edit Applying Task

随着语言模型（LM）与大型语言模型（LLM）的兴起，其在代码编辑（CE）领域的潜力日益受到关注。当前主流方法是让LLM生成代码修改草案，再由较小规模的LM通过后续代码编辑应用（CEA）进行优化。然而CEA过程易出错，且现有基准测试未能系统评估LLM处理这类问题的性能。我们推出FuseApplyBench基准测试框架，专门评估LLM在CEA任务中应对三大主要错误类型的表现。基于该框架的流程，我们收集数据集进行微调以提升代码修改的可靠性（称为FuseApply）。我们在FuseApplyBench上测试了FuseApply、四种广泛使用的开源LLM以及Kortix-FastApply。结果表明FuseApply显著提升了可信度与准确性指标，而其他模型表现相对较弱，这为推进LLM在代码编辑领域的发展指明了改进空间。

论文链接：https://doi.org/10.1145/3713081.3732929

11、GoPV: A Static Analyzer for Finding Blocking Concurrency Bugs Due to Misuse of Shared-Memory Synchronization in Go

GoPV是一款专为检测Go语言中因共享内存同步原语误用而导致的阻塞式并发错误所设计的静态分析工具。该工具基于调用图与控制流图进行并发分析及（后）支配者分析，以识别Go程序中潜在的并发缺陷。实验结果表明，GoPV在八个基准测试程序中成功检测出所有与共享内存同步相关的阻塞式并发错误。此外，该工具在2.78小时内于21个大型Go应用中发现了17个此类缺陷，充分证明了其高效性与实用性。

论文链接：https://doi.org/10.1145/3713081.3731734

12、Hybrid Fuzzing of Infrastructure as Code Programs (Short Paper)

基础设施即代码（IaC）已成为现代云和系统部署的基石，实现了自动化且可重复的基础设施配置。然而，由于其复杂性和动态特性，确保IaC程序的正确性仍然具有挑战性。特别是，IaC程序可能根据其所管理资源的状态表现出不同行为。由于这些资源部署在外部提供商上，考虑其可能状态十分困难，这使得测试阶段尤为棘手。本文提出HIT——一种创新的IaC程序单元测试框架，能利用相关资源状态有效测试IaC代码。HIT结合了模糊测试和符号执行这两种对IaC代码而言有效但此前未被探索的技术。实验证实，HIT相比现有最先进方法实现了更高的代码覆盖率。

论文链接：https://doi.org/10.1145/3713081.3731721

13、InfraFix: Technology-Agnostic Repair of Infrastructure as Code

基础设施即代码（IaC）实现了可扩展的自动化IT基础设施管理，但容易产生可能导致安全漏洞、服务中断和数据丢失的错误。尽管现有研究主要关注IaC问题检测，但由于缺乏合适的规范，自动化程序修复（APR）领域仍待深入探索。本研究提出InfraFix——首个与技术栈无关的IaC脚本修复框架。与现有方法不同，InfraFix支持基于多样化信息源引导APR技术。此外，我们创新性地提出了修复场景生成方法，实现了IaC领域APR技术的大规模评估。通过采用基于SMT的修复模块和利用系统调用的状态推断模块，我们在254,288个修复场景中验证了InfraFix的有效性，成功率高达95.7%。本研究通过InfraFix为研究人员提供了探索新型状态推断与修复技术的实验平台，并借助我们的修复场景生成方法实现大规模评估，为推进IaC领域的APR研究奠定了坚实基础。

论文链接：https://doi.org/10.1145/3713081.3731735

14、Kitten: A Simple Yet Effective Baseline for Evaluating LLM-Based Compiler Testing Techniques

编译器测试对于提升编译器正确性至关重要且不可或缺。随着大语言模型（LLM）技术的快速发展，基于LLM的编译器测试技术（如Fuzz4All）已展现出巨大潜力：既能有效发现各类编译器中的真实缺陷，又降低了设计程序生成器所需的工程开销。鉴于LLM技术的持续演进以及新型LLM方法的不断涌现，建立稳健的基准测试体系对于严格评估并推动这一前景广阔的研究方向具有重要意义。

为此，我们推出Kitten——一种基于变异且与语言无关的程序生成器。Kitten采用种子程序语料库（类似于LLM的训练集），并利用目标语言的语法规范（相当于LLM学习的知识）。其变异操作符能够生成多样化的测试程序，这种特性类似于LLM推理生成新代码的能力。

评估结果表明：使用现有编译器测试套件作为种子程序时，Kitten在代码覆盖率和缺陷检测能力方面均优于Fuzz4All。在24小时测试周期内，Kitten对GCC、LLVM和Rustc的覆盖率分别比Fuzz4All高出48.3%、9.9%和33.8%，同时在三次运行中平均分别发现19.3、20.3和15.7个缺陷。在为期九个月的Kitten开发测试过程中，我们在GCC、LLVM、Rustc、Solc、JerryScript、scalac和slang编译器中累计发现328个缺陷，其中310个已获确认或修复。我们坚信Kitten能作为有效的基准测试工具，帮助识别现有LLM方法的局限性，进而推动这一重要研究领域的发展。

论文链接：https://doi.org/10.1145/3713081.3731731

15、Large Language Model Supply Chain: Open Problems From the Security Perspective

大型语言模型(LLM)正在改变软件开发范式，并已获得学术界和工业界的极大关注。研究人员与开发者共同探索如何利用LLM强大的问题解决能力处理特定领域任务。随着基于LLM的应用(如ChatGPT)广泛普及，已有多个研究致力于保障LLM系统的安全性。全面理解LLM系统构建全过程(即LLM供应链)至关重要，但相关研究仍十分有限。更重要的是，LLM供应链中潜藏的安全问题可能严重影响LLM的可靠使用，这方面尚未得到充分探索。现有研究主要聚焦于从模型层面保证LLM质量，却忽视了整个LLM供应链的安全保障。本研究首次系统探讨LLM供应链各组件及组件间集成可能存在的安全风险，总结出12类安全风险并提供建设性指导以构建更安全的LLM系统。我们期待这项工作能推动构建安全的LLM生态系统，促进通用人工智能的发展进程。

论文链接：https://doi.org/10.1145/3713081.3731747

16、LiPSBOMaker: A Prototype of Multi-Stage Linux Distribution Package SBOM Generator

现代软件开发常依赖第三方库和框架以提升效率并降低成本，这催生了软件供应链的形成，并使其潜在风险日益凸显。为增强软件供应链的可追溯性与透明度并降低相关风险，软件物料清单（SBOM）概念应运而生。尽管在编程语言生态系统中已有大量关于SBOM的研究，但针对Linux发行版的研究仍相对有限。鉴于Linux发行版的基础性作用与固有复杂性，为其生成高质量的SBOM既至关重要又充满挑战。为此，本文开展了两阶段研究：1）分析Linux发行版软件包特性，提出多阶段SBOM模型；2）基于该模型设计并实现了面向Linux发行版软件包的SBOM生成工具。评估结果表明，本方法优于当前最先进的SBOM生成工具。

论文链接：https://doi.org/10.1145/3713081.3731738

17、MQueez: Specification-Driven Fuzzing for MQTT Broker (Registered Report)

近年来，MQTT协议因其轻量级特性成为物联网通信的首选方案。然而，负责消息路由的核心组件——MQTT代理服务器——存在内存破坏漏洞，构成重大安全风险。尽管已有模糊测试工具被提出用于发现代理服务器的内存破坏问题，但其有效性受限于两大根本性缺陷：其一，现有模糊器难以在生成有效测试用例时满足MQTT协议的复杂约束条件；其二，该协议在不同数据包间存在大量字段变异，导致传统黑盒模糊器无法优先处理高风险字段，只能进行盲目变异。

为解决这些挑战，我们提出交互约束模型（ICM），能够精细表征MQTT协议约束。通过遍历ICM生成符合约束的测试用例，确保交互行为合规性，覆盖复杂场景并最大限度减少异常连接中断。此外，我们设计了一种启发式变异能量分配策略，通过实时解析响应动态调整能量分配，将资源集中于更易产生缺陷的字段。最终实现原型系统MQueez——一个支持MQTT协议建模的高效代理服务器模糊测试框架。

我们在六款广泛使用的MQTT代理服务器上评估MQueez，并与最先进的模糊测试工具进行对比。结果表明：MQueez生成的测试用例中合规交互比例提升30.88%，成功发现5个新漏洞，复现超过150%其他模糊器无法检测的已知缺陷。

论文链接：https://doi.org/10.1145/3713081.3731724

18、On Benchmarking Code LLMs for Android Malware Analysis

大型语言模型（LLM）在各类代码智能任务中展现出强大能力，然而其在安卓恶意软件分析领域的有效性仍待深入探索。反编译后的安卓恶意代码具有独特的分析挑战：恶意逻辑通常隐藏在大量函数中，且函数命名往往缺乏有效语义信息。本文提出Cama基准框架，旨在系统化评估代码大语言模型在安卓恶意软件分析中的效能。该框架通过结构化输出规范支持关键分析任务，包括恶意函数识别与恶意软件目的摘要，并在此基础上整合了三个领域特定的评估指标——一致性、忠实度与语义相关性，从而实现严谨的稳定性评估、效能验证及跨模型性能对比。我们构建了包含近年收集的13个家族118个安卓恶意软件样本的基准数据集，涵盖超过750万个独立函数，并利用Cama对四种主流开源代码大语言模型进行评估。实验揭示了代码大语言模型解析反编译代码的内在机制，量化了其对函数重命名的敏感性，既凸显了该类模型在恶意软件分析中的潜力，也明确了其当前局限性。

论文链接：https://doi.org/10.1145/3713081.3731745

19、On the Applicability of Benford’s Law to Detect Saturation in Fuzzing (Registered Report)

了解模糊测试活动何时达到饱和对实践者至关重要，这有助于在给定资源内避免不必要的冗长测试活动，同时又不遗漏错误。然而，现有确定饱和点的方法依赖于覆盖率测量，而这些方法往往容易出错且不可靠。本文提出了一种基于本福德定律的新颖方法来检测模糊测试中的饱和状态，该定律描述了自然产生数字的特征。具体而言，我们假设当模糊测试器达到饱和时，测试过程中重复出现的数字（如变异字节数）应呈现由本福德定律规定的特定数值模式，从而使模糊测试过程减少偏差（因而更趋自然）。关键观察在于：灰盒模糊测试器在达到饱和时会像随机黑盒测试一样减少偏差，因为此时将没有种子需要优先处理。我们旨在使用最先进的模糊测试工具AFL++对29个真实世界程序进行假设验证，并通过实验证明本福德定律可用于检测模糊测试饱和状态。

论文链接：https://doi.org/10.1145/3713081.3731723

20、On the Brittleness of Legacy Web UI Testing: A Pragmatic Perspective

自动化Web界面测试旨在解决手动测试劳动密集且耗时的问题。尽管其重要性显著，但诸多障碍阻碍了端到端Web界面测试的持续自动化：脆弱的遗留测试用例、次优的自动化框架，以及不适用于有效界面测试的Web应用设计。虽然大量研究探讨这些挑战，但多数从实践视角忽视了脆弱性的根本成因。本论文首先通过考察真实Web应用的测试脆弱性重新评估这些成因，并以此为基础扩展现有框架以减少不实用自动化框架导致的测试不稳定性。我们还通过以自然语言作为中介实现测试用例与Web应用的解耦，从而革新传统Web界面测试模式。最后提出一个实践导向的基准测试框架，引导研究方向转向更贴近实际的Web应用场景。通过这些研究，我们力图揭示当前面临的挑战，并推动在界面测试领域树立更注重实效的研究视角。

论文链接：https://doi.org/10.1145/3713081.3731742

21、Patch the Leak: Strengthening CodeLLMs Against Privacy Extraction Threats

代码大语言模型（CodeLLMs）倾向于记忆训练数据，并在特定提示下重构个人信息（PI）。尽管基础大语言模型已应用隐私匿名化方法去除个人信息，但先前使用最先进的PI提取攻击（如CODEBREAKER和CodexLeaks）对多个开源及商业CodeLLMs的实验表明，此类信息无法被完全消除。此外，我们发现商业模型的泄漏率显著低于开源模型（约低20%），推测这与更强的模型对齐能力相关。针对目前缺乏有效防御PI提取手段的问题，我们将PI泄漏视为一种错位形式，提出受对抗学习启发的创新框架PI-ALIGN。该框架将CodeLLMs与CODEBREAKER攻击框架配对作为对抗双模型，并利用优化的GRPO（群体相对策略优化）过程在微调阶段重新对齐模型。通过让模型与CODEBREAKER进行对抗训练，该方法有望增强模型抵御PI提取攻击的鲁棒性。我们还设计了系统性的实验评估框架以验证PI-ALIGN的有效性，旨在为防御CodeLLMs的PI提取攻击提供新思路。

论文链接：https://doi.org/10.1145/3713081.3732931

22、PatchScope – A Modular Tool for Annotating and Analyzing Contributions

PatchScope是一种通过自动代码注释分析软件贡献的模块化框架，其洞察力超越传统度量标准。该框架核心采用灵活的自动代码注释器，基于可定制规则对源代码行进行标注，将变更分类为文档、测试或代码更新等类别。利用这些注释，PatchScope生成包含可操作见解的报告，供团队评估和专业能力识别。该工具可应用于注释自动化、缺陷定位、补丁数据集分析和项目监控，是为研究人员、项目经理和开发者设计的通用工具，优先考虑灵活性和易用性。

论文链接：https://doi.org/10.1145/3713081.3731727

23、Personalized Fuzzing: A Case Study with the FANDANGO Fuzzer on a GNSS Module (Short Paper)

模糊测试是一种广泛应用于发现软件系统漏洞的技术，但传统模糊测试工具往往难以针对复杂输入格式生成有效且具有意义的测试用例。基于语法的模糊测试工具通过确保语法正确性来解决这一问题，但它们通常缺乏对生成输入的细粒度控制以触发特定行为。本文展示了FANDANGO这一先进基于语法的模糊测试工具的灵活性与有效性，该工具结合约束求解技术，既能生成100%有效的输入，又能引导生成过程朝向目标边缘用例。以全球导航卫星系统（GNSS）模块为案例研究，我们展示了FANDANGO如何通过约束条件指定来探索模块行为。实验结果表明FANDANGO能够生成针对性测试用例以暴露潜在缺陷。本研究进一步验证了约束引导的语法模糊测试在安全测试与可靠性分析中的实际适用性。

论文链接：https://doi.org/10.1145/3713081.3731722

24、ReGraph: A Tool for Binary Similarity Identification

二进制代码相似性检测（BCSD）不仅在漏洞识别等安全任务中至关重要，对于代码复制检测同样具有重要意义，然而由于二进制剥离和多样化的编译环境，这项技术仍面临巨大挑战。现有方法往往采用日益复杂的神经网络以提升准确率，但计算时间随复杂度同步增长。即便使用高性能GPU，处理大规模软件仍耗时严重。为解决这些问题，我们提出了名为ReGraph的框架，能够高效跨架构和优化级别比较二进制代码函数。通过公开数据集评估表明，ReGraph具有显著的速度优势——比基于自然语言处理（NLP）的方法快700倍，同时在准确率方面与最先进模型保持相当水准。

论文链接：https://doi.org/10.1145/3713081.3731728

25、Reversing Programs for Error Reachability Analysis

可达性分析是软件验证中的一个核心问题，用于判断程序中的错误位置是否可以从初始状态到达。虽然标准技术通常采用前向分析方式，但在某些情况下，从错误位置向后进行可达性分析可能更为高效。本研究提出了一种C程序逆向分析技术，使得现有的前向可达性分析方法能够有效逆向遍历原始程序。该技术将实现为独立工具，可轻松集成至现有验证工具的工作流程中。

论文链接：https://doi.org/10.1145/3713081.3731743

26、Revisiting the Combination of Static Analysis Error Traces and Dynamic Symbolic Execution: A Potential Approach for True Positive Confirmation (Registered Report)

静态分析是一种成熟的程序缺陷检测与软件安全保障方法。然而，由于消除误报需要耗费大量时间，开发人员往往不愿在生产环境中使用静态分析工具。目前缺乏有效技术来验证静态分析器的报告。本文复现并扩展了Busse等人的研究，他们设计并评估了一种利用动态符号执行（DSE）自动化确认静态分析潜在缺陷报告以消除误报的技术。我们的复现研究表明，静态分析报告生成的追踪信息仍具有指导DSE确认缺陷的价值。经过细微改进后，我们发现该技术性能显著提升，并进一步研究了误报和不准确信息对性能的影响。我们还通过采用包含非平凡注入缺陷且兼容静态分析与DSE的软件验证基准集（SV-benchmarks）扩展了该任务的基准测试。我们的目标是展示并理解结合静态分析与符号执行技术，在加速真阳性确认和误报消除方面的潜力。

论文链接：https://doi.org/10.1145/3713081.3731720

27、Shepherd: High-Precision Coverage Inference for Response-guided Blackbox Fuzzing (Registered Report)

近年来，模糊测试作为早期漏洞检测的主要手段备受关注。尽管基于覆盖率的灰盒模糊测试利用内部覆盖信息实现了高探索效率，但在某些无法对程序进行插桩的受限环境（如固件或智能手机应用程序）中，部署该框架仍存在困难。相比之下，黑盒模糊测试无需运行时信息，因而具有更广泛的适用性，但由于无法测量覆盖率，其效率较低。针对这一问题，业界日益需要能在黑盒环境中近似估算覆盖率以优化模糊测试的方法。现有研究提出通过分析程序响应与其二进制文件中嵌入字符串的关联性来估算覆盖率，但该方法面临匹配算法模糊性以及单个字符串被多个基本块共享导致的非唯一性问题，从而频繁产生误估。本研究提出新型覆盖率推断方法Shepherd，通过结合高精度字符串匹配与上下文分析来解决这些问题。实验结果表明，与现有方法相比，Shepherd显著提升了估计准确性。

论文链接：https://doi.org/10.1145/3713081.3731719

28、TBFV4J: An Automated Testing-Based Formal Verification Tool for Java

为了检验程序是否满足其规格说明，基于规格的测试仅能揭示错误而无法严格证明程序中不存在缺陷。尽管形式化验证能够针对程序相对于相应规格说明的功能正确性提供严格证明，但该方法通常需要大量人工专业知识来推导循环不变量以完成自动化验证。基于测试的形式化验证（TBFV）通过整合基于规格的测试与形式化验证，实现了无需推导循环不变量即可自动化验证程序是否符合规格说明的方法。本文实现了TBFV4J工具，该工具支持对Java程序进行TBFV验证——用户只需输入包含Java代码的功能场景，工具即可自动执行测试与验证。

论文链接：https://doi.org/10.1145/3713081.3731740

29、Teaching Software Testing and Debugging with the Serious Game Sojourner under Sabotage

软件测试与调试常被视为枯燥的任务，这使得教学效果难以提升。我们推出《蓄意破坏中的旅者》——一款基于浏览器的严肃游戏，通过互动性强、叙事驱动的挑战提升学习效果。玩家扮演飞船船员，运用单元测试与调试技术修复遭蓄意破坏的组件。该游戏依托真实测试框架JUnit提供实践体验，有效提升学生的参与度、测试覆盖率及调试技能。

论文链接：https://doi.org/10.1145/3713081.3731730

30、TestFlow: Advancing Mobile UI Testing through Multi-Step Reinforcement Learning

GUI智能体在移动用户界面测试中展现出广阔的应用前景。然而面对复杂测试任务时，由于采用逐步操作的贪婪策略，现有UI智能体常因错误累积和长程依赖缺失而失效。为突破这些局限，我们提出TestFlow——一种融合监督微调与任务感知强化学习框架的新型多模态UI测试模型。该方案采用两阶段训练管道，专门针对长程指令遵循和复杂任务完成进行优化。我们还开发了定制化奖励函数，通过整合过程奖励与结果奖励来提升多步骤任务的完成率。实验结果表明，TestFlow显著超越基线方法，在跨页面测试场景中分别实现33.69%的WTSR和55.37%的SSR指标。这些改进凸显了TestFlow在应对现代移动应用测试挑战方面的实用价值，特别是在需要高适应性与可靠性的工业级应用场景中。

论文链接：https://doi.org/10.1145/3713081.3732930

31、Towards Fuzzing Zero-Knowledge Proof Circuits (Short Paper)

零知识证明（ZKPs）已从理论密码学概念发展为强大工具，可在无需信任假设的前提下实现隐私保护与可验证应用。尽管该领域取得重大进展，但通过ZKP电路实现和使用ZKPs仍存在挑战，导致实践中出现大量影响ZKP电路的缺陷，而模糊测试作为检测ZKP电路缺陷的方法仍基本处于探索空白。我们探讨了将模糊测试应用于ZKP电路的特殊挑战，分析了预言机问题及其潜在解决方案，并提出了输入生成与测试框架构建技术。通过为zk-regex（现代ZKP应用核心库）实现模糊测试器，我们证实该方法在此领域的有效性。案例研究中发现的13个新缺陷已获开发者确认。

论文链接：https://doi.org/10.1145/3713081.3731718

32、Towards Source Mapping for Zero-Knowledge Smart Contracts: Design and Preliminary Evaluation

由于zkSolc等编译器缺乏源映射功能，调试和审计零知识兼容智能合约仍面临重大挑战。本研究提出了一种初步的源映射框架，在zkSolc编译流水线中建立了Solidity源代码、LLVM中间表示与zkEVM字节码之间的可追溯关联。我们的方法解决了零知识编译过程中非线性变换和证明友好优化带来的可追溯性难题。

为提升映射可靠性，我们引入了基于静态分析和结构验证的轻量级一致性检查。通过对50个基准合约和500个真实zkSync合约数据集的评估，该框架对标准Solidity结构的映射准确率达到约97.2%。在行内汇编和深层继承层次等复杂场景中会出现预期局限性。实测编译开销保持在约8.6%的适度水平。

初步结果表明，零知识编译流水线支持源映射具有可行性，并能有效改善调试、审计和开发工作流程。本研究希望为后续研究和工具开发奠定基础，从而提升zk-Rollup环境下的开发者体验。

论文链接：https://doi.org/10.1145/3713081.3732932

33、Trailblazer: Practical End-to-end Web API Fuzzing (Registered Report)

自动测试Web API面临两大关键挑战：(a)确定API请求发送目标；(b)构建有效请求负载。当存在机器可解析的API规范（如OpenAPI规范）时，这两个挑战有时能得到解决。但多数Web应用缺乏此类规范，导致自动化测试困难。

我们通过推出Trailblazer应对这两大挑战——这是一个实用的端到端工作流，无论是否存在API规范均可测试Web API。Trailblazer的运行机制包括：(1)捕获Web应用客户端在正常交互过程中发起的API请求；(2)利用收集的数据识别端点并推断请求负载结构；(3)生成新的测试负载。据我们所知，Trailblazer是首个在Web API测试中结合基于生成和基于变异的模糊测试技术的方法。

通过对热门开源内容管理系统进行评估，我们发现Trailblazer实现的代码覆盖率与使用官方OpenAPI规范所获覆盖率相当。该系统在测试过程中发现了七个独特的新漏洞，其中两个已被修复，四个获得官方确认。

论文链接：https://doi.org/10.1145/3713081.3731717

34、When Performance Failure Occurs in Low-Latency Storage Systems: Observation, Prediction, and Solutions

硬件技术的飞速发展使得软件成为I/O性能的新瓶颈。在低延迟存储系统中，即使采用最先进的硬件，性能故障仍不可避免。本文研究了低延迟硬件环境下此类性能故障对软件栈的影响，提出了一种利用预测技术来预判并缓解硬件故障所致性能下降的创新方法。我们的方法在第九十五和九十九百分位处展现出显著改进，揭示了在实际应用中实现重大优化的潜力。通过细致观察与分析，我们旨在为提升低延迟存储系统中系统软件性能的鲁棒性与可靠性，提供理论洞见和实用解决方案。

论文链接：https://doi.org/10.1145/3713081.3731744

35、XAVIER: Grammar-Based Testing for XML Injection Attacks

Web服务是在线交互的核心，支撑着银行交易与购物等关键任务，但其重要性也使其成为攻击的主要目标。攻击者试图通过注入恶意代码来操纵数据，可能危及系统安全。当前防御此类攻击的方法采用攻击语法、符号执行或机器学习等技术来检测漏洞，或手动嵌入恶意负载，但这些方法可能遗漏待测服务的部分功能。本文提出XAVIER框架，专门用于检测XML注入漏洞。该框架通过利用Web服务的WSDL规范，构造反映服务功能的XML消息，从而全面检测Web服务中的XMLi漏洞。实验结果表明，XAVIER的性能与业界领先工具SOAPUI PRO相当甚至更优。相较于SOAPUI PRO，XAVIER具备开源和可扩展特性，为未来该领域研究提供了平台支持。

论文链接：https://doi.org/10.1145/3713081.3731736

阅读原文

跳转微信打开

昨天 manus创造人在博客上发表文章谈如何构造上下文工程，原文：https://manus.im/blog/Context-Engineering-for-AI-Agents-Lessons-from-Building-Manus，注意国内可能无法访问。

总结起来共7条经验：

01  我们为什么放弃「端到端微调」

7 年前，做 NLP 只有一条路：拿 BERT 微调。迭代一周期的单位是 周，PMF 根本追不上。

GPT-3 之后，一切都变了——上下文学习让模型在 prompt 里就能学会新任务。

Manus 的决定：不做模型，做船；不做柱子，做帆。

把宝押在「上下文工程」上，1 小时就能上线改进，永远跟着模型一起涨潮。

02  围绕 KV-Cache 进行设计

KV-Cache 命中率=效率+成本。

具有相同前缀的上下文可以利用 KV 缓存，从而显著降低首 token 延迟（TTFT）和推理成本。

💰以Claude Sonnet 为例，未命中 cache 的 token 要贵 10 倍（3 /MTok vs 0.3/MTok）。

1️⃣ Prompt 前缀保持稳定：哪怕只改 1 个 token，后面缓存都可能失效。

2️⃣ 追加式上下文：永远不回头改历史；JSON key 顺序要固定。

3️⃣ 手动打 Cache 断点：系统 prompt 结束后立即插入断点，防止过期。

03 通过掩码限制工具调用，而非删除工具

工具一多，Agent 就变傻。

❌ 动态增删工具 → KV-Cache 全碎、模型懵逼。

✅ 用 token logits 掩码不合适的工具：Auto：可调用也可不调用

Required：必须调用，但函数任选

Specified：只许调用指定函数

💡 小技巧：给同类工具加统一前缀（ browser_* 、 shell_* ），mask 时直接按前缀过滤。

04  文件系统 = 无限外脑

128 K上下文窗口真用来跑任务可能还是不够用。

✅Manus 的做法：把文件系统当外部记忆可逆压缩：网页正文可丢弃，URL 必须留；PDF 内容可省略，路径必须留。Agent 自己读写 todo.md、scratchpad.txt，实现真正的「自我反思」。

🧠 脑洞：如果 State Space Model 也能玩好文件记忆，也许能接棒 Transformer 成为下一代 Neural Turing Machine。

05  用「复述」操纵注意力

manus解决复杂任务平均需要50 步，模型容易「走丢」。

✅Manus 的「土办法」：每做完一步，把 todo.md 拿出来改一行，这相当于把全局目标持续复读到最新上下文，天然抵抗中途丢失「lost in the middle」。

06  把错误留在现场

Agent 一定会犯错。

❌ 把报错信息偷偷吃掉 → 模型永远无法学习。

✅ 让错误留在上下文里，模型下次看到 stack trace 就会自动降低踩坑概率。错误恢复能力才是 agentic behavior 的试金石，可惜大多数 benchmark 都不测这一项。

07  警惕「少样本陷阱」

❌Few-shot 用多了，模型直接「抄作业」——节奏一模一样，遇到新情况直接翻车。

✅主动加入受控噪声：换句式、调顺序、轻微格式差异。让上下文足够「多元」，避免把 Agent 训练成复读机。

阅读原文

跳转微信打开

早上5点就起来读书了，看完《论语别裁》里仁篇，还学了下波动方程和傅立叶变换，大早上学习效率就是高。

这几天也关注到头条的Trae Agent开源了，因此读了下源码，重点想知道它是如何分析全仓库代码的，毕竟全代码当prompt输入也不现实，LLM有长度限制，就算没限制也会看了后面，忘了前面。还有一个问题是如何解决复杂问题，怎么拆分复杂任务，又如何确保多个子任务的完成，如何边观察边修正错误的。

Trae Agent代码不多，其实重点就在工具调用，关键就是Bashtool与SequentialThinkingTool。

• 如何理解仓库级代码？

先来看第一个问题。这主要还是通过LLM调用bash工具来搜索代码，定位问题相关代码来理解的。不过没看到有安全限制，默认直接执行，要是LLM抽风，来个`rm -rf /` 就有得玩了。

通过bash工具来搜索代码过于粗糙了，因为会把符号定义与使用都搜索出来，而很多时候我们更需要的是获取符号的定义代码，因此会造成输出信息的干扰。这种方式简单且通用，就是搜索结果作二次筛选。

其实有更好的其它方案，有兴趣的可以去了解下LSP(Language Server Protocol）。

• 如何解决复杂问题？

重点就于SequentialThinkingTool，它能实现更长链的思考，特别适合复杂问题的解决。传统的思维链虽能拆分任务，但对于复杂问题，需要很多步骤来解决的，经常是走个2，3步就收工，很难长链思考与执行，而且还无法观测与修正，除非你用多agent协同解决。

sequential_thinking 是一个可反复调用的结构化思考脚手架。
- 每一次调用 = 一条“思维记录”(thought)。
- 参数：当前 thought 内容、第几条、总条数、是否还需要下一条。
与一次性输出整条 CoT 不同，它把思考过程切成可观察、可回溯、可干预的小段，从而更容易在 10-20 步内保持逻辑一致。

假设code_analyze_agent允许调用该工具SequentialThinkingTool来分析代码，解决项目bug并修复，那其交互流程可能如下：

用户
└─► code_analyze_agent：issue 描述
└─► sequential_thinking(1/5)
└─► bash: find . -name "*.py" | xargs grep "KeyError"
└─► sequential_thinking(2/5)
└─► bash: python repro.py → 得到 Traceback
└─► sequential_thinking(3/5)
└─► 得出“root cause 是 dict.pop 的默认值缺失”
└─► sequential_thinking(4/5)
└─► str_replace_based_edit_tool：修改 src/foo.py
└─► sequential_thinking(5/5)
└─► bash: pytest tests/ → 全部通过
└─► task_done() → 向用户提交报告

详细示例对话

Agent 系统提示（来自 Trae-Agent）

You can call sequential_thinking as much as you need.  
Set totalThoughts ≥ 5. You may run bash commands between thoughts.

Step 1 – 理解问题

sequential_thinking(
  thought="用户说：‘运行 flask app 时报 KeyError: "missing_config_key"’。我需要先弄清楚缺的是哪个 key。",
  thoughtNumber=1,
  totalThoughts=6,
  nextThoughtNeeded=true
)

Step 2 – 收集证据

bash: grep -R "missing_config_key" .
# 输出：config/default.py:21:  raise KeyError("missing_config_key")

Step 3 – 复现

bash: python -m pytest tests/test_config.py::test_default -v
# 输出：FAILED KeyError: "missing_config_key"

Step 4 – 诊断

sequential_thinking(
  thought="问题根源：代码尝试从 os.environ.pop('MISSING_CONFIG_KEY') 读取但无默认值。我应该给它一个缺省值。",
  thoughtNumber=4,
  totalThoughts=6,
  nextThoughtNeeded=true
)

Step 5 – 修改

str_replace_based_edit_tool(
  file="config/default.py",
  old_str="value = os.environ.pop('MISSING_CONFIG_KEY')",
  new_str="value = os.environ.pop('MISSING_CONFIG_KEY', 'dev-default')"
)

Step 6 – 验证

bash: pytest tests/test_config.py -q
# 输出：1 passed
sequential_thinking(
  thought="测试通过，边缘情况也已覆盖；可以结束任务。",
  thoughtNumber=6,
  totalThoughts=6,
  nextThoughtNeeded=false
)
task_done()

序列思考与思维链的对比

一句话总结
sequential_thinking 把 LLM 的“黑盒长链思考”拆成了可观测、可调试、可脚本化的若干小步；code_analyze_agent 通过“思考→工具→结果→再思考”的循环，像人类工程师一样步步为营地解决复杂问题。

阅读原文

跳转微信打开

很多论文在computer.org上尚未免费开放，不过在arxiv上大多都搜索到，我查找10多篇自己感兴趣的论

很多论文在computer.org上尚未免费开放，不过在arxiv上大多都搜索到，我查找10多篇自己感兴趣的论文，只有2篇没找到，因此大家可以直接google论文标题来下载。

1、"Get Me In The Groove": A Mixed Methods Study on Supporting ADHD Professional Programmers

理解程序员多样化的协作方式有助于构建包容性工作环境，使所有软件工程师都能充分发挥潜力。据统计，约10.6%的程序员患有注意力缺陷多动障碍（ADHD），这种症状以注意力与工作记忆的差异性为特征。现有研究仅初步探索了ADHD对软件开发的影响，发现支持不足可能损害团队生产力与职业发展，导致软件行业难以获益于ADHD相关的优势能力。为深入探究这些影响，我们开展了两阶段混合方法研究：首先定性分析ADHD程序员社区最大公开论坛r/ADHD_Programmers的99条主题帖（含1,658条发帖与评论），构建出ADHD程序员如何运用个人策略与组织调适来应对软件开发特定挑战的映射框架；随后对239名ADHD与254名非ADHD职业程序员展开大规模调查，验证定性结论在全球开发者群体中的普适性。结果显示，ADHD程序员遭遇各类挑战的频率是神经典型程序员的1.8至4.4倍，尤其在时间管理与系统设计方面表现显著。本研究为构建包容高效的软件工作场所工具与政策提供了依据，并推动学界进一步关注ADHD程序员的职业体验研究。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a778/251mHI7YZy0

2、3DGen: AI-Assisted Generation of Provably Correct Binary Format Parsers

对攻击者可控输入的解析不当是软件安全漏洞的主要来源，尤其在程序员将RFC文档中的非正式格式描述转录为底层内存不安全语言中的高效解析逻辑时。多位研究者提出过可从数据格式生成高效代码的形式化规范语言，但将非正式需求提炼为形式化规范具有挑战性，且新形式化语言的学习使用门槛较高。本研究提出3DGen框架，利用AI智能体将混合非正式输入（包括自然语言文档如RFC和示例输入）转换为名为3D的格式规范语言。为帮助人类理解并信任生成的规范，3DGen采用符号化方法合成可通过外部验证的测试输入，其符号化测试生成还能区分多个合理解决方案。通过迭代优化过程，3DGen最终生成符合测试集的3D规范，并输出可验证正确性的高效安全C语言解析代码。我们在20种互联网标准格式上评估3DGen，证明AI智能体具备生成非平凡规模形式化验证C代码的潜力。其中关键是通过领域特定语言将AI输出限制在可自动化符号化分析的范围内。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a710/251mH0zpk2c

3、A Catalog of Micro Frontends Anti-patterns

微前端（MFE）架构因提升开发独立性与模块化而广受欢迎。尽管应用广泛，该领域仍存在大量未解问题，尤其在问题识别与最佳实践总结方面。本文基于成熟的微服务（MS）反模式及采用MFE的软件开发团队实际面临的问题分析，提出了包含12种MFE反模式的分类目录。我们通过识别MS反模式与MFE项目中重复出现问题的共性，将MS反模式映射并适配至MFE语境，构建了目录的初始版本。为验证所发现问题及解决方案，我们对行业从业者开展调研，收集改进反模式的宝贵反馈，并请参与者确认是否在实践中遭遇过这些问题，同时以10级李克特量表评估其危害性。调研结果表明，参与者在实际MFE架构中遭遇过所有提出的反模式，仅有一种反模式的出现率低于50%。受访者认为该目录可作为新老开发者的实用指南，有望提升MFE开发质量。根据反馈意见，我们完善了反模式目录的版本。此外，我们开发了专门用于展示反模式的Web应用，旨在积极促进MFE社区协作与参与。该目录是识别和规避MFE开发潜在陷阱的重要资源，能帮助不同经验水平的开发者构建更健壮、可维护且设计优良的MFE应用。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a616/251mFYWHNpC

4、A Differential Testing Framework to Identify Critical AV Failures Leveraging Arbitrary Inputs

自动驾驶车辆（AV）的普及使其故障日益凸显。旨在识别导致这些故障的输入测试工作面临长尾分布输入的挑战——其曲线下区域主要由罕见场景主导。我们提出假设：利用新兴开放数据集可加速长尾输入的探索。然而仅获取多样化输入不足以暴露故障，有效测试还需预言机制来区分正确与错误行为。现有数据集缺乏此类预言机制，而其开发难度众所周知。为此，我们提出DiffTest4AV差分测试框架，专门应对AV系统测试的三大独特挑战：1) 对任意输入可能存在多个可接受输出；2) 长尾包含海量待探索输入；3) AV持续执行循环要求故障持续存在才能影响系统。该框架集成统计分析识别有意义行为变异，依据差异严重性评估重要性，并采用序列分析检测指示潜在系统级故障的持续错误。基于商用道路部署系统comma.ai OpenPilot的5个版本和3个可用图像数据集的实验表明，该框架能有效检测高严重性、高置信度的长期测试故障。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a700/251mGSQPCJq

5、A First Look at Conventional Commits Classification

现代分布式软件开发依赖提交（commit）来控制系统版本。提交分类在工业界和学术界均具有重要作用。当前广泛使用的提交分类框架由Swanson于1976年提出，包含三个基础类别：完善性（perfective）、修正性（corrective）和适应性（adaptive）。随着软件开发复杂度的提升，工业界正转向更细粒度的提交分类方式，即采用约定式提交规范（Conventional Commits Specification, CCS）进行精细化管理。新框架要求开发者将提交划分为十种不同类别，例如"feat"（功能）、"fix"（修复）和"docs"（文档）。然而现有研究主要集中于三分类体系，使得细粒度提交类别的定义与应用成为知识空白。本文通过应用现状与问题报告了针对该机制的初步研究，并探索了解决方案。我们发现GitHub上越来越多的项目正在采用CCS规范。通过对GitHub上194个相关议题和Stack Overflow上100个CCS应用问题的定性分析，我们归纳出开发者使用CCS时面临的四大挑战，其中最常见的是CCS类型混淆问题。为解决这些挑战，我们基于现有变体对CCS类型给出明确定义，并设计了一种自动分类提交到CCS类型的方法，评估结果表明该方法性能优异。本研究有助于深化对当前细粒度提交分类的理解，并有望显著缓解实际应用中的挑战。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a127/215aWxIcs3m

6、A Large-Scale Study of Model Integration in ML-Enabled Software Systems

机器学习（ML）的兴起及其与软件系统的融合已彻底改变了开发实践。传统软件工程专注于通过特定流程与架构手工编写代码制品，而ML赋能系统则需要额外数据科学方法与工具来创建ML制品——尤其是ML模型与训练数据。然而将模型集成至系统并管理众多异构制品绝非易事。ML赋能系统往往包含多个ML模型，这些模型不仅彼此交互，还与传统代码以复杂方式互动。尽管学界已对构建此类系统的挑战与实践展开研究，但除孤立案例外，人们对真实世界ML赋能系统的特性仍知之甚少。改进这类系统的工程流程与架构，亟需增强对其的实证认知。我们针对2,928个开源ML赋能系统展开大规模研究，通过分类与分析揭示了系统特征、模型与代码复用实践以及ML模型集成架构特点。研究发现：这些系统仍以传统源代码为主体，通过代码复制或预训练模型实现的ML模型复用十分普遍。我们还识别出不同的ML集成模式及关联实现实践。期待本研究成果能优化ML模型集成方法，推动数据科学与软件工程更紧密融合。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a722/251mH8mwBq0

7、A Little Goes a Long Way: Tuning Configuration Selection for Continuous Kernel Fuzzing

Linux内核具有活跃的开发社区且被广泛使用。它支撑着从高性能计算到物联网等各类数十亿台设备，这在一定程度上得益于其精密的配置系统——该系统能根据用户提供的数千个配置选项自动调整源代码。模糊测试在发现内核漏洞方面成效显著，已成为最主要的漏洞报告手段之一。由于内核每日需接收数百个补丁，模糊测试工具需持续运行，定期停止以集成最新变更后重新构建内核，再重启测试流程。但我们研究发现，当前内核模糊测试工具采用预定义的配置方案，会导致内核二进制文件遗漏大多数新补丁，使得持续模糊测试的优势荡然无存。遗憾的是，现有最先进的配置测试技术往往难以满足持续模糊测试的需求，要么遗漏必要选项，要么因需处理过多配置文件而难以操作。我们将持续测试的核心需求提炼为六大关键属性，系统化分析配置选择策略的可行方案，并提出可落地的优化建议。通过分析发现，持续模糊测试工具可在不影响性能的前提下提升配置多样性。我们通过改造最流行的Linux内核模糊测试工具syzkaller的配置选择策略进行实证评估：改进后的配置方案使新发现漏洞数量提升至原有方案的2倍以上（35个 vs 13个），独立漏洞发现量更是达到12倍增幅（24个 vs 2个），其中还包括一个获得CVE编号的安全漏洞。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a521/215aWUHqo9i

8、A Multi-Agent Approach for REST API Testing with Semantic Graphs and LLM-Driven Inputs

随着现代网络服务日益依赖REST API，对其进行全面测试变得至关重要。此外，REST API文档语言（如OpenAPI规范）的出现催生了许多黑盒REST API测试工具。然而，这些工具往往孤立地关注单个测试元素（如API、参数、值），导致覆盖率较低且缺陷检测效果欠佳。为突破这些局限，我们提出AutoRestTest——首个采用依赖嵌入多智能体方法进行REST API测试的黑盒工具，该方法将多智能体强化学习（MARL）与语义属性依赖图（SPDG）及大语言模型（LLMs）相结合。我们将REST API测试视为可分解问题，由四个智能体（API、依赖、参数和值智能体）协同优化API探索：LLMs处理领域特定值生成，SPDG模型通过API操作间相似度评分简化依赖搜索空间，MARL则动态优化智能体行为。通过对12个真实REST服务的评估表明，AutoRestTest在代码覆盖率、操作覆盖率和缺陷检测方面优于包括RESTGPT（利用LLMs生成真实测试输入）在内的四大主流黑盒测试工具。值得注意的是，AutoRestTest是唯一能触发Spotify服务内部服务器错误的工具。消融实验证实，SPDG、LLM和智能体学习机制均为AutoRestTest的整体有效性作出贡献。

论文链接：https://arxiv.org/abs/2411.07098

9、A Multiple Representation Transformer with Optimized Abstract Syntax Tree for Efficient Code Clone Detection

过去十年间，深度学习在代码克隆检测中的应用取得了显著成果。然而现有方法存在两大局限：(a) 传统抽象语法树(AST)等代码表征方法信息利用率低，导致信息冗余并引发性能下降；(b) 评估阶段克隆检测效率低下，实际使用时产生过高时间成本。本文提出基于优化抽象语法树的多表征转换器(MRT-OAST)，在保持竞争力的同时实现高效代码表征。具体而言，MRT-OAST通过策略性剪枝与增强处理AST，同时采用前序与后序遍历生成两种差异化表征。为加速评估流程，本方案采用纯孪生网络架构，通过余弦相似度度量代码相似性。该方法在保留结构信息前提下，成功将Java与C/C++的AST序列长度压缩至原长的40%与39%。在代码克隆检测任务中，我们的模型在OJClone与Google Code Jam数据集上超越现有最优方法。在BigCloneBench评估中，相较当前最优轻量模型提速5倍，较基于BERT的模型提速563倍，F1分数仅下降0.3%与0.9%。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a587/251mFD6rzPO

10、A Study of Undefined Behavior Across Foreign Function Boundaries in Rust Libraries

开发者依赖Rust编程语言的静态安全保证来编写安全且高性能的应用程序。然而，Rust常需与其他语言互操作，这些语言允许的设计模式可能与Rust不断发展的别名模型产生冲突。Miri是目前唯一能针对这些模型验证应用程序的动态分析工具，但它不支持检测外部函数中的错误，这表明整个Rust生态可能存在关键的正确性缺口。我们对调用外部函数的Rust库进行了大规模评估，以确定Miri的动态分析在此情境下是否仍然有效。通过联合使用Miri和LLVM解释器执行调用外部函数的应用程序，我们在37个库中发现了46例未定义或非预期行为。其中三个漏洞出现在我们观测期间日均下载量超过1万次的库中，还有一个存在于Rust项目官方维护的库内。多数漏洞违反了Rust的别名模型，但最新的Tree Borrows模型相比早期的Stacked Borrows模型显著放宽了限制。Rust社区必须为多语言应用开发新的生产级工具，以确保开发者能够检测此类错误。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a704/251mGWkQmIw

11、A Tale of Two DL Cities: When Library Tests Meet Compiler

深度学习（DL）编译器通常通过加载模型并利用中间表示进行优化。现有DL编译器测试技术主要聚焦于模型优化阶段，却鲜少探索模型加载阶段的缺陷检测。有效测试模型加载阶段需要覆盖不同DL库中各类算子的多样化使用方式，这与DL库测试的核心目标高度一致——这表明DL库测试中蕴含的知识对测试DL编译器的模型加载阶段具有重要价值。基于此，我们提出OPERA方法，将DL库测试中的知识迁移至模型加载阶段测试。OPERA从DL库测试（包括官方文档测试用例和最新模糊测试生成用例）中构建多样化测试集，共整合了三类DL库测试源进行迁移。此外，该方法采用基于多样性的测试优先级策略，优先迁移和执行更可能触发多样性缺陷的测试用例。我们在三大DL编译器（TVM、TensorRT和OpenVINO）的八个前端进行评估，OPERA累计检测出170个未知缺陷，其中90个已获开发者确认/修复，验证了这种迁移思路的有效性。相较于通用优先级策略，OPERA的测试优先级策略使迁移测试的效率平均提升11.9%~47.4%。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a305/215aWI2R6CY

12、A Test Oracle for Reinforcement Learning Software based on Lyapunov Stability Control Theory

近年来，强化学习（Reinforcement Learning, RL）受到广泛关注。随着RL软件日益复杂并渗透至关键应用领域，保障其质量与正确性变得尤为重要。软件质量/正确性保障的核心环节之一是测试。然而，由于RL软件输出正确性难以定义，其测试面临传统软件所不具备的独特挑战，即RL测试预言问题。现有RL软件测试方法通常依赖人工预言——召集专家人工判定输出正确性。这种方法高度受限于专家的可用性与质量（包括经验、主观状态等），且无法完全自动化。  

本文提出一种基于李雅普诺夫稳定性控制理论的RL软件测试预言设计新方法。通过将李雅普诺夫稳定性概念融入RL训练过程，我们假设：正确实现的RL软件应输出符合该理论约束的智能体。基于此启发式规则，我们设计了基于李雅普诺夫稳定性控制理论的测试预言LPEAZ_(ϑ,θ)。我们在典型RL算法与缺陷上进行了大量实验评估，结果表明：该预言在多数指标上优于人工预言。具体而言，LPEAZ_(ϑ=100%,θ=75%)在准确率、精确率、召回率、F1值、真阳性率、真阴性率、假阳性率、假阴性率及ROC曲线AUC上分别超出人工预言53.6%、50%、18.4%、34.8%、18.4%、127.8%、60.5%、38.9%和31.7%；LPEAZ_(ϑ=100%,θ=50%)则在这些指标上分别超出48.2%、47.4%、10.5%、29.1%、10.5%、127.8%、60.5%、22.2%和26.0%。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a611/251mFVaOkes

13、ADAMAS: Adaptive Domain-Aware Performance Anomaly Detection in Cloud Service Systems

云服务可靠性工程中的常见做法是收集监控指标，随后通过综合分析识别性能问题。然而现有方法往往难以检测不同服务间多样化且动态演变的异常。此外，异常的技术表征与业务解读之间存在显著鸿沟——检测到的异常可能对系统性能或用户体验并无实质影响。为解决这些挑战，我们提出ADAMAS框架，这是一种基于AutoML的自适应异常检测方案，旨在实现生产云系统中的实用化异常检测。为提升跨服务异常检测能力，我们设计了新型无监督评估函数以自动搜索最优模型结构与参数。ADAMAS还包含轻量级人机协同设计，能高效融合专家知识以适应动态演变的异常模式，弥合预测异常与实际业务异常之间的差距。通过持续监测误报率，该系统可主动重新配置最优模型，形成持续改进的闭环。在1个公共数据集和2个工业数据集上的大量实验表明，ADAMAS以0.891的F1分数优于所有基线模型。消融研究也验证了评估函数设计与专家知识融合机制的有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a621/251mG21JPX2

14、Accessibility Issues in Ad-Driven Web Applications

网站可访问性对包容性和法规遵从至关重要。尽管第三方广告是免费网络服务的重要收入来源，却带来了显著的可访问性挑战。将网站空间租赁给DoubleClick等广告投放技术后，开发者会失去对广告内容可访问性的控制。即使在高度可访问的网站上，第三方广告也可能破坏对《网页内容可访问性指南》(WCAG)的遵循。我们首次对43万个网站元素（含近10万个广告元素）开展大规模研究，以了解网站广告的可访问性现状。通过分析不可访问广告的普遍性及其对网站整体可访问性的影响，我们发现67%的网站因广告导致可访问性违规增加，常见违规类型包括焦点可见性(WCAG 2.4.7)和输入响应(WCAG 3.2.2)。Taboola、DoubleClick和RevContent等主流广告技术常投放不符合WCAG标准的广告。即便符合WCAG的广告中，仍有27%的广告图片替代文本存在信息误导，可能欺骗用户。对误导性广告样本的手动检测显示，94%的网站通过悬停等交互行为收集用户可识别数据。由于残障用户常依赖屏幕阅读器等需要触发悬停事件才能访问内容的工具，他们不得不以牺牲隐私为代价浏览网站广告。基于研究发现，我们进一步剖析违规根源，并为网站开发者和广告技术提供商提供符合WCAG标准的广告集成设计指南。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a708/251mGYZc71S

15、Accounting for Missing Events in Statistical Information Leakage Analysis

通过公开渠道泄露秘密信息是软件系统中严重的隐私缺陷。每次观测泄露的信息越多，攻击者获取秘密所需的时间就越短。由于现代软件规模庞大且结构复杂，加之部分经验事实无法通过源代码形式化分析获得，研究者开始利用程序执行样本开展统计方法研究。然而现有统计方法需要较高的样本覆盖率——理想情况下，样本需足够大以涵盖秘密Z××Z可观测值的所有可能组合，才能准确反映Z⟨⟨Z秘密与可观测值Z⟩⟩Z的联合分布。否则会导致信息泄露被严重低估，这种误判可能使开发者对存在漏洞的程序产生错误的安全信心。

本文提出一种改进的信息泄露估计方法，当样本覆盖率不足时，采用应用统计学技术提升联合分布估计精度。核心思想是将该问题转化为存在未采样类别的多项分布估计问题，通过重构联合分布实现突破。我们提出两种实现方案，并在基准测试集上验证了各自的有效性。同时设计新型联合分布优化启发式规则，通过动态调整提升估计准确性。与现有信息泄露统计估计方法相比，本方法能安全地高估互信息量，仅需有限次程序执行即可获得更精确的估计结果。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a217/215aWCUWmWI

16、Aligning the Objective of LLM-based Program Repair

大型语言模型（LLM）在自动程序修复（APR）领域已取得显著成果。然而，纯解码器架构的LLM（如GPT-4）采用的"下一词元预测"训练目标，与当前基于掩码填充修复方法所需的"跨度预测"目标存在偏差，导致模型难以充分利用预训练知识进行程序修复。此外，尽管部分LLM能借助测试用例等关联构件定位并修复特定函数中的缺陷，现有方法仍依赖语句级故障定位技术来提供待修复的代码片段列表。这种限制阻碍了LLM探索给定位置之外的可能补丁。本文提出一种适配LLM程序修复能力的新方法，其核心观点是：只需将输出与模型训练目标对齐，并允许其直接优化完整程序（而非预先定位缺陷语句），即可显著提升LLM的APR性能。基于该思路，我们设计了简洁的提示框架D4C。实验表明，D4C在Defects4J基准中成功修复180个缺陷，每个补丁仅需采样10次，其性能超越依赖完美故障定位的现有最优方法10%，同时将补丁采样次数降低90%。研究发现：（1）目标对齐对释放LLM预训练潜力具有关键作用；（2）用直接调试替代传统的"先定位缺陷片段后修复"流程，能更有效发挥LLM的APR能力。本研究为LLM在程序修复中的应用提供了新范式。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a706/251mGXCBEgE

17、An Empirical Study of Proxy Smart Contracts at the Ethereum Ecosystem Scale

代理设计模式将智能合约中的数据与代码分离至代理合约与逻辑合约中：数据存储于代理合约，而代码则源自逻辑合约。该模式支持灵活的智能合约开发，具备可升级性、可扩展性及代码复用能力。尽管这一模式应用广泛且至关重要，目前仍缺乏系统性研究来揭示代理模式的普及程度、使用场景及开发陷阱。我们首次对以太坊代理合约展开全面研究，通过开发首个字节码级代理检测框架PROXYEX（准确率超99%），构建了包含2,031,422个以太坊代理合约的数据集，并实施首次大规模实证分析。通过统计代理数量与交易流量，我们解析了其在以太坊生态的现状；归纳出四大应用模式（可升级性、可扩展性、代码共享、代码隐藏）；同时识别出三类典型问题（代理-逻辑存储冲突、逻辑-逻辑存储冲突、未初始化合约），并通过历史交易回放构建了对应检测工具。研究表明：可升级性并非DApp采用代理的唯一动因，大量代理合约存在存储冲突与未初始化等问题。本成果深化了对代理模式的理解，为未来智能合约在代理的开发实践、使用规范、质量保障及缺陷检测等方面的研究提供了指引。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a620/251mG1r7AaI

18、An Empirical Study on Automatically Detecting AI-Generated Source Code: How Far Are We?

人工智能（AI）技术，尤其是大语言模型（LLMs），已开始受到研究人员和软件开发者的青睐，用于生成源代码。然而，研究表明，LLMs生成的代码存在质量问题，并可能引发版权/许可侵权。因此，检测一段源代码是否由人类编写或由AI生成变得十分必要。本研究首先通过实证分析评估现有AI检测工具在识别AI生成代码方面的有效性。结果表明，这些工具性能普遍较差，且缺乏实际部署所需的泛化能力。随后，为提升AI生成代码的检测性能，我们提出了一系列方法，包括对大语言模型进行微调、基于机器学习的分类（使用静态代码指标或通过抽象语法树生成的代码嵌入向量）。我们的最佳模型显著优于当前最先进的AI代码检测工具（GPTSniffer），F1分数达到82.55。此外，我们还针对最佳模型进行了消融实验，以探究不同源代码特征对其性能的影响。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a601/251mFNe2Gqs

19、An Empirical Study on Commit Message Generation using LLMs via In-Context Learning

提交信息以自然语言简洁描述代码变更，对软件维护至关重要。现有多种自动生成提交信息的方法存在关键缺陷，如训练耗时且泛化能力差。为解决这些问题，我们提出借助大语言模型（LLM）和上下文学习（ICL）技术。我们的直觉基于以下事实：LLM的训练语料库包含大量代码变更及其对应提交信息，这使得LLM能够掌握提交相关知识，而ICL可挖掘LLM中隐含的知识，使其无需调优即可执行下游任务。然而，LLM通过ICL生成提交信息的实际效果尚不明确。本文通过实证研究探讨LLM基于ICL生成提交信息的能力。具体而言，我们首先探究不同设置对基于ICL的提交信息生成性能的影响，随后在主流多语言数据集和新建数据集（用于缓解潜在数据泄露问题）上，将基于ICL的方法与最先进方案进行对比。实验结果表明，基于ICL的方法在主观评估中显著优于现有方案，并展现出更强的泛化能力。我们进一步分析LLM表现欠佳的根本原因，提出多项改进建议，为未来利用LLM生成提交信息的研究指明方向。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a628/251mG77nMAM

20、An Empirical Study on Package-Level Deprecation in Python Ecosystem

开源软件（OSS）在现代软件开发中发挥着至关重要的作用。利用OSS代码能显著加速开发进程、减少冗余并提升可靠性。Python作为一种被广泛采用的编程语言，以其丰富多样的第三方包生态系统而闻名。然而，Python生态中存在大量维护不善的OSS包，这可能导致功能性和安全性隐患。因此，建立一套废弃机制来协助包开发者与用户有效管理包资源至关重要。  

为促进包级废弃机制的建立，本文采用混合方法开展实证研究，包括数据分析与问卷调查。我们调研了Python生态中当前包级废弃的声明、接收与处理实践，评估了为停止维护的包发布废弃声明的益处，并探究了开发者与用户面临的挑战及其对未来废弃实践的期望。研究发现：75.4%的停滞包开发者因各种原因无意发布废弃声明，而89.5%的用户希望收到废弃通知，凸显双方认知鸿沟；多数情况下废弃发生时缺乏替代方案，亟需探索既能实现无缝包交接又降低维护成本的可行方法。本研究旨在深化对Python开源领域现有包级废弃模式的理解，为未来社区制定更完善的废弃实践提供支持。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a572/215aWXBXgSk

21、An Empirical Study on Reproducible Packaging in Open-Source Ecosystems

软件构建的完整性是软件供应链安全的基础。虽然Thompson早在1984年就首次提出针对构建基础设施攻击的可能性，但在过去40年中，构建完整性问题鲜少受到关注，这直接导致了近期对SolarWinds、event-stream和xz等项目的攻击事件。当前最知名的构建系统防御方案是可复现构建，但由于技术和社会因素的双重复杂性，该方案常被视为难以实现。本文创新性地分析了六大主流软件生态（npm、Maven、PyPI、Go、RubyGems和Cargo）中可复用组件包的构建可复现性。我们对每个生态系统中4000个具代表性样本的量化研究揭示了严峻现状：不同生态系统间的构建可复现率差异悬殊，部分生态所有包均可复现，而另一些生态几乎每个包都存在复现问题。但深入研究发现，通过相对简单的基础设施配置调整和构建工具补丁，我们能在所有研究生态中实现极高的构建可复现率。研究表明：若各生态采纳我们的建议，几乎所有已发布软件包的构建过程都可在无需开发者个体干预的情况下实现独立验证，此举将有效防范未来重大软件供应链攻击。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a673/251mGAOJFni

22、An Exploratory Study of ML Sketches and Visual Code Assistants

本文探讨了可视化代码助手在集成开发环境（IDE）中的整合应用。在软件工程中，白板草图通常是编码前的第一步，也是开发人员重要的协作工具。既往研究已探索了软件工程草图的模式及其实际应用方式，但如何直接利用这些草图生成代码的方法仍存在局限。具备视觉能力的大语言模型的出现为弥合这一差距提供了契机，这也正是本研究的核心。本文构建了可视化代码助手的首个原型，旨在收集用户对IDE内草图转代码工具的反馈。我们通过19位数据科学家（其中多数人日常工作包含草图绘制）开展实验，分析他们在开发机器学习工作流时草图中的常见模式以探究开发者的心智模型。分析表明，图表是最常用的组织元素（52.6%），常辅以列表（42.1%）和编号条目（36.8%）。我们的工具通过查询大语言模型将其草图转化为Python笔记本。采用LLM-as-judge评估框架对生成代码质量进行评分，发现即使简短草图也能有效生成实用的代码框架。研究还发现草图绘制时间与生成代码质量呈正相关。最后通过深度访谈评估工具实用性、探索潜在用例并理解开发者需求。如参与者所述，这类助手在教育、原型设计和协作场景中具有应用潜力。研究结果表明，整合视觉信息的新一代代码助手不仅能提升代码生成质量，还能更好地利用开发者现有的草图实践，展现出广阔前景。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a661/251mGsL9ErK

23、An Exploratory Study on the Engineering of Security Features

软件安全对大多数软件系统至关重要。开发者必须系统地选择、规划、设计、实施，尤其是持续维护和演进安全功能——即用于抵御攻击或保护个人数据（如加密或访问控制）的功能模块——以确保软件安全性。尽管安全功能通常以库形式提供，但集成这些功能需要编写和维护额外的安全关键代码。虽然已有关于此类库使用的研究，但令人惊讶的是，我们对开发者如何设计安全功能、如何选择需实现的安全功能及哪些需要定制实现，以及其对维护的影响知之甚少。因此，当前我们依赖的假设主要基于常识或个别案例。然而，要为开发者提供有效解决方案，研究人员需要坚实的实证数据来理解实践者的需求及其对安全的认知——这正是当前缺乏的数据。为填补这一空白，我们开展了包含26位资深行业参与者的探索性研究，探究软件系统安全功能在实际中的选择与实现方式、其代码级特征以及实践者面临的挑战。基于收集的实证数据，我们揭示了工程实践现状，并验证了四个常见假设。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a721/251mH7zZcaY

24、An Extensive Empirical Study of Nondeterministic Behavior in Static Analysis Tools

近期研究探讨了软件中非确定性行为的重要性及其成因。静态分析工具虽存在诸多诱发非确定性行为的风险因素，但尚未有研究系统分析此类工具中的非确定性现象。为填补这一空白，我们针对12款流行开源静态分析工具（覆盖5类项目）开展大规模实证研究，旨在揭示其历史及现存非确定性行为。我们首先通过定性研究评估目标工具中非确定性行为的发现与修复情况，在7个工具代码库中发现了相关记录。根据根本原因对问题和提交记录进行分类后，发现大多数非确定性源于并发问题、错误分析逻辑或对无序数据结构的有序假设，这些成因存在共性模式。随后我们开展定量分析：采用两种策略结合多样化输入程序与配置，检测未知非确定性行为，在12款工具中的8款（含定性分析未发现的3款）中均发现该现象。研究表明，非确定性常在不同配置下对多种输入程序显现。我们已将所有发现反馈给开发者，并获5款工具团队确认。最后，我们详细记录了修复FlowDroid非确定性行为的案例研究。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a662/251mGtwh42s

25、An LLM-Based Agent-Oriented Approach for Automated Code Design Issue Localization

保持软件设计质量对于系统的长期可维护性和演进至关重要。然而随着代码规模增长，模块化不足、过度复杂等设计问题往往随之浮现。开发者通常依赖程序分析技术等外部工具来识别此类问题。本研究利用大语言模型（LLM）开发了一种自动化分析与定位设计问题的方法。大语言模型虽在编码任务中表现优异，但直接用于设计问题定位仍面临挑战：大规模代码库会超出常规LLM上下文窗口限制，而程序分析工具输出的非文本模态数据（如图形或交互式可视化）也无法兼容LLM的自然语言输入。针对这些挑战，我们提出LOCALIZEAGENT——一个创新的多智能体框架，通过以下专业化智能体的协同工作实现高效设计问题定位：（1）分析代码以识别潜在设计问题；（2）将程序分析输出转化为具备抽象意识的LLM友好型自然语言摘要；（3）生成针对特定重构类型的上下文感知提示；（4）利用LLM定位问题并依据相关性排序。在多样化真实代码库上的评估表明，本方法较基线方案有显著提升：在信息隐藏、复杂性和模块化问题的精确匹配准确率上，LOCALIZEAGENT分别实现了138%、166%和206%的相对改进。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a637/251mGdaDuy4

26、Analyzing the Feasibility of Adopting Google's Nonce-Based CSP Solutions on Websites

内容安全策略（CSP）是缓解内容注入攻击（如跨站脚本攻击XSS）的主流安全机制。然而，尽管学术界和工业界付出了诸多努力，CSP策略（简称CSP）在网站中的部署率仍然较低，且已部署的策略常存在安全隐患或错误。这种低覆盖率与不安全部署问题主要源于CSP机制的复杂性。谷歌近期提出了四种基于随机数的CSP解决方案，相比传统的基于白名单的CSP方案更简洁且安全。谷歌已成功将这些方案部署在超过160项服务中，覆盖其62%的外发流量。这类基于随机数的CSP方案策略简单，却能实现细粒度的网络资源控制，若能广泛应用于其他网站，将有效改善当前CSP部署率低且不安全的现状。  

本文评估了在Tranco排名前1万的网站中采用谷歌基于随机数的CSP方案的可行性。我们构建了自动化爬虫工具访问网站、模拟用户交互，并通过插入四种CSP策略收集触发的策略违规报告。通过分析违规数据，我们探究了基于随机数的CSP方案的适用性、实施障碍及其在网站中的稳定性。研究发现：大多数网站在本研究访问的所有页面均可采用该方案；对于无法全面适配的网站，通常约40%的页面存在实施困难。总体而言，研究结果极具启发性，对推动CSP在众多网站中的正确部署具有积极意义。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a730/251mHdhFofm

27、Answering User Questions about Machine Learning Models through Standardized Model Cards

由于Hugging Face（HF）等模型中心的兴起，复用预训练机器学习模型正变得日益流行。然而，与复用软件类似，复用机器学习模型时也可能出现诸多问题。许多情况下，用户会选择在HF社区论坛等讨论平台提问。本文研究如何降低社区解答这些问题的工作负担，并提高问题获得快速回复的概率。我们分析了HF模型社区11,278条包含用户关于机器学习模型提问的讨论，重点关注处理问题所耗费的精力、讨论的高层主题，以及基于模型卡模板实现回答标准化的潜力。研究发现，回复用户问题所需精力并不多，但40.1%的问题仍处于未获回应的开放状态。主题分析表明，讨论更多集中于模型开发的技术细节和故...

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a603/251mFOMyiEo

28、Are LLMs Correctly Integrated into Software Systems?

在大语言模型（LLM）与检索增强生成（RAG）技术的支持下，各类应用场景获得了高效解决方案。然而开发者面临接口规范缺失、软件上下文需求多样、系统管理复杂等挑战，导致LLM与RAG的集成存在困难。本文通过对100个支持RAG的LLM开源应用进行系统研究，归纳出18种缺陷模式。研究表明，77%的应用存在超过三类集成缺陷，导致软件功能、效率及安全性受损。基于研究发现，我们提出了贯穿软件生命周期的系统性缺陷修复指南，并构建开源缺陷库Hydrangea。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a741/251mHkourfy

29、Are We Learning the Right Features? A Framework for Evaluating DL-Based Software Vulnerability Detection Solutions

近期研究表明，基于深度学习的软件漏洞检测技术所报告的结果存在不可复现性问题，无论是跨不同数据集还是面对未见样本。本文旨在为该领域的研究建立规范化评估基础。我们通过分析现有工作和漏洞数据集，提取与漏洞相关的代码语法/语义特征及虚假关联特征，提出了一种统一表征方法来捕获这两类特征，并据此检测代码中真实漏洞特征与虚假特征的存在。为此，我们设计了两类代码扰动：特征保留扰动（FPP）确保漏洞特征在代码样本中持续存在，特征消除扰动（FEP）则彻底移除相应特征。这些扰动用于量化虚假特征和漏洞特征对检测模型预测的影响。通过对五种最先进的基于深度学习的漏洞检测器进行大规模实证研究，我们发现：对于真实漏洞特征，平均仅约2%的FPP会导致五种检测器的预测结果发生非预期变化；然而平均约84%的FEP会产生漏洞预测结果持续存在的非预期效应。针对虚假特征，基于图的检测器在FPP下的召回率最大降幅达29%。我们深入分析了这些现象的内在原因，提出了改进基于DNN的漏洞检测器的策略，并将基于扰动的评估框架作为公共资源发布，以支持未来独立的漏洞检测器评估工作。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a731/251mHdZWOxq

30、AssetHarvester: A Static Analysis Tool for Detecting Secret-Asset Pairs in Software Artifacts

GitGuardian对公开GitHub仓库中的敏感信息泄露进行了监测，其报告显示2023年开发人员泄露了超过1200万条秘密信息（数据库及其他凭证），较2021年激增113%。尽管现有秘密检测工具可用，但由于误报率高达25%-99%，开发者往往忽视工具发出的警告。然而，每条秘密信息所保护的资产价值各异，这些资产可通过标识符（DNS名称及公/私IP地址）访问。秘密信息关联的资产信息能帮助开发者过滤误报，并确定源代码中需优先清除的秘密。但现有检测工具均未提供此类资产信息，导致开发者仅凭秘密值难以有效筛选，或不得不为每条报告的秘密手动查找对应资产。

本研究旨在通过新型静态分析工具提供秘密信息所保护的资产信息，协助软件从业者优先处理需清除的秘密。我们提出AssetHarvester——一种检测仓库中秘密-资产对的静态分析工具。鉴于资产位置可能与秘密定义处相距甚远，我们研究了秘密-资产的共现模式并归纳出四类模式。为识别这四类秘密-资产对，我们采用三种方法（模式匹配、数据流分析和快速近似启发式）。通过从188个公开GitHub仓库提取的1,791组四类数据库秘密-资产对构建基准测试集，评估显示AssetHarvester在检测秘密-资产对时达到97%的精确率、90%的召回率及94%的F1分数。

研究发现，AssetHarvester采用的数据流分析方法能以0%误报率检测秘密-资产对，并提升秘密检测工具的召回率。此外，通过资产检测，AssetHarvester将数据库秘密检测的精确率较现有工具提高43%，有效缓解开发者的警报疲劳。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a604/251mFQgwkNi

31、Automated Accessibility Analysis of Dynamic Content Changes on Mobile Apps

随着移动应用在日常生活中扮演着越来越重要的角色，确保其对残障用户的可访问性也日益凸显。然而，应用开发者常常忽视辅助技术用户（如屏幕阅读器使用者）面临的可访问性挑战。屏幕阅读器用户通常按顺序浏览内容，每次仅聚焦于单一元素，无法感知应用其他区域的动态变化。虽然界面内容的动态变化对视力正常的用户显而易见，却会给屏幕阅读器用户造成显著的可访问性障碍。现有可访问性测试工具无法识别动态内容变化给视障用户带来的挑战。本研究首先针对安卓应用的动态变化及其对屏幕阅读器用户的可访问性障碍开展形成性用户调研，继而提出自动化框架TimeStump——该框架基于形成性研究的发现来检测动态变化相关的可访问性问题。最后，我们通过对真实应用的实证评估，检验TimeStump在检测此类可访问性问题时的效能与效率。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a482/215aWSskWpG

32、Automated Generation of Accessibility Test Reports from Recorded User Transcripts

在软件开发过程中，可访问性测试是至关重要的一环，它能确保包括残障人士在内的所有用户都能有效使用网页和移动应用。虽然已有自动化工具可检测软件中的可访问性问题，但其效果均无法与用户测试相媲美——后者通过让具有不同残障背景的测试者评估应用程序，从而发现可访问性和可用性问题。然而用户测试并未受到软件开发者的青睐，因其需要与用户进行长时间访谈，并需后期处理大量录音资料以提取待修复问题。本文探讨了GPT-4.0等大型语言模型（LLM）如何缓解这一困境并优化用户测试流程，这类模型在上下文理解和语义文本生成方面已展现出显著优势。我们提出的Reca11解决方案通过自动生成的用户测试视频转录文本，提取测试者提及的可访问性与可用性问题。通过系统化的提示工程，我们确定了最佳输入配置、指令、上下文及示例组合。我们在三个应用程序的36场用户测试会话中评估了Reca11的效能，并基于研究结果分析了LLM在该应用场景的优势与局限性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a534/215aWVpqdji

33、Automated Test Generation For Smart Contracts via On-Chain Test Case Augmentation and Migration

预部署测试已成为确保智能合约功能正确性的关键环节。然而由于智能合约是集成多种功能的带状态程序，开发者需耗费大量精力手动编写覆盖所有潜在使用场景的测试用例，导致实际测试不足并增加风险。尽管已有若干智能合约测试技术被提出，但它们主要聚焦于检测重入等常见低级漏洞，而非生成能减少人工测试工作量的、具有表达力且功能相关的测试用例。为弥补这一空白，我们提出SolMigrator——一种自动生成表达性强且具代表性的智能合约测试用例技术。据我们所知，这是首个基于迁移的智能合约测试生成技术，通过提取链上合约真实使用场景的测试用例，将其迁移至测试具有相似功能的新开发智能合约。给定待测目标合约和链上相似源合约，SolMigrator首先基于链上交易回放与依赖分析，将源合约的链上使用场景转化为可离线执行的测试用例；随后通过细粒度静态分析，将这些增强型测试用例从源合约迁移至目标合约。我们构建了SolMigrator原型，并在ERC20与ERC721这两类最流行的真实智能合约上开展评估。结果表明：SolMigrator能有效提取现有链上合约的测试用例，并以平均96.3%的精确率和93.6%的准确率实现跨合约迁移；这些迁移后的测试用例能有效覆盖目标合约的常见核心功能。这充分证明：现有智能合约的真实使用场景可转化为其他新开发合约的有效测试用例。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a633/251mGaCfjY4

34、Automated, Unsupervised, and Auto-parameterized Inference of Data Patterns and Anomaly Detection

随着以数据为中心和机器学习（ML）系统的兴起，数据质量对保障软件系统整体质量的作用日益关键。数据准备作为实现高质量数据的重要环节，向来以高度耗时著称。尽管已有研究针对最具影响的问题之一——数据模式违规——提出了解决方案，但这些方法通常需要针对特定数据进行参数化配置，或依赖精心标注的样本进行监督学习，既要求深厚的领域知识和数据理解能力，又需投入大量人工。本文提出RIOLU：基于未清洗数据的正则表达式自动参数化推理器。该技术完全自动化，无需人工参数配置与标注样本，能在多个领域数据集中生成精确模式，以97.2%的F1分数超越现有最优基线。在包含异常值的五组数据集实验中，RIOLU可自动估算数据列错误率、提取正常模式并预测未标注数据中的异常，其性能（F1分数最高提升800.4%）显著优于现有基线，甚至在准确率（F1提高12.3%）与效率（推理时间减少10%）上超越ChatGPT。经用户引导的RIOLU变体可进一步提升精度，F1分数最高增益达37.4%。工业场景的评估进一步验证了该技术的实用价值。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a615/251mFYlwlna

35、Automating a Complete Software Test Process Using LLMs: An Automotive Case Study

车载API测试旨在验证车辆内部系统与外部应用间的交互是否符合预期，确保用户能够访问并控制各类车辆功能与数据。然而，该任务天然具备复杂性，需要协调API系统、通信协议乃至车辆模拟系统以开发有效测试用例。在实际工业场景中，各类文档与系统规范间的不一致、模糊性及相互依赖性带来了严峻挑战。本文提出一套面向车载API自动化测试的系统，通过明确定义并分解测试流程，使大语言模型（LLMs）能够专注于特定任务，从而确保测试流程稳定可控。基于超100个API的实验表明，本系统能有效实现车辆API测试自动化。结果同时证实，大语言模型可高效处理需人工判断的常规任务，适用于同类工业场景的完整自动化。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a747/251mHofMhTW

36、BDefects4NN: A Backdoor Defect Database for Controlled Localization Studies in Neural Networks

预训练大型深度学习模型已成为下游中间件用户的核心组件，彻底改变了传统本地从零训练的学习范式。为降低开发成本，开发者常将第三方预训练深度神经网络（DNN）集成至智能软件系统。然而使用不可信DNN存在重大安全隐患——黑盒训练过程可能导致模型被植入蓄意的后门缺陷。这些缺陷可通过隐藏触发器激活，使攻击者恶意操控模型，危及智能软件的整体可靠性。为确保关键软件系统安全采用DNN，建立后门缺陷数据库以支持定位研究至关重要。本文通过推出首个神经元级标注的后门缺陷数据库BDefects4NN填补该研究空白，该库支持对缺陷根源进行可控定位研究。我们定义三类缺陷注入规则，在四种主流网络架构和三个常用数据集上实施四种典型后门攻击，最终构建包含1,654个模型、涵盖四种缺陷数量与不同感染神经元的数据库。基于BDefects4NN，我们系统评估六种故障定位准则和两种缺陷修复技术，发现现有方法对后门缺陷效果有限。此外，针对自动驾驶车道检测和大语言模型（LLM）等实际场景的专项研究表明，后门缺陷存在现实威胁，当前精确缺陷定位能力仍存在局限。本研究旨在提高学界对后门缺陷威胁的认知，推动故障定位方法的未来发展。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a606/251mFRB7BE4

37、BSan: A Powerful Identifier-Based Hardware-Independent Memory Error Detector for COTS Binaries

本文提出BSan，一种针对二进制代码的实用纯软件内存错误检测器。不同于当前最先进的二进制级检测器依赖基于影子内存的方法或特定硬件特性而存在若干固有缺陷，BSan采用基于标识符的设计，使其能够检测现有工具遗漏的深层内存错误。此外，BSan不依赖任何特定硬件功能。为降低标识符传播带来的高性能开销，BSan创新性地结合静态分析与动态插桩技术，在提升性能的同时避免了静态二进制重写可靠性差的缺陷，这一混合策略使其区别于现有仅通过静态重写提升性能的检测器。综合评估表明，BSan能比前沿二进制级检测器发现更多内存错误，同时其性能与内存开销与现有工具相当。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a242/215aWEjequk

38、Between Lines of Code: Unraveling the Distinct Patterns of Machine and Human Programmers

大型语言模型在代码生成领域掀起了一波前所未有的浪潮。尽管取得了重大进展，这些模型却模糊了机器编写与人类编写源代码之间的界限，引发了软件产物的完整性和真实性问题。先前如DetectGPT等方法虽能有效识别机器生成文本，但未能发掘并利用机器生成代码的独特模式，因此在代码检测场景中表现欠佳。本文系统研究了机器与人类编写代码的特征规律，通过对词汇多样性、简洁性、自然度等代码属性的严格分析，揭示了不同来源代码的固有模式。我们特别发现代码的语法分割结构是判别其来源的关键因素。基于这些发现，我们提出名为DetectCodeGPT的新型机器生成代码检测方法，通过捕捉代码特有的风格化模式改进了DetectGPT。与传统依赖外部大语言模型进行扰动的方法不同，DetectCodeGPT采用策略性插入空格和换行符的方式扰动代码语料，在确保高效的同时提升检测效能。实验结果表明，本方法在机器生成代码检测任务上显著优于现有最先进技术。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a051/215aWoRvPCE

39、Boosting Code-line-level Defect Prediction with Spectrum Information and Causality Analysis

代码行级缺陷预测（CLDP）是一种通过综合度量识别缺陷代码行以优化软件质量保障活动的有效技术。现有CLDP方法大多仅考虑代码文本信息或依赖文件级标签信息，未能充分利用CLDP场景中的核心要素，尤其忽视了历史代码行级标签的关键价值。由于代码行数量庞大且包含的标记稀疏，有效利用历史行级标签信息仍面临重大挑战。针对这一问题，我们提出了一种基于频谱信息与因果分析的代码行级缺陷预测新方法SOUND。该方法融合两大创新点：（1）引入频谱信息视角，利用历史缺陷行标签量化标记对行级缺陷的贡献度；（2）应用因果分析系统化构建标记与缺陷间的因果关系网络。通过对19个软件项目142个版本的全面实验，结果表明：在IFA、Recall@Top20%LOC和Effort@Top20%Recall三项指标下，SOUND在缺陷行排序能力上显著优于现有最先进基线方法。特别值得注意的是，在IFA指标上，本方法在多数案例中取得0分，意味着预测结果排序首行即为真实缺陷行，极大提升了方法的实用价值。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a776/251mHGVkul2

40、Boosting Path-Sensitive Value Flow Analysis via Removal of Redundant Summaries

基于数据依赖追踪值流的值流分析是一种广泛使用的技术，可用于检测各类软件缺陷。然而当需要高精度（即路径敏感性）时，由于函数摘要实例化过程会消耗大量时间和内存，可扩展性问题往往加剧。我们发现问题的根源在于：现有方法会盲目计算函数的全部摘要，而不考虑这些摘要是否与待检测缺陷相关，从而产生大量冗余计算。针对该问题，我们提出了首个能有效识别并消除冗余摘要的方法，在不影响健全性或效率的前提下，缩减被调用函数收集的摘要规模。在大型程序上的评估表明，我们的识别算法能将最先进值流分析的时间与内存开销分别降低45%和27%。该算法展现出显著的高效性——在仅产生极小额外开销的情况下，可识别近80%的冗余摘要。在最大的mysqld项目中，识别算法以仅17.31秒的额外开销换取了8107秒（2.25小时）的时间缩减，实现节省时间与额外开销之比（即性能收益）达468.48倍。总体而言，我们的方法平均可获得632.1倍的性能收益。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a732/251mHeB8gzS

41、Boosting Static Resource Leak Detection via LLM-based Resource-Oriented Intention Inference

资源泄漏（由资源获取后未释放引发）常导致性能问题和系统崩溃。现有静态检测技术依赖预定义的资源获取/释放API与空值检查条件的机械匹配来发现未释放资源，存在两大缺陷：（1）预定义API不完整导致的漏报；（2）资源可达性验证识别不完整导致的误报。为突破这些局限，我们提出InferROI——一种利用大语言模型（LLM）卓越代码理解能力直接推断代码中资源导向意图（获取、释放及可达性验证）的新方法。InferROI首先提示LLM推断给定代码片段涉及的意图，再结合两阶段静态分析流程，基于推断意图检查控制流路径以检测资源泄漏。我们在资源导向意图推断和资源泄漏检测两个维度评估了InferROI的有效性。在DroidLeaks和JLeaks数据集上的实验表明，InferROI实现了优异的漏洞检测率（59.3%与62.5%）和误报率（18.6%与19.5%）。相比三种工业级静态检测器，InferROI在DroidLeaks和JLeaks上分别多检出14~45和149~485个漏洞。应用于真实开源项目时，InferROI发现了29个未知资源泄漏漏洞（经作者验证），其中7个获开发者确认。消融实验进一步证实了LLM推断与静态分析结合的重要性。人工标注显示InferROI在意图推断上达到74.6%准确率和81.8%召回率，覆盖数据集中60%以上的资源类型。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a668/251mGxj1kBO

42、COCA: Generative Root Cause Analysis for Distributed Systems with Code Knowledge

运行时故障在现代分布式系统中屡见不鲜。当此类问题发生时，用户常通过Github或JIRA等平台提交报告并寻求帮助。自动识别故障根因对保障系统高可靠性与高可用性至关重要。然而主流自动根因分析（RCA）方法高度依赖完整的运行时监控数据，而问题平台中这类数据往往残缺不全。近期研究尝试利用大语言模型（LLMs）分析问题报告，但其效果受限于用户提供信息的不完整性与模糊性。为获得更准确全面的RCA结果，本项工作的核心思想是从代码中提取额外诊断线索以补充数据受限的问题报告。具体而言，我们提出COCA——一种面向问题报告的代码知识增强型根因分析方法。该方法基于问题报告数据智能提取相关代码片段并重构执行路径，为后续RCA提供完整的执行上下文。随后，COCA构建融合历史问题报告与代码特征知识的提示模板，使LLMs能够生成详尽的根因摘要并定位责任组件。我们在五个真实分布式系统数据集上的评估表明，COCA显著优于现有方法，根因定位准确率提升28.3%，根因摘要质量提高22.0%。此外，COCA在不同LLMs上表现出的性能一致性验证了其强大的泛化能力。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a770/251mHDfoATe

43、Calibration and Correctness of Language Models for Code

机器学习模型被广泛应用，但也常存在错误。用户若能可靠判断特定模型的输出是否可信，便可理性决定是否采用该结果。例如，为输出关联置信度指标——若该指标与正确概率高度相关，则称模型具有良好校准性。良好校准的置信度指标能为决策提供依据，帮助开发者判断生成代码需要何种程度的审查。目前校准研究主要集中于非生成式场景（如分类任务），尤其在软件工程领域。然而生成代码常存在错误：开发者必须决定直接使用、经不同强度审查后使用或弃用模型生成的代码，因此生成式场景的校准至关重要。本文贡献包括：提出代码生成模型的校准评估框架；通过多任务、正确性标准、数据集和方法验证发现，现有生成式代码模型普遍缺乏开箱即用的校准性；展示如何通过Platt缩放等标准方法改进校准。由于Platt缩放依赖预先获取的正确性数据，我们评估了其在软件工程中的适用性与泛化性，探讨其适用场景与局限。本研究成果将提升当前语言模型生成代码的决策校准水平，并为未来改进软件工程生成式模型校准方法提供研究框架。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a495/215aWTgzWr6

44、Can an LLM find its way around a Spreadsheet?

电子表格在商业和科学领域中被广泛使用，而其中最令人头疼的挑战之一便是在分析与评估前进行数据清洗。数据清洗问题具有临时性和随意性的特点，例如拼写错误、格式不一致、缺失值以及缺乏标准化等，这往往需要高度专业化的处理流程。我们探讨了大型语言模型（LLM）能否自如地处理电子表格数据，并研究了如何支持终端用户实现其自由形式的数据处理请求。正如RAG（检索增强生成）通过检索上下文来回答用户查询，我们展示了如何从代码库中检索元素以构建数据预处理流程。通过全面的实验，我们验证了系统的质量，并展示了系统如何通过将新代码和流程保存回代码库以供未来检索，从而持续扩充其词汇库。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a638/251mGdNO8uY

45、ChatGPT Inaccuracy Mitigation during Technical Report Understanding: Are We There Yet?

幻觉现象——即生成无关或错误回答的倾向——是基于生成式AI的工具（如ChatGPT）中普遍存在的问题。尽管已有研究探讨ChatGPT在文本回答中的幻觉问题，但其在同时包含文本与技术术语的技术性内容中的表现尚不明确。我们调研了47名软件工程师，并从两个开源项目的缺陷报告中构建了包含412组问答对的基准数据集。研究发现，基于检索增强生成（RAG）的ChatGPT（即使用基准问题报告调优的版本）在回答问题时仅有36.4%的正确率，原因有二：1）对代码片段（如堆栈跟踪）中复杂技术内容的理解局限；2）整合技术术语与文本所描述上下文的能力不足。我们提出CHIME（ChatGPT不准确性缓解引擎），其核心原理是：若能优化技术报告的预处理并引导ChatGPT的查询验证过程，即可解决上述局限。CHIME采用上下文无关文法（CFG）解析技术报告中的堆栈跟踪，继而通过蜕变测试与查询转换来验证并修正ChatGPT的回答。在我们的基准测试中，CHIME将ChatGPT回答的修正率提升了30.3%。用户研究表明，经CHIME优化的回答被认为比原始ChatGPT生成内容更具实用性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a682/251mGHiFFyE

46、ChatGPT-Based Test Generation for Refactoring Engines Enhanced by Feature Analysis on Examples

软件重构被广泛用于提升软件质量。然而，手动执行重构过程不仅繁琐耗时，还容易出错。因此，工业界对自动化或半自动化的重构工具支持需求迫切，主流集成开发环境（IDE）大多提供了强大的重构功能支持。但复杂的重构引擎容易出现缺陷，进而导致不完善甚至错误的重构操作。为此，本文提出一种基于ChatGPT的重构引擎测试方法。我们首先人工分析重构引擎相关的缺陷报告与测试用例，构建了一个包含可能触发重构引擎缺陷的细粒度特征库。该方法根据预定义的提示模板和从特征库随机选取的特征自动生成提示词，要求ChatGPT生成符合指定特征的测试程序。生成的测试程序随后被送入多个重构引擎进行差分测试。据我们所知，这是首个利用历史缺陷特征指导测试程序生成的重构引擎测试方法，也是该领域首次采用大语言模型生成测试程序的研究。对四种主流重构引擎的初步评估表明，该方法能有效检测缺陷，除发现28例不同引擎间的重构行为不一致外，共识别出115个未知缺陷。其中78个缺陷已得到被测引擎（IntelliJ IDEA、Eclipse、VScode-Java和NetBeans）原开发团队的手工确认。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a746/251mHnEjeJq

47、Chord: Towards a Unified Detection of Blockchain Transaction Parallelism Bugs

区块链系统已实现多种交易并行机制以提升系统吞吐量并降低延迟，但这些机制不可避免地引入了漏洞。此类漏洞可能导致资产损失、双花攻击、共识失败及DDoS等严重后果。遗憾的是，现有研究对其症状与根源的分析极为匮乏，导致缺乏有效检测手段。本研究对四大商业区块链的历史交易并行漏洞进行全面分析，发现多数漏洞源于对冲突交易的处理不当，且表现形式隐蔽。然而区块链的异构性使得统一触发冲突处理极具挑战性，有效识别这些漏洞同样困难。基于分析发现，我们提出检测框架Chord：通过统一冲突交易模型生成多样化冲突交易；动态调整交易提交策略并在执行过程中插入主动回滚操作以实现深度测试；结合本地-远程差异验证与TPS验证双检测机制捕捉漏洞。实验表明，Chord成功检测出54个交易并行漏洞，其触发冲突场景的能力显著优于现有方法——可使TPS降低49.7%、延迟增加388.0%，充分验证了该框架在暴露深层漏洞方面的有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a742/251mHl8bRbW

48、Closing the Gap: A User Study on the Real-world Usefulness of AI-powered Vulnerability Detection & Repair in the IDE

安全漏洞给用户和组织带来了巨大损失。尽早发现并修复这些漏洞对避免漏洞利用和降低开发成本至关重要。近期研究表明深度学习模型能有效检测安全漏洞。但现有研究鲜少探讨如何将这些模型从基准测试迁移到实际应用，以及它们是否具有实用价值。本文首次针对专业软件开发人员在其自有真实项目中使用漏洞检测修复工具开展实证研究。我们实现了DEEPVULGUARD——一款集成开发环境插件工具，基于最先进的检测修复模型，在历史漏洞基准测试中表现优异。该工具通过聊天界面实现以下功能：扫描代码漏洞（包括识别漏洞类型和代码脆弱区域）、提供修复建议、生成警报与修复方案的自然语言解释。我们招募了17位微软专业开发人员，观察其使用该工具分析自有代码的过程，并通过访谈评估工具的实用性、响应速度、可信度、相关性和工作流适配性，同时收集了用户感知与功能需求的详细定性反馈。研究参与者共扫描24个项目、6900个文件、超170万行源代码，生成170条警报和50条修复建议。研究发现：尽管当前最先进的AI检测修复工具展现出潜力，但由于高误报率与修复方案适用性不足，尚无法投入实际应用。用户反馈揭示了从不完整上下文到缺乏代码库定制等可改进的痛点。此外，我们探讨了置信度评分、解释说明和聊天交互等AI特性在漏洞检测修复中的应用可能。基于这些发现，我们为AI检测修复模型的评估与部署提出了实用建议。代码与数据（含DeepVulGuard）详见：https://doi.org/10.6084/m9.figshare.26367139。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a663/251mGuc069W

49、ClozeMaster: Fuzzing Rust Compiler by Harnessing LLMs for Infilling Masked Real Programs

随着Rust语言因其对内存安全和线程安全的高度重视而在关键系统开发中日益普及，确保Rust编译器的可靠性变得至关重要。然而，鉴于Rust复杂的语法和严格的要求，为其生成有效的测试程序面临巨大挑战。随着大语言模型（LLMs）的兴起，软件测试领域已有大量研究探索利用LLMs生成测试用例。但直接使用LLMs生成Rust程序往往会产生大量无效测试案例。现有研究表明，能触发历史编译器缺陷的测试案例有助于提升软件测试效果。我们对Rust编译器缺陷问题的调查也验证了这一观点。基于现有研究和实证发现，我们提出了一种名为clozeMask的基于括号的掩码填充策略：从历史问题报告中提取测试代码，识别并掩码具有特定结构的代码片段，再利用LLM填充掩码部分以合成新测试程序。该方法既发挥了LLMs的生成能力，又保留了触发Rust编译器缺陷的特性，可全面测试编译器行为特别是探索边界情况。我们将该方法实现为原型工具CLOZEMASTER，该工具已为rustc和mrustc编译器发现27个已确认缺陷（其中10个已被开发者修复）。实验结果表明，CLOZEMASTER在代码覆盖率和测试有效性方面均优于现有模糊测试工具。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a712/251mH1NLq1y

50、Code Cloning in Solidity Smart Contracts: Prevalence, Evolution, and Impact on Development

近年来，Solidity智能合约的开发应用呈现快速增长趋势。代码克隆作为一种常见编程实践，已有大量研究表明其可能对软件维护与质量产生负面影响。然而针对Solidity智能合约中代码克隆的特性及其影响，目前尚缺乏系统性研究。为填补这一空白，本文深入探究了Solidity智能合约中代码克隆的普遍性、演化规律与缺陷关联性，并进一步揭示了克隆产生的潜在原因。通过对26,294份智能合约（包含97,877个函数）的评估分析，我们发现代码克隆在智能合约中普遍存在。平均而言，32.01%的克隆代码会协同演化，这提示开发者需要谨慎管理以避免一致性问题。值得注意的是，与传统软件开发不同，智能合约中的代码克隆极少涉及缺陷修复。最后，我们归纳出影响克隆产生的三大关键因素。本研究可为开发者理解和管理Solidity智能合约中的代码克隆提供重要参考。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a660/251mGs7pOeI

51、Code Comment Inconsistency Detection and Rectification Using a Large Language Model

源代码中广泛使用注释。若注释与其标注的代码段保持一致，将有助于代码理解；反之，代码注释不一致（CCI）不仅妨碍代码理解，更会对软件开发、测试与维护产生负面影响。现有研究主要聚焦于不一致性检测，但性能参差不齐。显然仅靠检测无法解决问题，仅为解决之道铺路。完整解决方案需检测不一致性，更重要的是通过修正注释实现修复，而此类工作尚属稀缺。本文提出C4RLLaMA——基于开源CodeLLaMA微调的大语言模型，不仅能通过修正注释内容修复不一致性，其检测性能更超越现有最优方法。多数据集实验证实，C4RLLaMA在事后与即时CCI检测中均表现更优。更重要的是，C4RLLaMA在多项指标上大幅超越当前唯一已知的CCI修复方法。为深入评估修复效果，我们开展人工评测，结果显示C4RLLaMA在即时与事后场景下的注释修正正确率分别达65.0%与55.9%，表明其具备实际应用潜力。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a432/215aWPzNfB6

52、Code Today, Deadline Tomorrow: Procrastination Among Software Developers

拖延，即延迟或推迟某项任务的行为，是一种众所周知的普遍现象。尽管学术界已对其展开研究，但关于软件开发人员为何拖延的认知仍十分有限。拖延如何影响他们的工作？开发者又该如何应对拖延？本文首次针对开发者群体的拖延现象展开研究。我们采访了来自不同行业的15名开发者，通过定性编码方法，归纳出参与者感知到的拖延积极与消极影响及其诱发因素，并采用成员核查法验证了研究发现。研究结果揭示了拖延对开发效率的14种负面影响，但参与者同时报告了8种积极影响（其中4种提升工作满意度）。我们还发现诱发拖延的因素可分为三类：任务相关因素、个人因素及外部因素。最后，本文结合参与者反馈与其他领域研究，提出19种缓解拖延影响的技巧，包括提升自我觉察与任务专注度、辅助任务规划、建立团队支持路径等应对策略。基于这些发现，我们探讨了针对开发者的干预措施及工具设计建议。本研究证明，开发者群体的拖延现象具有独特的影响因素与作用机制。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a735/251mHgxubJe

53、CodeImprove: Program Adaptation for Deep Code Models

利用深度学习（DL）的代码分析工具解决软件工程任务正日益普及。代码模型常因多种原因（如代码数据偏移）出现性能下降，而重新训练虽能解决此类问题，但频繁的模型更新在标注和部署方面成本高昂。本文探索了一种替代方案：调整程序输入以适应代码模型。该方案通过两步实现：1）输入验证——重点识别超出模型处理能力的范围外输入程序；2）输入适配——将范围外输入调整为范围内输入。程序输入的验证具有挑战性，因为现有技术主要针对图像数据等连续输入，而代码数据作为离散输入具有独特特征且深度学习模型处理方式不同，导致现有方法失效。范围外程序的适配同样困难，因其搜索空间庞大。为此，本文提出CodeImprove，该系统能区分范围外与正常输入，并通过程序转换将范围外输入还原为范围内输入。具体而言，我们提出有效性评分指标来识别范围外输入，并利用遗传算法进行语义保持的程序转换。实验结果表明，CodeImprove在两个软件工程任务的三个代码模型上最高可提升8.78%的准确率，相对改进达51.28%。此外，我们的输入验证方法在检测范围外输入方面表现优异（AUC得分0.924）。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a676/251mGCUJWWQ

54、Combining Fine-tuning and LLM-based Agents for Intuitive Smart Contract Auditing with Justifications

智能合约是构建在以太坊等区块链之上的去中心化应用。近期研究表明，大型语言模型（LLM）在智能合约审计领域具有潜力，但现有技术显示，即便是GPT-4模型也仅能达到30%的精确度（要求判断与依据同时正确）。这很可能因为现成的LLM主要基于通用文本/代码语料库进行预训练，而未针对Solidity智能合约审计这一特定领域进行微调。本文提出iAudit框架，该通用框架结合微调技术与基于LLM的智能体，实现带解释说明的直观智能合约审计。具体而言，iAudit的灵感来源于专业审计人员的操作模式：他们首先感知潜在问题，继而通过代码细粒度分析定位漏洞成因。为此，iAudit采用两阶段微调策略：先微调检测模型（Detector）作出判断，再微调推理模型（Reasoner）生成漏洞成因。然而，仅靠微调难以精准识别最优漏洞成因。因此，我们引入基于LLM的排序器（Ranker）与校验器（Critic）两个智能体，基于微调后的推理模型输出，通过迭代筛选与辩论机制确定最合适的漏洞成因。为评估iAudit，我们收集了包含1,734个正样本与1,810个负样本的平衡数据集进行微调，并将其与传统微调模型（CodeBERT、GraphCodeBERT、CodeT5和UnixCoder）以及基于提示学习的LLM（GPT4、GPT-3.5和CodeLlama-13b/34b）进行对比。在包含263个真实智能合约漏洞的数据集上，iAudit的F1值达到91.21%，准确率为91.11%。其生成的漏洞成因与真实成因的一致性达到约38%。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a330/215aWJuPWRq

55、Coni: Detecting Database Connector Bugs via State-Aware Test Case Generation

数据库连接器被广泛应用于各类程序中，以实现灵活便捷的数据库交互。连接器中潜在的缺陷可能导致应用程序出现多种异常行为，例如返回错误结果或遭遇意外连接中断。然而现有数据库管理系统模糊测试方案主要聚焦于SQL语句生成，且仅使用少量连接器接口，无法直接适用于数据库连接器测试。由于缺乏领域知识，自动化测试用例生成技术同样难以构造能探索连接器复杂交互行为的有效用例。测试数据库连接器的核心挑战在于生成具有语义正确性、能触发多种连接器状态转换的测试用例。为此，我们提出Coni框架，通过状态感知的测试用例生成来检测数据库连接器逻辑漏洞。首先通过分析标准规范定义连接器状态模型，基于该模型生成包含多状态转换的接口调用序列。随后根据参数信息和运行时收集的上下文信息生成合适参数值，最终在目标连接器和参考连接器上执行测试用例，结果不一致则表明存在潜在缺陷。我们在5款主流JDBC连接器（MySQL Connector/J、MariaDB Connector/J、AWS JDBC Driver for MySQL、PGJDBC及PG JDBC NG）上评估Coni，共发现44个未知漏洞，其中34个已获确认。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a026/215aWngae64

56、ConsCS: Effective and Efficient Verification of Circom Circuits

Circom是一种用于编写算术电路的流行编程语言，可生成zk-SNARKs等零知识证明（ZKP）。ZKP在zkRollups等协议中受到极大关注。Circom电路会被编译为Rank-1约束系统（R1CS）电路，并基于此生成zk-SNARK证明。然而，R1CS电路面临的主要挑战之一是约束不足问题——由于约束不充分，可能导致错误计算通过验证，进而引发安全漏洞。本文提出新型框架ConsCS以实现Circom电路的自动化验证，其贡献包含三方面：1）提出创新的电路推理规则，在缩减电路规模的同时，比现有工作提取更全面的信息；2）引入新型二进制属性图（BPG）作为高效推理引擎，其效果与效率均超越现有工具；3）利用细粒度领域特定信息指导SMT求解器处理非线性约束，将现有工作的SMT查询成功率从2.68%提升至48.84%。实验表明，ConsCS将现有工作的解决率从50-60%提升至80%以上。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a737/251mHhOXS9i

57、Constrained LTL Specification Learning from Examples

时态逻辑规约在软件分析任务中具有重要作用，广泛应用于模型检测、自动合成、程序理解及运行时监测等领域。给定一组由轨迹表示的正负示例，LTL学习的目标是合成一个线性时态逻辑（LTL）规约，使其对正例返回真值而对负例返回假值。本文提出了一种新型约束式LTL学习问题：除正负示例外，用户还可指定待学习LTL公式所需满足的一个或多个属性约束。我们证明这些附加约束能力能显著扩展LTL学习的应用范围，并支持高效生成满足特定需求（如最小化）的LTL公式。通过将问题编码为一阶关系逻辑并归约为最大可满足性（MaxSAT）问题，我们提出了约束式LTL学习的解决方案。实验评估表明，基于该方法的实现工具ATLAS不仅能解决新型学习问题，其性能更优于或媲美当前最先进的LTL学习工具。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a697/251mGQTUvjW

58、Context Conquers Parameters: Outperforming Proprietary LLM in Commit Message Generation

提交信息通过自然语言描述代码提交中的修改内容，这对软件维护和演进至关重要。随着大语言模型（LLM）的发展，研究者开始利用其生成高质量的提交信息，例如全能提交信息生成器（OMG）。该方法采用GPT-4生成最先进的提交信息。然而，在编码任务中使用GPT-4等专有大语言模型存在隐私和可持续性隐患，可能阻碍其在工业界的应用。鉴于开源大语言模型在编译器验证等开发者任务中已展现出竞争力，本研究探讨其能否生成与OMG相媲美的提交信息。实验表明，开源大语言模型生成的提交信息质量可与OMG匹敌。通过一系列上下文优化，我们进一步提出OMEGA方案——采用4比特量化的80亿参数开源大语言模型。OMEGA生成的提交信息达到业界最优水平，在实际开发者偏好评估中超越了GPT-4的表现。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a585/251mFBMpvfa

59、Cooperative Software Verification via Dynamic Program Splitting

协同软件验证通过将验证任务分配给多个验证工具以提高效率和效果。其基本思路是让不同验证器分别处理程序的不同部分，最终合并验证结果。尽管这一理念直观可行，但协同验证通常面临两大阻碍：(1) 程序分解往往是静态的，未能考虑各验证器的优势与短板；(2) 分解后的程序片段常以特定专有格式表示，导致难以在协同验证中使用现成验证器。本文提出名为动态程序切分(DPS)的创新协同验证方案。切分机制将程序分解为若干（更小的）子程序，从而直接支持现成工具的使用。DPS采用动态按需切分策略：验证过程始于将验证任务（程序及正确性规范）分配给验证器V1。当V1判定当前任务难以验证时，即对任务（即程序）进行切分并重启子任务验证。该过程持续至出现以下情形：(1) 发现违规行为；(2) 所有子任务完成；(3) 达到用户定义的终止条件。第三种情况下，剩余未完成的子任务将合并为单个任务移交至下一验证器V2，对未验证程序部分重复相同流程。这种机制通过验证器的验证难度动态引导分解过程，充分发挥各验证器的互补优势。我们实现了动态程序切分方案，并在年度软件验证竞赛SV-COMP的基准测试集上进行评估。结果表明：采用DPS的协同验证能够解决所有组成验证器均无法独立完成的验证任务，且未产生显著性能开销。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a629/251mG7REoNi

60、Critical Variable State-Aware Directed Greybox Fuzzing

定向模糊测试是一种高效的软件测试方法，它能引导模糊测试活动朝向用户定义的目标兴趣点，从而发现与这些目标点相关的漏洞。然而，即使生成的测试用例覆盖了目标点附近的代码，复杂的漏洞仍可能未被触发。由于仅关注覆盖新边的测试用例，与目标相关的程序状态往往被忽视，导致目标点测试不充分，难以捕获复杂漏洞。本文提出了一种名为CSFuzz的新型定向模糊测试方案，该方案关注与目标点关联的程序状态。首先，CSFuzz通过静态分析从程序中提取与目标点相关的关键变量；其次，通过监控这些关键变量的运行时值，并基于变量值范围的自适应划分来推断与目标点关联的程序状态，从而将触发目标点附近新状态的有趣种子存入状态语料库；最后，CSFuzz采用动态调度技术引导模糊测试活动选择不同语料库并优先处理特定种子，确保对目标点进行更充分的测试。我们实现了CSFuzz原型，并在2个基准测试集和广泛使用的真实软件上进行评估。实验结果表明，CSFuzz在漏洞检测能力上优于当前最先进的模糊测试工具，最高提速达219%。此外，CSFuzz已发现4个新漏洞，其中2个获得CVE编号。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a755/251mHtx3MSk

61、DPFuzzer: Discovering Safety Critical Vulnerabilities for Drone Path Planners

最先进的无人机路径规划器使无人机能够在无GPS信号、未知且障碍物密集的环境中自主穿行。然而，我们的研究表明，路径规划器在特定场景下无法正确操控无人机，从而导致碰撞等事故。为降低此类风险，无人机路径规划器在部署前应针对多样化场景进行充分测试。现有无人机测试研究仅聚焦于飞行控制程序，且缺乏为测试路径规划器生成多样化障碍场景的能力。本文提出DPFuzzer——一种自动化测试无人机路径规划器的框架。该框架基于进化算法（EA），旨在通过生成能触发漏洞的多样化关键场景来发现路径规划器的安全隐患。为更好地指导关键场景生成，我们提出"环境风险因子"（ERF）这一度量指标，用以抽象化场景的潜在安全威胁。我们在前沿无人机路径规划器上评估DPFuzzer，实验结果表明该框架能有效发现多样化漏洞。此外，我们验证了这些漏洞可在现实世界的商用无人机上被实际利用。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a588/251mFDMaBXi

62、Datalog-Based Language-Agnostic Change Impact Analysis for Microservices

业界推崇的左移原则要求我们尽早对软件应用进行测试。具体而言，当微服务应用的代码变更提交至代码仓库时，我们必须高效识别出所有受变更影响的公共微服务接口，以便尽快测试这些受影响接口。然而，由于多语言问题，在微服务中开发高效的变更影响分析极具挑战性：微服务应用通常采用多种编程语言实现，并涉及多样化的框架与配置文件。为此，本文提出Microscope——一种与语言无关的变更影响分析方法，其通过关系型Datalog规则统一表示代码、配置文件、框架及代码变更，进而利用高效的Datalog求解器识别受影响接口。基于领先软件厂商蚂蚁集团实际应用的实验表明：Microscope能成功识别112次代码提交所影响的接口，在可接受的时间开销内同时保证高效性与准确性，可在代码变更后减少97%的待测接口并节省73%的测试时间。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a652/251mGmL1wVa

63、Decictor: Towards Evaluating the Robustness of Decision-Making in Autonomous Driving Systems

自动驾驶系统（ADS）测试在开发过程中至关重要，当前研究主要聚焦于安全性。然而，非安全关键性能的评估——尤其是ADS为自动驾驶车辆（AV）做出最优决策并生成最优路径的能力——对于确保智能性和降低风险同样不可或缺。目前鲜有工作致力于评估ADS路径规划决策（PPD）的鲁棒性，即当环境发生微小变化时，ADS能否保持最优PPD。核心挑战在于缺乏评估PPD最优性的明确预言机制，以及难以搜索导致非最优PPD的场景。为填补这一空白，本文重点评估ADS的PPD鲁棒性，首次提出非最优决策场景（NoDS）生成方法Decictor——当ADS无法为AV规划最优路径时触发。该方法包含三大组件：非侵入式变异、一致性检验和反馈机制。针对预言机制缺失的挑战，非侵入式变异通过保守修改确保变异场景保留原始最优路径；随后通过对比原始与变异场景中的行驶路径，一致性检验可判定是否存在非最优PPD。针对环境空间庞大的挑战，我们设计融合AV运动时空维度的反馈指标，这些指标对高效引导NoDS生成至关重要。Decictor通过生成新场景并识别其中的NoDS实现目标。我们在开源工业级ADS百度Apollo上进行评估，实验结果验证了Decictor检测非最优PPD的有效性：其共生成63.9个NoDS，而最优基线方法仅检测到35.4个。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a651/251mGm7hGI8

64、Decoding Secret Memorization in Code LLMs Through Token-Level Characterization

代码大语言模型（LLMs）在生成、理解和操作编程代码方面展现出卓越能力。然而，其训练过程会无意间记忆敏感信息，导致严重的隐私风险。现有关于LLMs记忆效应的研究主要依赖提示工程技术，但这些方法存在幻觉现象普遍、目标敏感信息提取效率低下等局限性。本文提出一种基于令牌概率的新方法，用于区分代码LLMs生成的真实秘密与虚假秘密。我们识别出真实秘密区别于幻觉秘密的四个关键特征，为区分真伪秘密提供了理论依据。为突破现有研究的局限，我们提出DESEC——一种两阶段方法，利用从特征中提取的令牌级信息指导解码过程。DESEC首先通过代理代码LLM构建离线令牌评分模型，随后运用该评分模型通过重新分配令牌似然值来引导解码过程。基于多样化数据集对四种前沿代码LLM开展的实验表明，相较于现有基线方法，DESEC在提升合理率与提取更多真实秘密方面具有显著优势。我们的研究证实了这种令牌级方法在全面评估代码LLMs隐私泄露风险方面的有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a765/251mHAcUWwo

65、Decoding the Issue Resolution Process in Practice via Issue Report Analysis: A Case Study of Firefox

有效管理和解决软件问题对于维护和发展软件系统至关重要。开发团队通常依赖问题跟踪器和问题报告来追踪和管理问题解决过程中的各项工作，包括问题复现、分析、解决方案设计、实施、验证及部署。尽管软件工程界普遍认为问题解决流程是一系列顺序活动，但开发者实际执行该流程的方式及其在问题报告中的讨论细节仍不明确。本文通过分析Mozilla Firefox的问题报告，旨在深化对实践中问题解决流程的理解。我们对356份Firefox问题报告中的讨论内容进行了定性与定量分析，以识别开发者处理各类软件问题时经历的阶段序列。通过分析这些序列，我们揭示了Firefox的整体解决流程，并归纳出代表该流程实例的47种模式。我们从模式复杂度、问题报告类型、问题分类及解决时长等多个维度对流程和模式进行分析，从而获得关于Mozilla问题解决流程的多方面洞见。最后，我们探讨了这些发现及其对不同利益相关方的启示，以帮助他们更好地评估和改进问题解决流程。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a777/251mHHwelfq

66、Deep Learning-based Code Reviews: A Paradigm Shift or a Double-Edged Sword?

已有多种技术被提出用于（部分）自动化代码审查。早期的支持手段包括为特定代码变更推荐最合适的审查者或对审查任务进行优先级排序。随着深度学习在软件工程中的应用，自动化水平达到了新高度——现有方法能像人类审查者一样用自然语言对源代码提供反馈。此外，近期研究记录了开源项目采用大型语言模型（LLM）作为协同审查者的实践。尽管该领域研究非常活跃，但自动生成代码审查对审查流程的实际影响仍鲜为人知。虽然存在多个值得探究的方面（例如开发者间的知识传递是否受影响？），本研究重点关注以下三点：(i) 审查质量，即审查者发现代码问题的能力；(ii) 审查成本，即代码审查耗时；(iii) 审查者信心，即其对所提供反馈的确信程度。我们开展了包含29名专业开发者的对照实验，要求他们在有无自动生成审查建议支持下分别审查不同程序。实验过程中记录了超过50小时的审查活动数据。研究表明：审查者普遍认可LLM自动识别的大部分问题，且自动化审查作为起点会显著改变其行为模式——审查者倾向于聚焦LLM指出的代码位置，而非主动搜寻其他部分的潜在问题。相比完全人工流程，基于自动化审查起点的审查者能发现更多低严重性问题，但高严重性问题的发现数量并未提升。最后，自动化支持既未节省时间成本，也未增强审查者信心。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a597/251mFKpbMiI

67、Definition and Detection of Centralization Defects in Smart Contracts

近年来，智能合约的中心化缺陷引发的安全事件已造成巨额经济损失。中心化缺陷指智能合约在设计或开发阶段引入单点故障的任何错误、缺陷或疏漏。此类缺陷使得特定账户或用户能够干扰智能合约的正常运行，可能导致功能异常甚至项目彻底瘫痪。尽管该问题至关重要，当前多数智能合约分析仍忽视中心化缺陷，主要聚焦于其他类型缺陷。为填补这一空白，本文通过人工分析597篇Stack Exchange帖子和117份审计报告，归纳出六类智能合约中心化缺陷。针对每类缺陷，我们提供详细描述和代码示例以阐明其特征及潜在影响。此外，我们开发了名为CDRipper（中心化缺陷提取器）的检测工具，该工具通过构建权限依赖图（PDG）并从智能合约源代码中提取函数的权限依赖关系，进而识别函数中的敏感操作，最终基于预定义模式检测中心化缺陷。我们对244,424个真实智能合约展开大规模实验，并基于人工标注数据集评估结果。研究发现82,446份合约至少存在六类中心化缺陷之一，该工具整体准确率达93.7%。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a595/251mFJ0TIL6

68、Demystifying and Detecting Cryptographic Defects in Ethereum Smart Contracts

以太坊官方提供了一套系统级加密API，旨在为智能合约赋予密码学能力。这些API已被应用于超过10%的以太坊交易中，激励开发者实现各类链上密码学任务（如数字签名）。但由于开发者未必具备密码学专业知识，其临时性且可能存在缺陷的实现方式可能破坏密码学的理论保障，进而引发实际安全问题。为应对这一威胁，我们开展了首项针对智能合约密码学缺陷的解析与检测研究。通过分析2,406份真实安全报告，我们定义了九类智能合约密码学缺陷，并提供详细描述与实用检测模式。基于此分类体系，我们提出CrySol工具——一种基于模糊测试的智能合约密码学缺陷自动化检测方案。该工具结合交易回放与动态污点分析技术提取细粒度密码学语义，并采用密码学专用策略指导测试用例生成过程。此外，我们构建了包含25,745个真实密码学相关智能合约的大规模数据集进行评估。实验结果表明CrySol总体精确率达95.4%，召回率为91.2%。值得注意的是，CrySol检测发现25,745个合约中有5,847个（22.7%）至少存在一种密码学缺陷，凸显了此类缺陷的普遍性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a114/215aWwYv26Y

69、DesignRepair: Dual-Stream Design Guideline-Aware Frontend Repair with Large Language Models

大型语言模型（LLM）的兴起通过Vercel的V0等工具简化了前端界面创建，但也暴露出设计质量（如可访问性和可用性）方面的挑战。现有解决方案常因关注范围有限、普适性不足或数据依赖性等问题，难以应对这些复杂挑战。此外，当前尚无研究系统评估LLM生成的UI设计质量。本研究提出DesignRepair——一个基于设计规范的双流系统，通过代码层面与页面渲染层面的双重检测来修复UI设计质量问题，并以成熟且广泛应用的Material Design作为指导知识库。具体而言，我们首先构建了包含谷歌Material设计原则的综合性知识库，将其编码为底层组件知识库与高层系统设计知识库。随后，DesignRepair利用LLM提取关键组件，并通过Playwright工具进行精准页面分析，将结果与知识库进行比对。最后，我们采用检索增强生成技术结合GPT-4等前沿LLM，通过分治策略全面优化前端代码。大量实验验证了该方法的有效性，其显著提升了设计规范符合度、可访问性及用户体验指标。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a646/251mGiYhglO

70、Dissecting Global Search: A Simple yet Effective Method to Boost Individual Discrimination Testing and Repair

深度学习（DL）在涉及社会重大决策的应用中取得了显著成功，但常常表现出不公平行为，引发社会担忧。其中，个体歧视——即考察仅在性别、种族、年龄等敏感属性上存在差异而其他特征完全相同的实例对之间的不平等——具有极强的社会影响力。现有方法在模型部署前检测个体歧视方面做出了重要且值得称赞的努力，但其效率和效果仍存在局限，尤其在评估相对更公平的模型时。目前尚不清楚现有测试框架中的哪个环节（全局阶段或局部阶段）是限制性能的主要瓶颈。针对上述问题，我们首先发现：相较于优化局部阶段，增强全局阶段能持续提升整体测试效果。基于此，我们提出遗传随机公平性测试（GRFT），一种高效且精准的方法。在全局阶段，采用遗传算法引导搜索更具全局性的歧视实例；在局部阶段，通过轻量级随机搜索探查这些实例的邻域，避免耗时计算。此外，基于适应度评分，我们还提出了一种简洁而有效的修复方法。为全面评估，我们开展了大规模实验，涵盖6种测试方法、5个数据集、261个模型（包括5个原始训练模型、64个修复模型和192个面向设备端部署的量化模型）以及16种敏感属性组合，结果证明了GRFT及所提修复方法的优越性能。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a771/251mHDPJfxu

71、Distilled Lifelong Self-Adaptation for Configurable Systems

现代可配置系统为构建未来智能软件系统提供了巨大机遇。其核心挑战在于如何有效实现运行系统的自我调优配置，从而在时变工作负载下优化性能指标（如运行时间和吞吐量）。现有方法因忽视历史知识的利用，或静态调用过往经验而未评估信息有效性，至今未能解决这一难题。本文提出DLiSA框架应对这一挑战，该框架具备两大特性：其一支持终身学习规划，使规划过程贯穿系统全生命周期，动态利用累积知识实现快速调优；其二通过蒸馏知识播种加速新工作负载的规划过程，动态提纯历史知识，仅在必要时注入有效配置，避免误导信息干扰。大量实验表明，DLiSA显著优于现有最优方法，生成优质调优配置的性能提升最高达229%，资源加速比达2.22倍。所有数据及源码详见项目仓库：https://github.com/ideas-labo/dlisa。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a631/251mG9jDf1K

72、Diversity Drives Fairness: Ensemble of Higher Order Mutants for Intersectional Fairness of Machine Learning Software

交叉公平性是机器学习（ML）软件的关键要求，它要求跨多个受保护属性定义的子群体实现公平性。本文提出FairHOME——一种新颖的集成方法，通过输入的高阶变异在推理阶段增强ML软件的交叉公平性。受社会科学理论强调多样性优势的启发，FairHOME为每个输入实例生成代表不同子群体的变异体，从而拓宽视角范围以促进更公平的决策过程。与传统集成方法（组合不同模型的预测结果）不同，FairHOME组合同一ML模型对原始输入及其变异体的预测结果来形成最终决策。值得注意的是，FairHOME甚至适用于已部署的ML软件，因为它无需训练新模型。我们使用广泛采用的指标，在24个决策任务中对FairHOME与七种最先进的公平性改进方法进行了全面评估。FairHOME在所有考量指标上均持续优于现有方法，平均将交叉公平性提升47.5%，较当前最佳方法高出9.6个百分点。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a659/251mGrwemcg

73、Dockerfile Flakiness: Characterization and Repair

Dockerfile的不可靠性——由外部依赖和动态环境变化引发的不可预测的临时构建失败——会破坏部署可靠性并增加调试负担。与传统Dockerfile问题不同，这种不可靠性在未修改Dockerfile本身的情况下就会发生，使得问题解决更为复杂。本研究首次对Dockerfile不可靠性进行全面分析，通过对8,132个Docker化项目进行为期九个月的追踪，发现约10%的项目存在不可靠行为。我们提出了一种分类法，将常见不可靠性原因归纳为依赖项错误和服务器连接问题等类别。现有工具由于依赖预定义规则且泛化能力有限，难以有效应对这些挑战。为此，我们提出了FLAKIDOCK——一个结合静态/动态分析、相似性检索以及基于大语言模型（LLMs）迭代反馈机制的新型修复框架。实验表明，FLAKIDOCK的修复准确率达到73.55%，显著优于现有最优工具和基线方法。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a774/251mHFJwMwg

74、Does GenAI Make Usability Testing Obsolete?

确保可用性对移动应用的成功至关重要。可用性问题会损害用户体验，并对应用质量的感知产生负面影响。本文提出UX-LLM，这是一种由大型视觉语言模型驱动的新型工具，可预测iOS应用中的可用性问题。为评估UX-LLM的性能，我们预测了两个中等复杂度开源应用的可用性问题，并邀请两位可用性专家对预测结果进行评估。我们还对这两个应用进行了传统可用性测试和专家评审，并将结果与UX-LLM的预测结果进行比较。UX-LLM的精确度介于0.61至0.66之间，召回率在0.35至0.38之间，表明其能够识别有效的可用性问题，但未能捕捉大多数问题。最后，我们与一个开发视障人士公交应用的毕业设计团队进行了焦点小组讨论。该小组对UX-LLM持积极态度，因为它发现了应用中未知的可用性问题，但也对其融入开发流程提出了改进建议。结果表明，UX-LLM虽无法完全取代传统可用性评估方法，但由于其能够检查源代码，可作为资源有限的小型团队的有益补充，尤其适用于识别较少出现的用户路径中的问题。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a675/251mGC4Nm92

75、EP-Detector: Automatic Detection of Error-prone Operation Anomalies in Android Applications

安卓应用已深度融入并广泛应用于我们的日常生活，用户对操作便捷性和鲁棒性等体验优化的需求与日俱增。然而开发者仍过度聚焦传统功能与性能优化，忽视了实际场景中用户体验的关键作用。例如设计缺陷的页面元素可能引发用户误操作，导致非预期结果，这类现象被称为易误操作异常（EPA）。本研究首次系统揭示了EPA问题的本质：通过主体、客体与环境三维度剖析其根源，采用多阶段属性捕获与精准相似度计算进行归因，最终将成因细分为行为混淆性、布局失当性及资源过载性三类。基于此，我们研发了动态GUI测试工具EP-Detector，其搭载基于控件探索的目标导航与自动化测试预言机制，能全面精准地识别易误页面元素并模拟交互事件。为量化现实场景中EPA的普遍性与危害程度，我们对53款主流安卓应用展开实验。实证结果不仅验证了EP-Detector具备90.3%的准确率与88.7%的召回率，更揭示出现有应用平均每两个页面控件就存在至少1个EPA，其中28.3%可能导致安全或功能性问题。EP-Detector已开源：https://github.com/WordDealer/EP-Detector。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a355/215aWKXnZm0

76、Early Detection of Performance Regressions by Bridging Local Performance Data and Architectural Models

在软件开发过程中，开发者常需进行大量修改以修复问题或实现新功能。然而某些变更可能无意间对系统整体性能造成负面影响。为确保新版本软件性能不发生退化（即避免性能回退），现行实践依赖系统级性能测试（如负载测试）或组件级性能测试（如微基准测试）来检测性能回退。但全系统性能测试往往成本高昂且耗时，难以适应现代DevOps实践中常见的快速发布周期。此外，系统级性能测试必须待系统完全构建部署后才能执行。另一方面，组件级测试仅关注独立组件，忽略了系统整体性能及工作负载的影响。本文提出一种创新方法，通过桥接组件测试生成的局部性能数据与系统级架构模型，实现性能回退的早期检测。我们的方法利用局部性能数据识别组件级偏差，进而将偏差传播至架构模型，最终通过该模型预测系统整体性能回退。通过对两个代表性开源基准系统的评估，我们证明该方法能有效检测不同强度局部偏差及各类系统负载下的端到端性能回退。更重要的是，相较于现有方案必须等待系统完整构建部署，我们的方法可在开发阶段早期实现检测。该方法具有轻量化特性，在测试资源有限时可作为传统系统性能测试的有效补充。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a317/215aWIMQ7Hq

77、EffBT: An Efficient Behavior Tree Reactive Synthesis and Execution Framework

行为树（BTs）最初源于非玩家角色（NPC）的控制，因其模块化、反应性等优势特性，已被机器人学和软件工程领域广泛采纳。如何自动合成行为树成为关键需求，随之而来的挑战是确保生成的BT在语义上正确、结构良好且执行高效。为此，本文提出一种新型反应式BT合成方法EffBT，能够从GR(1)形式化规约自动生成正确高效的控制逻辑。其核心思想是基于GR(1)可实现性检验算法推导的中间策略，构建具备形式保证的行为树。此外，我们首次引入剪枝策略并利用\textit{Parallel}节点优化BT执行效率。理论证明了EffBT方法的可靠性，实验结果表明该方法在多种场景和数据集上均具有显著有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a761/251mHxBpbvG

78、Efficient Domain Augmentation for Autonomous Driving Testing Using Diffusion Models

基于仿真的测试被广泛用于评估自动驾驶系统（ADS）的可靠性，但其有效性受限于此类仿真器所能提供的运行设计域（ODD）条件。为突破这一局限，本研究探索将生成式人工智能技术与基于物理的仿真器相结合，以增强ADS系统级测试。我们评估了基于扩散模型的三种生成策略（指令编辑、图像修复及带优化的图像修复）在生成代表新ODD的驾驶场景增强仿真图像时的效能与计算开销。通过采用基于语义分割的新型自动无效输入检测器，我们确保神经网络生成图像在语义保持和真实感方面的质量。随后开展的系统级测试评估了ADS对新合成ODD的泛化能力。实验表明：扩散模型能有效提升系统级测试的ODD覆盖率；我们的自动语义验证器误报率低至3%，保障了生成图像用于测试的正确性与质量；该方法成功在真实道路测试前识别出新的ADS系统故障。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a743/251mHlJWvuw

79、Enhancing Code Generation via Bidirectional Comment-Level Mutual Grounding

大型语言模型（LLM）在代码生成领域展现出前所未有的能力。然而，LLM生成的代码仍普遍存在各类功能错误，尤其是面对模型未曾接触过的复杂编程任务时。近期研究表明，开发者往往难以检查和修正LLM生成的错误代码，这不仅降低了工作效率，也削弱了他们对LLM代码生成能力的信任。受交流中的互信基础理论启发，我们提出一种交互式方法——以代码注释为媒介，在开发者与LLM之间建立共同理解。该方法通过交替进行代码生成、行内注释生成以及基于可编辑注释的情境化用户反馈，实现迭代式认知对齐，使生成代码更符合开发者意图。我们在两个主流基准测试上验证了该方法，结果显示其显著提升了多个前沿LLM的表现（例如Code-davinci-002在HumanEval上的通过率提升17.1%）。此外，我们开展了12人参与的对比实验，基线方案为：(1) 与GitHub Copilot交互，(2) 采用多轮程序合成范式。使用本方法时，参与者完成任务速度提升16.7%，任务成功率提高10.5%。两项实验均证明：通过交互式优化代码注释建立协作互信，能有效提升代码生成准确性并增强开发者信心。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a702/251mGV7CFfq

80、Enhancing Fault Localization in Industrial Software Systems via Contrastive Learning

工程师通常将日志作为大规模软件和系统测试中故障定位的主要资源，这一过程以耗时、昂贵且劳动密集而著称。尽管自动化故障定位方法已取得显著进展，但由于现有大多数故障定位技术所依赖的细粒度日志特征难以获取，其实际应用仍受限制。为此，我们提出FALCON——一种新型基于日志的故障定位框架。FALCON将复杂的语义日志信息组织为图形化表示，并采用对比学习捕捉通过日志与失败日志之间的差异，从而识别关键的故障相关特征。该框架还特别设计了基于传递性分析的自适应图增强机制，以降低无关日志信息对对比学习的干扰。通过对34种基于频谱和4种基于学习的故障定位方法进行广泛评估，FALCON展现出卓越性能，在比较中全面超越所有方法。此外，FALCON在某全球企业测试系统中为期一个月的实际部署期间，成功定位了90个故障中的71个，文件级Top-1准确率验证了其实际应用价值。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a101/215aWwktALS

81、Enhancing The Open Network: Definition and Automated Detection of Smart Contract Defects

开放网络（TON）旨在支持Telegram数亿级庞大用户群体，自2022年推出以来备受关注。FunC是TON生态中最主流的智能合约编程语言，其语法设计与其他智能合约语言存在显著差异。尽管关注度持续攀升，针对TON智能合约实际缺陷的研究仍处于起步阶段。本文通过分析TON官方博客与审计报告，系统归纳了八类典型智能合约缺陷，并为每类缺陷提供精确定义与代码示例。进一步提出静态分析框架TONScanner：该框架复用FunC编译器前端代码，将合约源码转换为有向无环图形式的中间表示（IR），基于此构建控制流图（CFG）并转换为静态单赋值形式（SSA）以简化分析。TONScanner还集成了数据依赖分析、调用图构建、污点分析及专为TON区块链独特数据结构设计的Cell构造分析模块，最终实现八类缺陷的精准检测。通过对1,640份合约的实证分析，共检出14,995个缺陷实例。经随机抽样与人工验证，TONScanner整体准确率达97.49%。研究结果表明当前TON合约普遍存在缺陷，开发者易犯典型错误。TONScanner能有效识别这些缺陷，为修复工作提供有力支持。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a656/251mGpt43Vm

82、Evaluating Garbage Collection Performance Across Managed Language Runtimes

现代托管语言运行时（如Java、Go和C#）依赖垃圾回收（GC）机制自动分配和释放内存对象。GC实现的效率会显著影响基于运行时的应用程序整体性能。为提升GC性能，学术界与工业界已提出多种方法评估单个运行时中的GC实现。然而这些方法仅针对特定托管语言（如Java），无法用于比较不同运行时的GC实现。本文提出GEAR方法，可自动为不同托管语言运行时构建一致的GC工作负载，进而实现跨运行时GC实现的评估。具体而言，我们设计了一组与运行时无关的内存操作原语（MOP），能刻画影响GC的内存使用信息。GEAR可进一步将MOP程序自动转换为目标运行时的特定程序，作为跨运行时的一致性GC工作负载。为构建具有真实GC工作负载的MOP程序，我们改造了常用运行时Java虚拟机（JVM），收集Java应用执行期间的内存操作轨迹，并将其转换为MOP程序。在三大主流运行时（Java、Go和C#）上的实验表明，GEAR能为不同运行时生成一致的GC工作负载。我们进一步对这三个运行时展开全面研究，揭示了其GC性能的有趣发现，为改进GC实现提供了实用指导。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a754/251mHsQcmeA

83、Execution Trace Reconstruction Using Diffusion-Based Generative Models

执行追踪对于理解系统和软件行为至关重要，然而丢失的追踪事件会严重损害数据完整性与分析结果。现有的追踪重建方案往往未能充分利用可用数据，尤其在复杂高维场景中表现不足。近年来生成式人工智能（特别是扩散模型）在图像、音频及自然语言生成领域树立了新标杆。本研究首次系统评估了扩散模型在重建不完整追踪事件序列中的表现。通过基于Phoronix测试套件生成的九种数据集，我们针对不同序列长度和缺失率进行了严格测试。结果表明，SSSDS4模型在多种填补场景下均展现出卓越性能，其准确性、完美重构率和ROUGE-L评分均优于同类方法。这些发现证实了基于扩散的模型能精准重建缺失事件，从而有效维护数据完整性并增强系统监控与分析能力。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a600/251mFMB9DBC

84、Exploring the Robustness of the Effect of EVO on Intention Valuation through Replication

高质量软件的开发依赖于精确且全面的需求，这些需求需符合利益相关者的目标。目标建模技术应运而生，旨在填补这一空白——通过捕捉和分析利益相关者的需求，并支持其进行权衡决策；然而，利益相关者往往难以理解目标建模的分析过程。近期研究发现，当受试者接受基础的目标建模培训并使用名为EVO的彩色可视化工具时，他们能更快地做出目标建模决策，且不降低决策质量。本文评估了EVO实证证据的稳健性，并对EVO初始设计者采用的颜色方案提出质疑。我们开展了原EVO研究的伪精确复现实验（样本量n=60），变更了实验地点与研究人群。即使在需求工程与目标建模先验知识更薄弱的异质样本中，使用EVO的个体回答目标建模问题的速度仍显著快于对照组，这拓展了原结论的外部效度。但我们也发现部分证据表明既定配色方案缺乏直观性，据此为目标建模领域提出改进建议。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a680/251mGFBE5qM

85、Exposing the Hidden Layer: Software Repositories in the Service of SEO Manipulation

与传统恶意软件包不同，本文揭示了一种新型攻击媒介——"通过软件仓库进行黑帽搜索引擎优化（RepSEO）"。在该攻击模式中，攻击者精心构造软件包以操纵搜索引擎结果，利用软件仓库的公信力为非法网站引流。本研究系统分析了RepSEO的地下生态体系，识别出账户供应商、广告主和发布者等关键角色。我们开发了高效检测工具，并将其应用于npm、Docker Hub和NuGet软件仓库长达十年的大规模数据集，惊人地发现了3,801,682个恶意软件包，揭示了该攻击的广泛性。研究还深入剖析了这类攻击的供应链策略，包括使用自托管邮件服务注册账户、采用跳转技术隐藏落地页，以及激进攻击者采用的快速部署手段。此外，我们探究了攻击背后的盈利动机，识别出调查问卷类广告主和恶意软件分发类广告主两种主要类型。我们向npm、NuGet、Docker Hub报告了RepSEO软件包及谷歌相关供应链漏洞，并获其确认。截至本文提交时，各软件仓库已开始清除恶意软件包。我们同时公开了代码与数据以促进后续研究。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a684/251mGIzRKQE

86、FAMOS: Fault diagnosis for Microservice Systems through Effective Multi-modal Data Fusion

准确诊断导致故障的根源是维护微服务系统可靠性的关键。主流的故障诊断方法采用数据驱动范式，主要依赖三类运行时数据模态：追踪链、日志和指标。近年来，利用多模态数据进行微服务系统故障诊断已成为明确趋势，因为不同类型的故障及其对应失效往往在不同模态数据中呈现显著特征。要充分利用多模态数据实现精准诊断，需解决两大挑战：1）如何最小化单模态数据特征提取时的信息损失；2）如何正确捕捉并利用跨模态数据间的关联关系。为此，我们提出FAMOS——一种通过高效多模态数据融合实现的微服务系统故障诊断方法。该方法一方面采用独立特征提取器保留各模态数据的本征特征，另一方面创新性地引入高斯注意力机制精确关联不同模态数据，再通过交叉注意力机制捕捉模态间关联。我们在开源微服务系统和真实工业级微服务系统中注入全面丰富的故障构建了两个数据集进行评估。实验结果表明，FAMOS在F1分数上相较现有最优方法取得20.33%的显著提升，验证了其故障诊断的有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a610/251mFUueuIM

87、FairChecker: Detecting Fund-stealing Bugs in DeFi Protocols via Fairness Validation

去中心化金融（DeFi）是区块链领域的新兴范式，旨在通过应用区块链技术革新传统金融体系。DeFi协议管理的数字资产价值巨大，使其成为极具吸引力的攻击目标。尽管投入了人力资源并应用自动化工具，频繁发生的攻击仍导致DeFi参与者蒙受重大资金损失。现有工具主要依赖与传统软件分析类似的预言机机制，难以检测DeFi领域特有的功能性问题。由于区块链本质上是分布式账本系统，任何DeFi协议的基础都在于准确维护代表用户资金的关键状态变量。若这些变量未能正确更新或设计不当，攻击者便可利用这些漏洞窃取资产。通过对主流DeFi协议的研究，我们发现：为确保交易不会挪用他人资金，DeFi系统中与用户资产或债务金额相关的数值变化方向（增加或减少）必须遵循特定的公平性原则。我们提出"公平性漏洞"概念，即攻击者能够零成本获利的缺陷，并开发了一种跨过程、跨合约的静态分析技术，利用符号执行和SMT求解器自动检测DeFi智能合约中的公平性漏洞。我们将该公平性检测方法实现为工具FairChecker，在包含34个公平性漏洞的113个真实DeFi协议基准测试中进行评估。实验表明，该工具能检测出32个漏洞，召回率达94.1%，精确度为46.4%，验证了其有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a671/251mGzmte0M

88、FairQuant: Certifying and Quantifying Fairness of Deep Neural Networks

我们提出了一种对深度神经网络（DNN）个体公平性进行形式化认证与量化的方法。个体公平性要求任何两个仅在法律保护属性（如性别或种族）上存在差异的个体必须获得同等对待。现有技术虽能提供此类保证，但随着DNN规模和输入维度的增加，往往面临可扩展性或准确性的不足。我们的方法通过将抽象技术应用于基于符号区间的DNN分析，并依据公平性属性进行迭代优化，从而突破了这一局限。此外，该方法将基于符号区间的分析从传统的定性认证提升至定量认证——通过计算可证明获得公平分类结果的个体比例，而非仅判定DNN是否公平。我们实现了该方法，并在四个主流公平性研究数据集训练的深度神经网络上进行了评估。实验结果表明，我们的方法不仅比现有技术更精确，而且速度提升了数个数量级。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a191/215aWBsFVAc

89、FairSense: Long-Term Fairness Analysis of ML-Enabled Systems

近年来，机器学习（ML）模型的算法公平性引发了广泛关注。为识别和缓解模型中的公平性问题，研究者已提出众多测试、验证及偏差消减技术。现有方法以模型为中心，旨在静态环境下检测公平性问题。然而，多数ML系统运行于动态环境中——系统做出的预测决策会影响环境，进而改变未来的决策行为。这种自我强化的反馈循环可能导致长期公平性失效，即使短期结果看似公平。本文提出名为FairSense的模拟框架，用于检测和分析ML系统中的长期不公平现象。给定公平性要求后，FairSense通过蒙特卡洛模拟枚举各系统配置的演化轨迹，继而对可能配置空间进行敏感性分析，以理解设计选项与环境因素对系统长期公平性的影响。我们通过三个真实案例（贷款发放、阿片类药物风险评分和预测性警务）验证了FairSense的潜在效用。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a696/251mGQhSfTi

90、Fairness Testing through Extreme Value Theory

数据驱动型软件正日益成为自动化决策支持系统的关键组件。由于此类软件从历史数据中学习决策逻辑，它可能编码或放大歧视性行为。现有算法公平性研究主要聚焦于提升"平均情况"下的公平性，而谱系极端端的公平性——往往标志着社会态度的持久深刻转变——却鲜少受到关注。基于极值理论(EVT)统计方法，我们提出名为极端反事实歧视(ECD)的新公平性标准，该标准仅根据个体所属保护群体来评估结果中最恶劣的劣势程度。借助基于搜索的软件工程和生成式AI技术，我们开发了一种随机算法，即使输入数据集缺乏足够相关样本，也能从机器学习结果分布的尾部抽取具有统计显著性的样本点。我们在四种机器学习模型(深度神经网络、逻辑回归和随机森林)上针对算法公平性文献中的10项社会相关任务开展了多组实验。首先评估生成式AI方法，发现其在95%情况下能生成足够样本以推断有效的EVT分布。值得注意的是，当前主流偏见缓解方法在35%案例中虽降低平均歧视，却显著加剧最恶劣情况下的歧视。我们还发现即便是考虑分布尾部的MiniMax-Fairness缓解算法，仍有30%案例会加剧极端歧视。我们提出的新型ECD缓解器在90%案例中改善了分布尾部的公平性，且未削弱平均情况下的公平表现。期望EVT框架能成为评估平均与最恶劣情况下歧视问题的强有力工具。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a607/251mFSeRrR6

91、Faster Configuration Performance Bug Testing with Neural Dual-level Prioritization

随着软件系统日益复杂和可配置化，性能问题往往源于配置设计。这导致某些配置选项会意外降低性能，偏离开发者最初的设计预期。此类偏差即配置性能缺陷（CPBug），危害严重且可能深藏于源码中。然而高效测试CPBug存在双重困难：既难以设定测试预言，又因配置测量成本高昂且组合空间庞大而难以穷尽。现有测试工具在预算有限时，或因运行耗时过长，或因测试预言不准确，往往难以有效检测CPBug。本文提出通过神经化优先级策略，在配置选项与取值区间两个层面进行自动化预言估计，从而实现显著加速的CPBug测试。所提工具NDP作为通用框架，可与不同启发式生成器协同工作：其核心在于运用两个神经语言模型——前者用于估计CPBug类型作为测试预言，而更关键的是后者通过推断选项关联缺陷的概率，指导配置选项及取值范围的优先级排序。在多版本主流系统上的实验表明，NDP能更准确地预测87%案例的CPBug类型，并以最高88.88倍的测试效率优势，较现有最优工具发现更多CPBug。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a738/251mHipA7VC

92、Feature-Driven End-To-End Test Generation

端到端（E2E）测试对保障Web应用质量至关重要。然而，人工创建测试耗时费力，现有测试生成技术产生的测试用例往往缺乏连贯性。本文提出AUTOE2E——一种利用大语言模型（LLM）为Web应用自动生成具有语义意义的特征驱动型端到端测试用例的创新方法。该系统能智能推断Web应用中的潜在功能特征，并将其转化为可执行的测试场景。此外，我们通过推出E2EBENCH基准测试填补了研究领域的重要空白，该基准可用于自动评估端到端测试套件的功能覆盖度。在E2EBENCH上的实验表明，AUTOE2E平均功能覆盖率达79%，较最佳基线方法提升558%，凸显了其在生成高质量、全面性测试用例方面的卓越效能。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a678/251mGE6xELC

93、Fidelity of Cloud Emulators: The Imitation Game of Testing Cloud-based Software

现代软件项目越来越多地采用云服务作为重要组件。这种基于云的编程实践通过利用云的优势（如高可用性和弹性）极大简化了软件开发。然而，由于云后端的不可见性以及持续集成和部署中调用云服务产生的经济成本，这给软件测试与分析带来了新的挑战。为此，云模拟器被开发用于在线测试和部署前的离线开发与测试。本文从基于云的软件测试角度对云模拟器进行了系统性分析，旨在（1）理解云模拟在软件质量保障与部署安全性方面引入的差异，（2）弥合模拟服务与真实云服务间不可避免的差距。分析结果令人担忧：在来自Azure和亚马逊云服务（AWS）五大服务的255个API中，我们发现37%（94个）API存在模拟服务与真实服务的行为差异。这些差异会导致测试结果不一致，威胁部署安全，引发误报并造成调试难题。根本原因多种多样，包括偶然的实现缺陷和本质性的模拟挑战。我们探讨了潜在解决方案，并开发了一种实用缓解技术以应对软件测试中云模拟器的差异问题。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a614/251mFXIUTGo

94、FixDrive: Automatically Repairing Autonomous Vehicle Driving Behaviour for $0.08 per Violation

自动驾驶汽车（AV）技术发展迅猛，目前已实现L4级车辆的实际道路运营。然而，现有自动驾驶系统在适应性和性能方面仍逊于人类驾驶员，常表现为过度保守行为或偶发交通违规。现行解决方案（如运行时强制修正）通过实时修复规划轨迹来缓解问题，但这类方法缺乏透明度且应作为最终手段。理想的修复方案应具备事件泛化能力和用户可解释性。为此，我们提出FixDrive框架：通过分析险情事件或违规行为的驾驶记录，生成可降低同类事件复发概率的驾驶策略修复方案。这些修复方案以μDrive语言（一种基于事件触发机制的高阶领域专用语言）进行封装。基于前沿自动驾驶系统Apollo实现的FixDrive能识别并可视化驾驶记录中的关键节点，随后利用多模态大语言模型（MLLM）的零样本学习能力生成μDrive程序。经多基准场景测试表明，生成的修复方案能有效提升自动驾驶系统在交通法规遵守、碰撞规避和目的地到达率等方面的表现。此外，单次违规修复仅需15分钟离线分析及0.08美元成本，具有现实可行性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a752/251mHrxAhig

95、Fixing Large Language Models' Specification Misunderstanding for Better Code Generation

代码生成是指根据给定的编程规范自动生成源代码，这一领域尤其随着大语言模型（LLM）的发展而受到广泛关注。由于代码生成固有的复杂性，LLM生成的代码可能与规范存在偏差。尽管已有研究提出思维激发提示技术以提升LLM的代码生成能力，但对复杂编程问题形成正确理解仍具挑战性，导致性能表现不尽如人意。此外，部分基于反馈的提示技术尝试利用测试执行产生的错误信息修复错误代码，但当生成代码与真实情况严重偏离时，这类粗粒度信息难以有效提升性能。  

本文提出一种名为μFiX的新型提示技术，通过设计精细化的思维激发提示与基于反馈的提示，并首次探索二者的协同效应，从而提升LLM的代码生成性能。该技术首先利用测试用例分析获取规范理解，并在思维激发阶段启动自改进流程以识别并修正错误理解；随后在基于反馈的提示阶段，μFiX通过缩小显式提供的理解（来自第一阶段）与LLM隐式用于代码生成的实际理解之间的差距，持续优化规范理解。实验表明，通过μFiX改进理解可显著提升LLM的代码生成性能。我们在两种先进LLM（ChatGPT和DeepSeek-Coder）上使用六个广泛使用的基准数据集，与15种基线方法进行对比评估，验证了μFiX的有效性。例如，μFiX在所有测试对象中Pass@1指标平均提升35.62%，显著优于现有最佳基线方法。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a645/251mGiigD6g

96、Fork State-Aware Differential Fuzzing for Blockchain Consensus Implementations

区块链网络允许不同开发者对同一共识算法的多种客户端实现在同一系统中共存。确保这些异构客户端实现正确性至关重要，因为即使实现中存在细微的语义差异也可能导致安全性故障。尽管现有模糊测试框架已发现区块链中的实现缺陷，但在测试包含冲突区块序列（称为分叉）时仍面临诸多挑战。依赖传统代码覆盖率反馈的现有工具无法充分评估区块链实现中的分叉处理过程，这种反馈机制缺乏处理多样化复杂分叉场景所需的精细度。本文提出Forky——一种分叉状态感知的差异化模糊测试框架，通过其创新的分叉感知变异和分叉多样化反馈机制，专门检测关键分叉处理过程中的实现差异。我们在最具影响力的两大区块链项目（分别代表工作量证明PoW和权益证明PoS两大主流共识算法家族）比特币和以太坊上对Forky进行了测试。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a622/251mG2WNd60

97、Formally Verified Binary-level Pointer Analysis

二进制层面的指针分析在软件二进制文件的符号执行、测试、验证及反编译中具有重要应用价值。在上述多种应用场景中，确保分析结果的可信性至关重要，即必须形式化地证明指针指称具有过近似性。本文提出了一种可形式化验证正确性的二进制级指针分析方法。本方法的显著特性在于：首先从通用角度考量指针分析抽象域应满足的验证条件，这使得在保持分析正确性的前提下，能够灵活实例化不同精度的抽象域。在可扩展性与精确性的权衡中，该方法既支持具备"有意义"精度（足以确保基础合理性属性，例如函数执行期间栈帧相关部分不会被覆写）的分析，也允许当指针计算因编译过程过度混淆而无法进行可靠边界分析时，采用粗粒度分析策略。我们通过高、中、低三种精度的抽象域进行实验验证，评估结果表明：该方法能够以上下文敏感的跨过程方式，在商业现成二进制文件中可靠地推导内存写入指称。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a767/251mHBq8DZu

98、Formally Verified Cloud-Scale Authorization

所有关键系统都必须不断演进，以满足日益增长且多样化的用户需求。但在规模持续扩大的情况下支持这种演进具有挑战性：维护者必须确保每次变更仅实现预期目标，而不会无意中改变现有用户的行为。本文阐述了我们如何通过形式化验证方法，为每秒调用10亿次的亚马逊云服务（AWS）授权引擎解决这一难题。历经四年时间，我们使用专为验证设计的编程语言Dafny构建了功能与旧引擎完全一致的新授权引擎。如今我们能够在对正确性和向后兼容性保持最高级别保证的前提下，自信地部署功能增强和性能优化。2024年新引擎上线后运行平稳，客户即刻获得三倍的性能提升。我们构建新引擎的方法并非对现有验证工具的简单套用，本文揭示了三个关键发现：首先，相较于直接验证现有Java引擎的正确性，我们发现使用原生支持验证的Dafny语言重写引擎再编译为Java更为高效；其次，为确保性能、可调试性并获得利益相关方信任，我们需要生成可读性强、符合Java语言习惯的代码，这本质上是对Dafny源码的直译；最后，为保障规范与实际行为一致，我们在开发过程中进行了大量差分测试和影子测试，最终在部署前对比了千万亿级的生产环境样本。本案例证明了形式化验证如何有效推动关键遗留系统的大规模演进。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a703/251mGVH6wvu

99、From Bugs to Benefits: Improving User Stories by Leveraging Crowd Knowledge with CrUISE-AC

软件缺陷的修复成本在后期呈指数级增长。不完整或模糊的需求是缺陷的最大来源之一，因为利益相关者可能无法准确传达需求或未能分享其领域专业知识。加之开发人员经验不足，团队极易构建出错误或不完整的功能。为预防此类问题，需求工程必须探索利益相关者访谈之外的知识来源。同应用领域内公开可访问的缺陷跟踪系统包含了实际用户记录的宝贵信息，包括已识别的系统弱点、边界案例及潜在错误来源。本研究旨在（1）识别此类问题，（2）利用这些问题改进敏捷需求工件"用户故事"。我们提出CrUISE-AC（基于众包与用户信息的验收标准建议引擎），这是一种全自动方法：通过自然语言处理技术和大型语言模型集成分析缺陷报告，为给定用户故事生成非平凡补充验收标准。CrUISE-AC在两大商业领域由五位独立专家评估，结果表明缺陷跟踪系统蕴含需求工程相关高价值信息。评估显示80-82%生成的验收标准为用户故事增加了相关需求。当前局限在于依赖可获取的缺陷报告输入，且未验证生成标准是否与其他用户故事标准无冲突或重叠。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a753/251mHsea6NW

100、Fuzzing MLIR Compilers with Custom Mutation Synthesis

深度学习与领域专用硬件加速中的编译技术正日益采用可扩展的编译器框架（如多级中间表示MLIR）以提升开发效率。MLIR允许编译器开发者以方言形式轻松定义自定义中间表示，但这些定制IR的多样性和快速演进使得为每种方言手动编写专用测试生成器变得不切实际。为此，我们设计了新型测试生成器SYNTHFUZZ，融合基于语法的模糊测试与定制化变异合成技术。其核心创新在于：（1）自动从现有测试用例中推断参数化的上下文相关定制变异；（2）根据目标上下文实例化变异内容，并通过k-祖先及前后缀匹配降低无效编辑的插入概率，从而无需为每种方言手动定义变异算子。我们将SYNTHFUZZ与三种基线方案对比：无定制变异的语法模糊测试工具Grammarinator、MLIR核心方言专用生成器MLIRSmith，以及支持张量形状参数化的ML模型测试生成器NeuRI。在四个不同MLIR项目上的综合测试表明，手动编写专用测试生成器需耗费数周，而SYNTHFUZZ平均将方言对覆盖率提升1.75倍，分支覆盖率提高1.22倍。此外，上下文相关定制变异使有效测试比例最高提升1.11倍，证实其能正确实例化参数化变异；变异参数化使违反MLIR基础约束的测试减少0.57倍，从而延长对方言特定代码的模糊测试时长。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a457/215aWR0DHji

101、GARL: Genetic Algorithm-Augmented Reinforcement Learning to Detect Violations in Marker-Based Autonomous Landing Systems

无人机（UAV）的自动着陆技术对于监测、勘测及包裹投递等自主无人机服务至关重要。该技术涵盖着陆目标检测、障碍物感知、无碰撞路径规划以及飞行控制等环节，以确保安全降落。一旦失败可能造成重大损失，因此需通过严格的仿真测试保障安全性。传统离线测试方法受限于静态环境和预设轨迹，可能遗漏由行人或动物等动态物体引发的违规案例；而在线测试方法则需耗费大量训练时间，在预算有限时难以实施。针对这些问题，我们提出GARL框架——结合遗传算法（GA）与强化学习（RL），在可行预算内高效生成多样化且真实的着陆系统故障案例。GARL利用GA离线探索多种环境配置，降低RL在线测试在模拟复杂着陆场景时的复杂度。实验表明，本方法在违规率上最高提升18.35%，多样性指标提升58%。我们通过真实无人机测试验证了大部分发现的违规类型，开创性地融合了自主系统的离线与在线测试策略。该方法为在线测试开辟了新研究方向，代码及补充材料详见https://github.com/lfeng0722/drone_testing/。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a613/251mFWqS10c

102、GVI: Guided Vulnerability Imagination for Boosting Deep Vulnerability Detectors

利用深度学习实现自动化软件漏洞检测一直是软件安全领域长期关注的研究方向。当前深度漏洞检测器主要采用监督学习方式训练，其性能高度依赖于大规模高质量漏洞数据集。然而由于漏洞数据本身特性——漏洞样本数量远少于非漏洞样本，训练数据集普遍存在类别不平衡问题，严重影响检测器效果。通过人工生成漏洞样本来增强数据集是解决类别不平衡的有效途径，但现有漏洞生成技术或因生成样本与现实漏洞差异过大，或因依赖大量漏洞样本来训练生成模型，均存在明显局限性。本文提出GVI方法，通过生成漏洞样本来提升深度漏洞检测器性能。受人类"想象学习"机制启发，GVI创新性地利用大语言模型基于种子漏洞想象生成具有信息增益的新漏洞样本。具体而言，我们设计了一种受思维链启发的提示模板，指导大语言模型首先分析种子漏洞提取相关属性特征，继而基于这些特征生成新漏洞集。在Devign、ReVeal和BigVul三个漏洞数据集上，针对Devign、ReVeal和LineVul三种深度漏洞检测器的大量实验表明，GVI生成的漏洞样本不仅具有更高准确性，还能更有效地提升漏洞检测器性能。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a750/251mHqiWAaQ

103、GenC2Rust: Towards Generating Generic Rust Code from C

Rust语言以其强大的安全保证与高性能特性展现出令人振奋的组合优势，正推动着众多新系统的实现。然而大量现有C代码若采用Rust的安全机制将显著受益，但将其手动重写为Rust代码所需的工作量往往令人望而却步。现有研究已探索辅助开发者将遗留C代码转换为Rust的工具，但由于C语言抽象与Rust惯用抽象之间的不匹配，自动运用Rust语言特性面临挑战，导致生成的代码不符合Rust惯用规范，仍需大量人工重构。例如现有工具常无法将C语言中void指针的多态用法映射为Rust的泛型指针。本文提出翻译工具GenC2Rust，可将非泛型C代码转换为泛型Rust代码：该工具通过静态分析C程序中void指针的使用情况推导类型约束，进而将参数化多态的void指针重新类型化为泛型指针。我们在42个规模各异、跨越多领域的C程序上评估GenC2Rust，验证其可扩展性与正确性。实验发现该工具已成功将4,565个void指针转换为泛型使用，同时本文还探讨了翻译过程中遇到的限制因素。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a664/251mGuO2lAA

104、Gpass: a Goal-adaptive Neural Theorem Prover based on Coq for Automated Formal Verification

形式化验证是保障软件质量的关键手段。遗憾的是，人工编写验证脚本既费力又耗时。为此，研究者提出了自动化定理证明方法，但这些方法仍存在若干局限：包括对冗长证明步骤处理不足、难以协调Coq程序的各个组件与证明目标的需求约束、以及效率低下等问题。为突破这些限制，我们提出Gpass——一个基于深度学习技术、能自适应目标的神经定理证明器。首先，我们为Gpass设计了独特的序列编码器，通过多重滑动窗口完整扫描历史证明策略，并为当前证明步骤提供相关信息。其次，Gpass引入目标自适应的特征整合模块，使推理过程与证明目标的需求保持一致。最后，我们基于损失值和损失斜率设计参数选择方法，获取具有多样分布的参数集，从而促进不同证明策略的探索。实验结果表明，Gpass在大型基准测试CoqGym上表现优异，相比最接近的现有工作多证明了11.03%-96.37%的定理。我们发现Gpass与CoqHammer的正交性印证了二者的互补能力，二者协同可共同证明3774个定理，达到当前最优性能。此外，我们提出的效率优化方法使Gpass仅用六分之一参数集即可超越Diva的性能表现。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a653/251mGnotM08

105、HIFI: Explaining and Mitigating Algorithmic Bias through the Lens of Game-Theoretic Interactions

机器学习（ML）算法正日益广泛应用于社会关键领域的决策过程，但它们往往从训练数据中继承并放大偏见，导致不公正且违背伦理的结果。这一问题凸显了对偏见检测、解释与消除方法的迫切需求，以确保机器学习系统的公平性。现有研究多从统计学角度分析算法偏见的根源，但据我们所知，尚未有工作探讨ML模型如何编码最终导致歧视性决策的敏感信息。本研究从博弈论视角出发解释并消除算法偏见：我们通过Harsanyi交互作用数学解码了多种公平性指标隐含定义的敏感信息核心成分，并据此提出了一种消除偏见的训练中处理方法HIFI。通过11种前沿方法、5个真实数据集、4种公平性标准与5项ML性能指标的全面评估（同时考虑多重保护属性的交叉公平性），实验表明HIFI在公平性提升与公平-性能权衡方面优于现有训练中处理方法，且在减少个体公平性违规方面同样成效显著。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a757/251mHuQf44M

106、HedgeCode: A Multi-Task Hedging Contrastive Learning Framework for Code Search

代码搜索是软件工程中的一项关键活动，其核心目标是根据自然语言查询识别并检索正确的代码片段。基于深度学习技术的方法在此任务中日益普及，它们提升了代码及其自然语言描述的初始表示质量。尽管取得了这些进展，如何确保代码与描述在表示空间中的一致性仍存在研究空白。此外，现有方法尚未充分挖掘代码片段与其描述之间的潜在关联性，这导致在区分相似代码片段间的细粒度语义差异时面临挑战。  

为解决上述问题，我们提出了一种多任务对冲对比学习框架HedgeCode，用于代码搜索任务。该框架包含两个主要训练阶段：第一阶段称为表示对齐阶段，提出了一种对冲对比学习方法，通过检测代码与自然语言文本间的细微差异，基于相关性识别实现两者表示空间的对齐；第二阶段为多任务联合学习阶段，将前一阶段训练好的模型作为编码器，结合监督式与自监督对比学习任务进行联合优化。通过在CodeSearchNet基准测试中的优异表现，我们验证了该框架能有效解决当前代码搜索任务中的上述局限性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a089/215aWvGs9qM

107、Hetrify: Efficient Verification of Heterogeneous Programs on RISC-V

当代软件的异构性（包含闭源库、嵌入式汇编片段以及多编程语言编写的模块等组件）带来了显著的验证挑战。目前尚无成熟可用的方法能有效解决此类问题。为此，我们提出一种能有效验证异构程序的通用验证方法。该方法理论上支持对任何可编译为二进制代码的异构程序进行验证，不受特定编程语言的限制。其技术路径是：首先将整个程序或不可验证部分编译为二进制格式，在保证语义等价的前提下，将这些二进制代码转换为可验证的C代码，进而利用现有C程序验证工具完成验证。基于RISC-V架构，我们开发了Hetrify工具来实现该验证方法，并通过严格的数学证明确保转换后的C程序与原始程序保持操作语义等价。为验证方法的有效性，我们对130个程序（包括100个汇编程序和30个缺失关键函数源代码的大型异构程序）进行了验证实验，结果证实了该方法的可行性。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a618/251mG0dChzy

108、Hints Help Finding and Fixing Bugs Differently in Python and Text-based Program Representations

随着GitHub Copilot等AI编程助手的快速发展，编程已不再局限于传统编程语言——终端用户可以通过自然文本表达并解决编程任务。尽管这种新型编程模式已经出现，用户在算法理解和程序调试方面仍面临困难。一种具有前景的支持方式是提供提示，帮助用户在构建和提升编程能力的过程中发现并修复错误。虽然提示可能确有助益，但何种提示类型更为有效，以及这种效果如何受程序呈现形式（传统源代码或文本描述）和用户算法任务理解能力的影响，目前尚不明确。为探究提示在这一领域的作用，我们开展了一项涉及753名参与者的大规模众包研究，考察三种提示类型（测试用例、概念性提示和详细提示）在两种程序呈现形式（Python代码与文本描述）下对两类用户群体（清晰理解算法任务者与存在困惑者）的影响。研究发现，程序呈现形式（Python代码与文本）对用户发现和修复错误的准确率具有显著影响。令人惊讶的是，当用户看到自然文本描述的程序时，其纠错准确率更高。提示总体上能提升准确率，但不同提示的效果因程序呈现形式和用户对算法任务的理解程度而异。这些发现对设计下一代编程工具具有启示意义，例如可根据用户技能水平和理解程度适配编程模式并提供个性化提示支持。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a729/251mHcIbwZi

109、How Scientists Use Jupyter Notebooks: Goals, Quality Attributes, and Opportunities

计算笔记本本意为优先满足科学家的需求，但学界对科学家如何与笔记本交互、哪些需求驱动科学家的软件开发过程、以及科学家采用何种策略满足需求仍知之甚少。我们通过观察性研究记录了20名科学家使用Jupyter笔记本完成日常任务的过程，发现科学家会根据目标优先考虑不同的质量属性。定性分析揭示了：(1)科学家使用Jupyter笔记本追求的目标集合；(2)科学家编写软件时重视的质量属性集合；(3)科学家用于提升质量的策略体系。此外，我们还识别出科学家将AI工具融入笔记本工作的具体方式。基于观察结果，我们提出改进计算笔记本及未来科学家编程系统的设计建议，关键机遇在于帮助科学家创建和管理软件中的状态、依赖项与抽象机制，从而更高效地复用定义清晰的组件。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a768/251mHC1k61W

110、HumanEvo: An Evolution-aware Benchmark for More Realistic Evaluation of Repository-level Code Generation

为评估大语言模型（LLMs）在复杂现实软件开发场景中的仓库级代码生成能力，研究者已开发出多种评估方法。这些方法通常利用项目最新版本的上下文代码来辅助LLMs准确生成目标函数。然而此类评估方法忽视了软件项目随时间动态演化的特性（我们称之为"演化无感知"设定），从而导致对LLMs性能的评估失真。本文通过实证研究，深入探究LLMs在反映软件开发演化本质的设定下的代码生成表现。为此，我们首先构建了演化感知的仓库级代码生成数据集HumanEvo，并配套自动化执行评估工具；其次根据依赖级别对HumanEvo进行人工分类，以更全面地分析模型生成不同依赖级别函数时的表现；最后在HumanEvo上对7个具有代表性的多样化LLMs开展广泛实验，验证所提基准的有效性。通过实验研究我们获得若干重要发现：相较于演化感知评估方法，先前演化无感知的评估方法会高估LLMs性能，在不同上下文获取方法下性能高估幅度达10.0%至61.1%。基于这些发现，我们为代码生成任务提出更贴近现实的LLMs评估建议，并构建了共享的演化感知代码生成工具箱以促进后续研究。包含源代码与数据集的复现包已匿名发布于https://github.com/DeepSoftwareAnalytics/HumanEvo。

论文链接：https://www.computer.org/csdl/proceedings-article/icse/2025/056900a764/251mHzzKizu

阅读原文

跳转微信打开