Cyber Security Daily Radar

该论文针对二进制程序在控制流完整性（CFI）中前向边保护的难题，提出了一种结合静态与动态分析的方法TypeSqueezer，用于更精确地恢复函数签名。传统基于类型的间接调用目标匹配在二进制层面面临类型信息缺失的困境，静态分析只能采用宽松的arity/宽度边界假设，导致过拟合，易被高级攻击绕过。TypeSqueezer通过动态分析获取运行时函数参数的实际宽度和个数，进而约束静态推断，显著缩小间接调用目标的候选集。实验证明，该方法在减少误报的同时保持了高覆盖率，有效提升了二进制级CFI的安全性。核心贡献在于提出了一个混合分析框架，能够在不依赖源代码的情况下，以较高精度推断函数签名，适用于COTS二进制程序。该工作适合二进制安全、CFI机制和逆向工程领域的研究人员及安全工程师阅读。

代码复用是软件开发中的常见现象，但也带来漏洞的广泛传播，威胁软件安全。随着物联网（IoT）的普及，固件代码复用问题更加突出。二进制代码搜索是发现这些隐藏漏洞的有效途径。然而，IoT固件通常由不同编译器、不同优化级别、不同架构编译而成，现有方法难以适应这种复杂场景。本文提出一种新的中间表示函数模型，该模型与架构无关，适用于跨架构二进制代码搜索。具体方法是将二进制代码提升为微码，通过补充隐式操作数和修剪冗余指令来保留二进制函数的主要语义。然后，利用自然语言处理技术和图卷积网络生成函数嵌入。作者将编译器、架构和优化级别的组合称为“文件环境”，并采用分治策略，将C2N跨文件环境场景的相似度计算问题分解为N-1个嵌入传递子问题。为此，提出基于熵的适配器，将不同文件环境的函数嵌入转换到同一文件环境，以缓解文件环境差异带来的影响。为了精确识别脆弱函数，提出渐进搜索策略，用细粒度特征补充函数嵌入，减少由补丁函数引起的误报。原型系统VulHawk在七种不同任务下进行了实验，结果表明其在性能和鲁棒性上均优于Asm2Vec、Asteria、BinDiff、GMN、PalmTree、SAFE和Trex等现有方法。

区块链共识协议负责协调节点对交易结果达成一致，其实现中的漏洞（包括内存相关和共识逻辑漏洞）可能构成严重威胁。现有的模糊测试工具无法有效处理分布式节点的复杂共识状态，导致生成大量无效数据包，难以触及协议深层逻辑。为此，本文提出LOKI，一个针对区块链共识协议实现的状态感知模糊测试框架。LOKI通过伪装成节点实时获取共识状态，动态构建状态模型记录每个节点的状态转换，并根据状态模型自适应生成输入的目标、类型和内容。通过内置的Bug分析器，LOKI利用明确定义的oracle检测共识协议实现中的漏洞。研究者在四个广泛使用的商业区块链系统（Go-Ethereum、Meta Diem、IBM Fabric和WeBank FISCO-BCOS）上实现了LOKI并进行了评估。LOKI发现了20个严重的前所未知漏洞，其中9个已分配CVE。这些漏洞包括14个内存相关漏洞和6个共识逻辑漏洞。与Peach、Fluffy和Twins等最先进工具相比，LOKI在分支覆盖率上平均提高了43.21%、182.05%和291.58%。该工作证明了状态感知方法在区块链共识协议模糊测试中的有效性，为协议安全检测提供了新思路。

该论文聚焦于未初始化内存访问导致的内存安全问题。在C和C++等语言中，约10%的内存安全漏洞源于未初始化变量。现有软件缓解措施不足，而硬件能力模型（如剑桥大学的CHERI）能有效解决空间和时间内存安全缺陷，但无法处理未初始化变量引发的未定义行为。为此，作者提出“条件能力（conditional capabilities）”扩展，在CHERI能力模型基础上增加基于先前操作的内存访问策略，例如强制执行“写入前读取（Write-before-Read）”规则，即禁止读取未被至少一次写入的内存。论文详细介绍了架构扩展、编译器支持，并在QEMU全系统模拟器和基于FPGA的CHERI-RISCV软核上进行了评估。实验表明，条件能力具有实用性，检测准确率高，且平均性能开销仅为约3.5%，与基线CHERI能力开销相当。该工作为硬件级防御未初始化内存访问提供了新思路，适合安全架构师、硬件安全研究人员以及编译器开发者阅读。

该论文针对稳定币（一种与资产挂钩以维持价格稳定的加密货币）的用户安全感知问题进行了混合方法研究。尽管已有研究从技术和理论角度探讨了稳定币的安全性，但用户在实际使用中的风险认知和安全行为仍缺乏深入调查。为此，作者首先基于文献构建了稳定币交互框架，并据此设计了半结构化访谈协议，对21名用户进行了访谈，同时分析了Reddit上9326条相关帖子。研究发现，用户认为稳定币相对于其他加密货币的主要安全优势在于价值稳定和合规性。然而，用户也表达了对法币抵押型稳定币中心化风险的担忧，对加密抵押型稳定币因缺乏完全自动化执行而感知到的挑战，以及对算法稳定币复杂机制的困惑。论文最后提出改进用户教育和优化机制的建议，以促进稳定币的安全使用。该研究为理解用户视角下的稳定币安全提供了重要见解，适用于加密货币安全研究人员、政策制定者和产品设计者。

本文发现了一种通过文件系统实现的新型侧信道和隐蔽通道攻击，破坏了操作系统通过进程、容器等机制提供的逻辑隔离。核心观察是，现代操作系统的文件系统实现中，flush操作（例如syncfs系统调用）会刷新所有I/O缓冲区，包括其他隔离域使用的缓冲区。因此，攻击者可以通过测量syncfs的延迟来推断受害程序的I/O行为。作者在多种文件系统上演示了syncfs隐蔽通道攻击，在Linux上达到最大5 Kbps带宽，错误率0.15%；在Windows上达到7.6 Kbps，错误率1.9%。此外，还构建了三种侧信道攻击：针对Linux的网站指纹识别攻击（通过跟踪临时缓冲区文件的写入模式）和视频指纹识别攻击；针对Android的应用指纹识别攻击（在启动期间泄露应用写入模式）。这些攻击的F1分数、精确率和召回率均超过90%。最后，攻击还能跨容器实施，包括容器检测技术和跨容器隐蔽通道攻击。该研究揭示了文件系统作为共享资源带来的安全风险，对操作系统隔离机制提出了挑战。

该论文对顶级网站（如Alexa排名前列的网站）上的双因素认证（2FA）用户旅程进行了首次系统性研究，重点关注其外部功能一致性。用户体验启发式方法认为，用户会将从一个产品获得的期望迁移到其他产品；产品间的不一致会增加认知摩擦，导致挫败感和拒绝使用。研究分析了多个主流网站中2FA的设置流程、使用流程以及相关界面设计元素，包括设置入口的命名和位置、第二因素的注册与验证步骤、恢复代码管理、以及认证过程中反馈信息的一致性。结果发现，这些网站在设计上仅在一小部分方面（如设置菜单的命名和位置）保持了一致，而在第二因素的设置和使用模式上呈现出混合多样的设计。更值得注意的是，某些相对一致实现的方面（例如2FA的描述文本）在已有文献中已被指出存在可用性问题，可能对用户体验产生负面影响。研究主张为2FA实施者制定更通用的用户体验指南，并提出了关于2FA用户旅程的新研究问题。本文适合用户体验研究人员、安全可用性专家以及关注2FA采纳率的网站开发人员阅读。

该论文提出了一种针对脉冲神经网络（SNN）的主动版权保护框架SpikeTimer。SNN在低功耗计算和事件驱动数据处理方面具有优势，但现有版权保护方法主要针对传统深度神经网络（DNN），难以直接迁移至SNN，因其具有复杂的时序编码和脉冲驱动计算特性。SpikeTimer利用时序后门学习机制，将神经形态数据划分为指定的时间片，仅在授权时间片内嵌入授权令牌。这种时间分割特性天然支持多用户授权机制，并能适应任意形态的令牌嵌入。SpikeTimer的核心创新在于建立时间依赖的授权机制，通过令牌的时间有效性保护SNN版权。具体地，当输入数据包含正确的令牌且位于正确的时间片时，模型正常响应；否则产生错误输出。实验表明，SpikeTimer在未授权数据上准确率约为10%，而授权数据准确率仅下降约1.5%。此外，该框架对模型微调和剪枝攻击具有鲁棒性。

本文提出了一种新颖的基于模板的图同态加密（TGHE）框架，旨在解决现有同态加密（HE）图神经网络（GNN）系统在边缘-云系统中进行隐私保护推理时面临的可扩展性问题。传统的HE-GNN系统采用图中心范式，每个查询的成本与全局图大小成正比，导致实际应用仅限于最多约2万个节点的图，无法处理动态且大规模的金融交易图。TGHE通过利用事务图中局部计算树收敛为少量结构形状的“模板”现象，转向以自我为中心（ego-centric）的视角。该框架在边缘设备上对每个节点的ego图进行规范化，将结构相同的树打包到共享的CKKS密文中，实现SIMD并行加密推理。为解决长尾分布问题，提出了两个优化器：近似模板拟合（ATF）和拓扑坍缩（TC），以强制所有ego图都适合SIMD操作。在包含370万个节点和430万条边的DGraphFin数据集上，TGHE-Collapse版本相比顺序加密基线实现了66.9倍的加速，且AUC损失小于0.002。实验证明了该方法在保持高精度的同时，显著提升了加密推理效率，使隐私保护GNN能够扩展到实际大规模金融图。该工作主要贡献在于揭示了图结构中的模板特性，并首次实现了基于ego图打包的SIMD同态加密推理，为边缘-云环境下的隐私计算提供了高效路径。适合对隐私保护机器学习、同态加密、图神经网络及其在金融领域应用感兴趣的研究者和工程师阅读。

本文关注机器学习驱动的安卓恶意软件检测器在问题空间（problem space）中的对抗性攻击。现有攻击方法存在诸多不足：大多数技术通过软件移植注入完整良性模块，引入大量副作用特征，且常导致构建失败；细粒度方法仅注入少量组件，效果有限；使用混淆的方法依赖脆弱的字节码重写，生成的APK虽然在语法上有效，但语义上不可用。此外，先前研究仅通过安装和基本执行的冒烟测试评估攻击成功率，忽略了修改后的APK是否仍保持原始功能。为解决这些问题，作者提出DROIDBREAKER框架，它是一个实用且功能完整的问题空间攻击框架，提供以下能力：(i) 仅操纵对目标模型最具影响力的APK组件，实现查询高效的白盒和黑盒攻击；(ii) 一组细粒度、构建安全（build-safe）的操作（包括注入和混淆API调用、应用模块、权限和URL），副作用最小；(iii) 语义保持的功能测试，通过比较原始APK与修改后APK的执行日志和API级轨迹来强制执行运行时等价性。在最新版安卓应用数据集上的实验表明，DROIDBREAKER在白盒和黑盒设置下均能以少量查询实现高逃避率，并显著降低VirusTotal上商业恶意软件扫描器的检测率。该工作揭示了当前安卓恶意软件检测器在面对刻意构造的对抗性样本时的脆弱性。

本文研究时间触发通信协议中网络无关监护者（network-agnostic guardians）的安全性问题。这类监护者依赖受控节点进行时钟同步，从而在降低成本和复杂性的同时引入了一个漏洞：恶意节点可以利用这种依赖关系发起定时攻击，使其监护者失去同步，进而干扰网络中其他节点的消息。作者首先建立了节点与其网络无关监护者之间可实现时钟同步精度的理论下界，证明同步不可能完美。基于这一结果，提出了一种定时攻击方法，利用不可避免的同步误差导致监护者发生受控且不可检测的失步。该攻击使恶意节点能够造成与目标关键网络消息的碰撞。通过在OMNeT++仿真框架中实现的FlexRay现场总线网络模型进行实验评估，结果显示攻击能够以100%的成功率保持不可检测，并且以100%的成功率干扰目标节点的关键消息传输。论文贡献包括：首次揭示网络无关监护者同步依赖性的安全漏洞；提出并验证了可行的定时攻击；为未来安全加固提供了理论基础。

本文提出 PRISM（PE 节间关系矩阵），一个用于静态 Windows PE 恶意软件检测的开源数据集和特征表示。现有基准（如 EMBER、BODMAS、SOREL-20M）将 PE 文件表示为扁平的一维特征向量，丢弃了节的顺序和节间关系上下文。PRISM 将每个二进制编码为一个二维矩阵，行按文件顺序对应各个 PE 节，并包含一个全局汇总行以保持与 EMBER 风格模型的兼容性。数据集来自四个恶意软件源（BODMAS、MalwareBazaar、VirusShare 和 CAPE）以及 SOREL-20M 良性软件，共 83,633 个去重矩阵，并构建了一个包含 684 个恶意软件家族的 49,204 个样本的家族过滤分析语料库。通过 Fisher 判别比、互信息和节间信息增益等正式的可分离性分析表明，逐节位置结构包含了扁平表示无法捕获的判别信息。在严格控制的样本匹配比较下，基于 PRISM 紧凑表示的梯度提升分类器在二进制检测性能上几乎与基于更大 EMBER 向量的相同分类器相当，而维度仅为 EMBER 的六分之一；EMBER 仅在极低假阳性区域保持微小的优势，在决策阈值处两者操作上无法区分。作者明确指出二进制检测任务已经饱和，因此 PRISM 保留的结构内容适用于具有更大度量空间的细粒度任务，例如家族分类和直接利用二维结构的架构。数据集、提取库、训练模型和完整分析管道以 CC BY-NC-SA 和 MIT 许可证发布。

本文提出了一种针对多模态智能体检索增强生成（RAG）系统的统一红队测试框架MIRROR。现有红队方法通常针对特定攻击面（如文本投毒、图像注入、直接查询、编排器工具操控），且常复用已知攻击模板，在文本投毒基准测试中重复率高达73-84%。MIRROR采用记忆引导的蒙特卡洛树搜索（MCTS），通过检索上下文约束候选生成，并引入显式的新颖性约束：确定性新颖性门控拒绝与检索集匹配的候选（基于归一化比较），使检索仅用于指导搜索先验而避免提示复制。在包含4个攻击面的多模态智能体RAG目标上，MIRROR实现了图像投毒76%的攻击成功率（ASR），基线为52%；编排器攻击97% ASR且查询成本减半；跨攻击面变异系数最低（0.47）。相比之下，专用基线在不同攻击面间性能崩塌：后缀优化在文本投毒上达79% ASR，但在直接查询上仅1%。作者还发布了ART-SafeBench基准测试，包含4个攻击面的41,815条包内记录及运行时适配器，总计41,991+条记录。

本文提出一个名为GTI-mSEMP（Game-Theory-Integrated Modified Multi-Wireless Sensor Epidemic Malware Propagation）的框架，旨在解决异构、资源受限的网络（如无线传感器网络）中自动多向量恶意软件传播问题。传统流行病学模型通常将防御视为静态参数，忽略了攻击者与防御者之间的战略不对称互动。该框架通过引入博弈论，将攻击者和防御者的策略纳入恶意软件传播建模中，能够捕捉网络状态变量的实时瞬态动力学。论文分析了三种不同运行模式下的节点种群轨迹：平衡对抗（Balanced Matchup）、漏洞利用激增（Exploit Surge）和强化防御（Hardened Defense）。数值模拟结果表明，当防御或攻击缩放向量具有效率优势时，流行病曲线会发生显著变化。该框架为高度对抗性网络环境提供了严格的数学基础，可用于评估动态恶意软件传播并预测局部节点种群状态。主要贡献在于将博弈论与改进的流行病模型相结合，为网络防御者提供了战略决策支持工具。

本文提出了一种新的隐私概念——集中地理隐私（Concentrated Geo-Privacy, CGP），这是集中差分隐私（CDP）在几何数据上的对应物。与先前的地理隐私（Geo-Privacy）标准（即标准差分隐私的对应物）相比，CGP具有多项优势：机制设计更简洁、高维数据下噪声尺度更低、以及更优的组合性质（称为高级组合）。其中高级组合最为重要，它允许使用较小的基础模块构建复杂机制，同时获得更好的效用。作为补充，本文证明了先前的地理隐私概念（即使是其近似版本）本质上不支持高级组合。在此基础上，本文研究了隐私几何数据上的三个问题：身份查询（identity query）、k近邻（k nearest neighbors）和凸包（convex hulls）。其中身份查询已有研究，而后两个问题本文首次给出了在地理隐私下的机制。对于所有三个问题，组合性质对于在私有化查询答案上获得良好的效用保证至关重要。实验或理论分析表明，CGP在隐私与效用权衡上优于传统方法。

该论文提出了一种基于密码学预言机（cryptographic oracle）的条件支付方案。条件支付是指支付仅在满足特定条件（如时间锁、离散对数知识等）时才能完成。传统的方法依赖智能合约或第三方公证人，而本工作利用密码学原语（如适配器签名、时间锁承诺等）与预言机结合，实现无需可信第三方的条件支付。核心贡献可能包括：形式化定义基于预言机的条件支付安全模型；构造高效、非交互式的协议；证明其安全性。该研究适用于加密货币支付通道、跨链原子交换、去中心化金融等场景，为构建更灵活、安全的支付基础设施提供了理论支撑。由于仅基于标题和摘要，具体细节待原文验证。

本文针对室内环境中移动设备的物理层认证（PLA）问题，提出了一种基于信道知识地图（CKM）的认证机制。传统的PLA方法依赖于测量值的时间一致性或建模其演化，但在室内多径传播和遮挡条件下，设备移动会导致这些假设失效。本文利用多个接入点（AP）从接收信号中估计主信道路径损耗（PL）和到达角（AoA），并将其与先前通过CKM收集的邻近位置数据进行比较。CKM通过射线追踪技术获得，用于描述室内环境的信道特性。认证判决基于当前测量值与CKM中邻近位置的匹配程度。在安全分析中，考虑了随机攻击和最优攻击两种场景。数值结果表明，在代表性室内场景下，该PLA方法能够有效认证移动设备。本文的主要贡献包括：将CKM引入PLA领域，解决了移动设备在室内环境的认证难题；提供了全面的安全性分析，验证了方法的鲁棒性；通过射线追踪仿真证明了可行性。适合无线通信安全、物理层安全研究人员阅读。

本文研究可扩展的模糊标签隐私集合交集（FLPSI）协议。FLPSI允许接收方仅获知与查询相似记录的标签，而无法获取其他信息。现有基于集合阈值归约的构造虽然性能可行，但本文发现其同态匹配内核存在组合间隙：由于内核的每试错假接受概率（per-trial false-accept probability）会对每个记录运行一次，导致错误随数据库规模累积，形成内核的实例化可靠性误差（RSE），即加密层接受明文匹配器拒绝的查询的比率。RSE是密码学匹配层的可靠性属性，而非匹配器的精度，因此可靠的核必须贡献零或可忽略的RSE。本文将其形式化为可组合安全属性，并给出了接收方优势的闭式界限。为消除此间隙，提出CSTPSI内核，通过独立令牌轮次运行，将每试错界限提升为匹配能力。作者在半诚实模型下证明了CSTPSI的安全性，并推导出令牌轮次数量的下限：在10^-6工程阈值下，百万级数据库需要两轮，十亿级需要三轮。实验表明，对于百万条记录，基线核的RSE达到100%，而CSTPSI在所有配置下均保持为零。在中小规模下处理大型标签时，CSTPSI比基线快20倍以上，通信量减少高达93%，仅在百万级规模时性能趋同。实现代码已公开。

本文提出 Chai，一个基于 AI 的漏洞发现系统，专门针对加密误用（cryptographic misuse）这类缺少传统插桩检测支持的漏洞类型。传统 AI 辅助漏洞发现主要依赖内存安全等具有明确插桩验证的漏洞类，而对于加密误用，由于缺乏运行时验证机制，现有方法难以兼顾精度与召回。Chai 重新审视并改进了差分测试（differential testing）技术，利用 AI 提升对库级安全问题的检测精度，并将通常被忽视的差异信号转化为下游应用中的具体漏洞线索。具体而言，Chai 颠覆了传统 AI 漏洞发现的“一个代码库、多个漏洞”范式，改为在库级别编目缺陷，并通过加密依赖图将其传播到各下游应用，从而实现复合效率增益。评估覆盖 X.509、JWT 和 SAML 三个库族：Chai 在驱动数十亿设备的 SSL 库中发现了一个之前未知的严重漏洞，还在一个主流浏览器使用的库和一个主流 Linux 发行版使用的库中发现了安全问题，总计发现超过 100 个漏洞。该工作证明了 AI 在无插桩漏洞类上的有效性，为加密误用检测提供了新思路。

该论文针对公平性度量中的人口统计信号（如种族/民族）因法律约束或文化敏感性而难以收集和使用的挑战，提出了一种隐私保护的种族/民族概率估计方法（PPRE）。PPRE结合了两种信号源：基于贝叶斯改进的姓氏地理编码估计器（BISG）和稀疏的自我报告调查数据，并利用安全两方计算、差分隐私和加法同态加密等隐私技术，使LinkedIn能够在不泄露个人敏感信息的前提下，对美国会员进行基于种族/民族的公平性度量。论文详细阐述了PPRE的隐私保证，并通过候选方和观众方的公平性度量案例展示了其应用。最后，作者提出了一个可迁移的框架，供其他机构构建类似的隐私保护度量基础设施。核心贡献在于为工业界提供了一套可操作的、在隐私约束下进行公平性测量的解决方案。

本文提出对Impagliazzo五世界理论的一种密码学扩展。Impagliazzo的五世界框架沿着单一轴（即密码原语的存在性）对计算假设进行分类，且所有世界都隐含一个默认假设：包括敌手在内的每一方都观测完整的输入，即观测者始终处于最高层级（O_top）。这一假设过于自然以至于从未被明确陈述。本文首次将其显式化，并通过引入第二个正交轴——观测轴（基于先前工作提出的观测者层级）来放松该假设。放松假设后揭示了结构现象，例如在五世界框架中无法表达的崩溃关系：P^{O_prof} = NP^{O_prof} ⊂ P。本文证明该崩溃关系在所有五个世界中无条件成立，表明观测盲性与计算困难性是独立的。进一步，定义了观者世界W_O，对所有世界-观测者对进行分类，识别出标记单元格(a)-(d)，并引入参数化族W_O^ε以建模观测不变量的部分违反。该框架还与物理信息限制（包括热力学、量子及宇宙学边界）形成接口。该研究适合对计算复杂性理论、密码学基础及计算假设分类感兴趣的读者。

该论文针对 Kubernetes 生态中第三方应用因过度 RBAC 权限而面临的安全威胁展开研究。Kubernetes 采用 RBAC 机制管理资源访问权限，而第三方应用常被授予超出实际所需的最低权限，从而引入安全风险。已有攻击假设攻击者通过容器逃逸攻陷工作节点，但在真实场景中实现难度较大。本文在此基础上提出一种攻击条件更简单的过度权限攻击：攻击者只需攻陷一个 Pod（难度低于攻陷工作节点），即可利用某些过度权限（如创建 Pod、挂载节点文件系统等）进一步控制工作节点、破坏其他 Pod 的可用性或数据机密性。针对此类威胁，当前缺乏有效的自动化检测手段。为此，作者提出 EPScan 方法，通过新颖的 Pod 导向程序分析，综合利用多种技术精确识别每个 Pod 中运行程序的资源访问行为，并与 Pod 配置文件中声明的权限进行比对，最终报告可被滥用于发起过度权限攻击的可利用权限。EPScan 在来自 CNCF 项目的 108 个第三方应用上进行了评估，以 94.6% 的精确率发现了 50 个应用中 106 个 Pod 的未知可被利用过度权限，并已获得 9 个 CVE 编号。该工作填补了 Kubernetes 第三方应用权限自动化检测的空白。

该论文提出了一种名为 GDMA (Generic DMA Rehosting via Iterative Type Overlays) 的全自动化 DMA (直接内存访问) 重放方法。DMA 是许多嵌入式设备中关键的外设通信机制，但在固件分析中，由于缺乏真实硬件，仿真环境难以准确模拟 DMA 行为，导致分析困难。GDMA 通过迭代类型覆盖技术，自动推断并生成设备 DMA 操作的类型布局，从而在仿真器中实现高保真的 DMA 行为重放。该方法不需要硬件原型或手动逆向，仅依赖固件二进制和分析目标。论文详细描述了迭代类型覆盖的算法流程，包括初始类型推测、执行追踪、类型细化与验证。实验在多种真实设备固件（如网卡、UART 控制器等）上评估，结果表明 GDMA 能够成功重放复杂的 DMA 交互，将仿真覆盖率提升至接近硬件水平，并成功触发之前需要物理设备才能发现的漏洞。主要贡献包括：首次实现全自动 DMA 重放、类型覆盖算法的理论分析、开源实现以及多个案例研究。该工作对嵌入式安全分析、固件模糊测试和漏洞挖掘具有重要价值。

本文对政府发布的企业安全指南进行了首次系统性分析。研究收集了来自多个国家政府（如美国、英国、加拿大、澳大利亚等）的公开企业安全指南，包括NIST、CISA、NCSC等机构的文档。研究采用内容分析方法，对指南的覆盖范围、推荐措施、优先级排序、实施难度等维度进行编码和比较。主要发现包括：1）不同政府指南在安全控制推荐上存在显著差异，例如对多因素认证（MFA）、端点检测与响应（EDR）等技术的侧重不同；2）多数指南缺乏明确的优先级排序，导致企业难以确定最关键的投入方向；3）许多指南未能充分结合威胁情报或攻击者战术来指导防御决策；4）部分指南与行业最佳实践（如CIS控制）存在不一致。研究还提出一套评估框架，帮助企业根据自身风险场景选择更合适的指南组合。论文贡献在于揭示了当前政府安全指南的碎片化问题，并为改进指南制定和跨政府协调提供了数据驱动的建议。

本文提出了一种名为“Beatrix”的鲁棒后门检测方法，通过利用Gram矩阵来检测深度神经网络中的后门攻击。研究背景是深度神经网络容易受到后门攻击，攻击者在训练阶段注入恶意行为，使得模型在正常输入下表现正常，但在特定触发模式下输出错误结果。现有的后门检测方法往往依赖于特定假设或容易被规避。本文的核心方法是通过分析模型中间层特征的Gram矩阵，捕捉不同层之间的统计相关性，从而识别出后门样本与干净样本之间的差异。具体地，Beatrix计算每个样本的Gram矩阵，并通过对比学习或异常检测算法来区分后门和正常样本。实验表明，该方法在多个基准数据集和多种后门攻击类型（如BadNets、Trojan攻击等）上均表现出高检测率和低误报率，并且对防御已知的规避策略具有鲁棒性。主要贡献包括：提出了一种基于Gram矩阵的后门检测新范式，无需修改训练过程或访问干净训练数据；证明了该方法在多种攻击场景下的有效性；并提供了理论分析支持其鲁棒性。适合研究深度学习安全的后门防御从业者阅读。

该论文首次提出并形式化了数字标志的安全问题，旨在将国际人道法中用于保护物理基础设施（如医院、水电站）的红十字、红新月等标志扩展到网络连接的数字基础设施。作者指出，在武装冲突中，攻击数字基础设施（如电网、通信系统）已成为现实威胁，因此需要一种机制让攻击方能够识别并避免攻击受保护的数字资产。数字标志面临独特的安全需求：认证性（确保标志的真实性）、问责性（防止滥用）以及一种称为“隐蔽检查”的新颖属性——检查方（如进攻方）在验证受保护状态时，不能暴露其可能对其他未受保护实体发动攻击的意图。论文提出了一个名为ADEM（Authentic Digital EMblem）的框架，通过密码学协议实现这些需求。核心贡献包括：形式化数字标志的安全模型，设计基于认证加密和零知识证明的协议，以及安全性证明。该工作为未来网络冲突中的平民保护提供了理论基础，适合国际法学者、安全协议设计者及网络战研究人员阅读。

本论文关注亚马逊 Alexa 语音助手平台中第三方技能（voice applications）违反平台政策的问题。研究首先通过一项包含 34 名第三方技能开发者的用户调研，揭示了开发者对平台各项政策要求（如隐私、安全、内容合规等）的认知存在显著不足，导致政策违规技能不可避免地被发布。为了解决这一问题，论文提出了一种名为 SkillScanner 的静态分析工具，能够在技能开发阶段自动检测潜在的策略违规行为。SkillScanner 通过解析技能代码逻辑和配置，识别与平台策略相冲突的模式，从而帮助开发者在发布前修正问题。实验表明，该方法能够有效发现多种类型的政策违规，包括不当数据收集、权限滥用等。论文的主要贡献包括：量化了开发者与平台政策之间的认知差距，设计并实现了轻量级的静态分析框架，以及通过真实 skill 样本验证了工具的有效性。该研究为语音助手生态的安全治理提供了实用方案，适合平台安全团队、技能开发者及安全研究人员阅读。

本文总结了作者运营大规模物联网安全诊断服务的经验与教训。研究背景是物联网设备面临的安全威胁日益严峻，而设备所有者往往难以判断设备是否被感染。作者提出了一种基于云端与本地Agent协同的诊断服务架构，通过定期扫描设备行为、网络流量和固件完整性来检测异常。基于实际运营数据，作者分析了常见感染类型（如Mirai、Gafgyt等僵尸网络）的检出率、误报率以及用户反馈。实验结果表明该服务能够有效帮助用户识别感染设备，平均检测准确率达到95%以上。同时，作者指出了服务运营中的挑战，包括设备异构性导致的兼容性问题、用户隐私顾虑以及规模化部署的成本控制。最后，提出了改进建议，如采用联邦学习减少数据泄露风险、优化扫描策略降低性能开销。

本文系统性地回顾了2010年至2020年间勒索软件的演变过程，通过收集大量恶意软件样本，构建了一个细粒度的数据集，包含勒索软件家族、变种、传播方式、支付要求等多维信息。基于该数据集，作者进行纵向分析，揭示了勒索软件在技术复杂度、目标选择、攻击策略等方面的趋势变化，如从广泛传播到定向攻击、从简单加密到双重勒索等。研究还评估了不同攻击时段防御措施的有效性。该工作为理解勒索软件生态系统提供了宝贵的实证基础。

本文通过半结构化访谈15名不同角色和专业背景的安全从业者，探讨了高级持续性威胁（APT）分析、归因及面临的挑战。研究发现，从业者在APT归因中采用三层方法，每层有各自目标和挑战。他们通常更关注理解对手的战术、技术和程序（TTP）及动机，而非确定具体攻击实体。现有工具和流程的主要问题包括无法处理多样复杂的数据，以及内部和外部协作的困难。基于这些发现，作者提出了四项改进归因方法的建议，并讨论了这些改进如何应对已识别的挑战。该研究填补了对安全从业者实际感知和挑战理解的空白，为未来APT分析工具和流程设计提供了重要参考。

该论文介绍了第1届ACM安全与可信超级应用研讨会（SaTS'23）的背景和主要内容。随着超级应用（如微信、支付宝等）的普及，它们整合了多种功能（支付、社交、出行等），成为用户日常生活的核心平台。然而，这种集成也引入了新的安全威胁和信任挑战，例如应用内部的数据隔离、权限管理、第三方小程序安全、用户隐私保护以及供应链攻击等。研讨会旨在汇集学术界和工业界的研究人员，共同探讨超级应用面临的安全与信任问题，并推动相关解决方案的发展。论文概述了研讨会的主题范围，包括但不限于超级应用架构安全、运行时安全、加密协议、访问控制、隐私增强技术以及形式化验证方法。通过这一平台，组织者期望促进跨学科合作，为超级应用的安全生态系统奠定基础。该论文属于研究类别，提供了对该新兴领域的全景式介绍。

本文针对无人机群（UAV swarms）通信中的安全挑战展开研究。无人机群依赖分布式协作和无线通信（RF和WiFi）实现可扩展操作、扩展覆盖以及监控和实时数据交换等应用。MAVLink作为主流无人机通信协议，提供了消息完整性和认证机制，但缺乏内置加密，导致遥测流量易受窃听。作者在先前工作中提出了MAVShield——一种轻量级加密框架。本文在此基础上，将MAVShield、AES-CTR、Speck-CTR、ChaCha20和Rabbit五种加密方案集成到四架定制无人机中，在RF和WiFi信道上建立安全通信链路，并通过无人机群测试平台进行了飞行实验评估。加密后的遥测数据支持自主编队控制和飞行碰撞避免。在碰撞避免方面，作者开发了改进的人工势场（APF）算法，该算法直接在地理坐标系中计算引力和斥力，消除了笛卡尔变换，减少了轨迹振荡，同时避免了局部极小陷阱。实验测量了每种加密方案的CPU利用率、内存消耗和丢包率（PDR）。结果表明，MAVShield在整体效率上优于AES-CTR、Speck-CTR、ChaCha20和Rabbit，且性能接近未加密通信。代数密码分析和基于Wireshark的流量分析证明了MAVShield能抵抗密钥恢复攻击并保护遥测机密性。本文的主要贡献在于：1）在真实无人机群平台上实现了多种加密方案的集成与评估；2）验证了MAVShield作为轻量级加密方案的高效性和安全性；3）提出了改进的APF算法以提升碰撞避免性能。适合对无人机通信安全、轻量级加密和无人机群协调控制感兴趣的网络安全研究者阅读。

自动语音识别（ASR）系统对对抗性和良性扰动高度敏感，但现有检测方法因缺乏真实转录的先验知识而难以在部署系统中实施。本文提出一种基于认证思想的鲁棒性增强方法，通过双门控诊断管道提升系统可靠性。该管道包含两个核心模块：一是“两侧原子审计”，通过累积统计证据来认证令牌的存在和对抗性排除；二是“基于排名的竞赛”，从候选序列中选择获胜转录。在四种不同架构（如DeepSpeech、QuartzNet等）上的实验表明，该方法能使词错误率相对降低高达55%，同时提供细粒度的单词级和句子级鲁棒性认证。该工作为ASR系统的声学安全性提供了一种可证明的保障机制，有助于在真实场景中抵御扰动。

去中心化金融（DeFi）应用的交易执行顺序至关重要，攻击者可通过重排序攻击提取区块链可提取价值（BEV）。虽然以太坊等线性区块链系统已有大量公平排序机制研究，但基于有向无环图（DAG）的共识协议尽管因可扩展性和高性能而被广泛采用，却始终缺乏公平排序保护。本文提出 Tilikum，一种基于 DAG 的账本协议，无需依赖弱边即可实现公平交易排序。Tilikum 通过中位数时间戳聚合或批量顺序公平性（batch order fairness）实现排序线性化，同时保持低数据冗余和高效的垃圾收集机制。作者在 Rust 中实现了 Tilikum，并与 Narwhal/Tusk、Pompē、Themis 和 FairDAG 等代表性基线进行对比评估。实验结果表明，Tilikum 的吞吐量比其他公平排序基线最高提升 39 倍，并完全阻断了当前最先进的 DAG 特定重排序攻击。该协议为 DAG 结构提供了首个兼具高性能和强公平性保证的解决方案，不仅填补了该领域的空白，也为 DeFi 应用程序提供了更安全的交易执行环境。

隐私是现代社会中个人的基本权利，但隐私保护技术在日常交互中的实际采用仍然有限。零知识证明（ZKP）提供了强大的隐私保证，但其技术复杂性阻碍了广泛应用。本文提出一种可验证二维码（verifiable QR）的概念，使得离线验证者能够验证编码在QR码中的零知识证明。基于这一核心思想，作者构建了一个新颖的QR驱动的zkSNARK证明验证框架（称为zQR），专为移动平台设计。该框架整合了区块链技术以实现可审计性、不可否认性和日志记录，并利用大型语言模型（LLM）自动生成电路，降低了ZK电路设计的门槛。作者针对多个攻击面进行了安全讨论，包括二维码篡改、证明伪造、区块链数据完整性等。实验评估测量了时间成本（证明生成和验证延迟、QR码编码和解码延迟）和财务成本（区块链gas消耗）。结果表明，zQR作为概念验证框架在移动平台上具有可行性，证明可以紧凑地表示为QR码符号版本19（低纠错等级）。论文最后讨论了潜在应用（如数字身份、凭证验证）、当前限制（如二维码容量、移动端性能）以及未来方向。该研究主要面向隐私保护技术研究人员、移动安全工程师以及区块链开发者，提供了一种将零知识证明与物理介质结合的新思路。

随着大语言模型驱动的智能体快速发展，模型上下文协议（MCP）作为一种连接LLM与外部工具的开源协议，已成为现代智能体生态系统的基础。然而，MCP的广泛应用也带来了新的安全威胁，例如工具投毒攻击（TPA），即利用LLM与服务器之间的交互注入恶意提示。现有的投毒方案通常采用单一工具明文嵌入范式，难以抵御人工审计或自动化检测。当前研究缺乏对多工具投毒的系统分析，即多个工具可被协同利用以分散检测风险。本文提出ShareLock——一种多工具阈值投毒框架，利用Shamir阈值方案实现卓越的隐蔽性和容错性。ShareLock将恶意指令作为看似良性的秘密份额，分布到多个工具描述中，同时实现信息论安全性和抵抗中等审计的攻击鲁棒性。通过在服务器更新期间植入隐蔽重建触发器，聚合的份额可重构隐藏指令，导致系统资产或私有数据的关键泄露。为了评估ShareLock的现实威胁，作者构建了涵盖四种多工具场景的综合基准，并在两个不同的MCP客户端上对主流LLM进行了广泛实验。结果表明，ShareLock在基于工具描述检测方面显著优于现有单工具投毒策略，同时保持了超过90%的平均攻击成功率。

本文研究了大语言模型（LLM）在面对越狱攻击时内部工作机制的鲁棒性。现有的安全对齐方法（如RLHF）虽然能拒绝有害请求，但越狱攻击仍能绕过这些防护。作者通过注意力头（attention head）级别的细致分析，揭示了两种功能分化的注意力头类型：1）对抗性被破坏头（ACHs），集中在早期层，在攻击下被抑制；2）安全对齐头（SAHs），集中在中间层，即使在攻击成功时仍然保持强大的激活。通过消融实验，作者发现抑制少量ACHs就足以在正常拒绝的输入上诱导出类似越狱的行为，而移除SAHs则会显著削弱中间层的安全激活。基于token级归因分析，作者进一步发现ACH的抑制是由攻击模板中的特定token驱动的，这提供了越狱攻击通过抑制ACHs绕过拒绝决策，但SAHs仍然维持内部安全信号的机制解释——作者称之为“鲁棒有害特征”。最后，作者展示了这些持续存在的激活信号的实际价值：通过直接读取这些激活（无需训练），就能在强对抗鲁棒性下实现具有竞争力的聚合检测性能。该研究为理解LLM安全对齐的脆弱性和鲁棒性提供了新的机制性视角。

该论文提出了一种名为Tree of Evidence (ToE)的层次化可解释声明验证框架，用于自动化事实核查。研究背景是：假新闻的快速传播对信息生态构成威胁，特别是生成式引擎优化（GEO）投毒使得对抗性内容被检索系统系统地呈现，污染大语言模型（LLM）的推理。ToE框架将每个声明建模为一个动态扩展的参数树，集成三个核心组件：基于强化学习的多源检索智能体、证据评估智能体和参数树聚合算法。通过迭代分解、检索和验证，构建可解释的证据链。论文还对检索过程进行了理论分析，推导出形式化误差界，保证学习策略收敛到信息理论最优策略的邻域。在多个数据集和骨干LLM上的实验表明，ToE相比竞争基线取得了4到24个百分点的改进，在对抗性投毒输入上尤其显著。该方法主要贡献包括：提出层次化证据推理框架、强化学习驱动的动态多源检索、可解释的证据链构建，以及理论收敛保证。适合对自动化事实核查、对抗性鲁棒性、LLM安全感兴趣的读者。

该论文研究了大型语言模型（LLM）集成应用中 prompt injection 攻击的根本原因。作者证明，在共享嵌入架构中，如果缺乏强制性的控制与数据分离，完美防御 prompt injection 在数学上是不可能的。论文形式化定义了“提示动作模型”（Prompted Action Models），其输出包括控制性动作（如拒绝决策、工具授权、策略路由和内存写入），并提出了“语义忠实控制”（Semantic-Faithful Control, SFC）属性，即控制行为仅依赖于不可信输入的含义，而非其编码方式。通过三项理论结果证明 SFC 不可实现：源恢复不可能性（共享表示使得可信与不可信内容在统计上不可分离，受限于总变差距离）、控制路径暴露（不可信令牌通过相同的注意力值聚合进入控制相关计算）以及有限覆盖不变性间隙（有限训练无法在无限语义等价类上认证不变性）。这些结论在真实分词器和模型上通过测量得到了验证。作者指出，这一结果是结构性的，而非当前防御的漏洞，类似于冯·诺依曼架构中代码与数据混淆导致的缓冲区溢出问题——后者花费数十年才通过分层防御（DEP、W⊕X、ASLR、栈金丝雀、内存安全语言）得以控制。因此，prompt injection 不能仅通过更好的管道内分类或对齐来消除，而需要指令与数据通道的架构级分离。该论文适用于从事 LLM 安全、架构设计和对抗性机器学习的研究人员。

本文研究了大语言模型（LLM）在安全分类任务的微调过程中引入的隐蔽漏洞。通常，LLM在微调后会在同分布留出集上评估，但作者发现这种标准评估无法检测出微调本身带来的新脆弱性：模型可能学习到基于令牌的指示器语义，在保持正常分类准确率的同时，对行为保持变换（如PowerShell别名替换、命令重构、字符串构造、执行间接和大小写变异）却失效。以Foundation-Sec-8B-Instruct和其基模型Llama-3.1-8B-Instruct为例，在匹配的PowerShell分类测试集上，通过因果干预定位到分类电路源自Llama中继承的后期注意力路径，而非微调创造。微调集中并语义特化了这一继承结构，改善了基线行为，但同时创造了易受变换影响的攻击面。三层逃避基准测试显示，Foundation-Sec在iwr替换、Invoke-Expression重构以及大小写变异的IEX变体上均失败，而Llama则没有这些问题。作者还推导了一种部署前监控方法：分类边界的线性探针和指示器令牌符号检验可识别出微调后规范指示器角色发生变化的命令族。这些信号仅使用规范输入即可优先进行红队变体生成。研究表明，安全微调在提升任务准确率的同时可能扩大逃避面，提示不应将针对特定任务的小规模微调视为直接更安全的安全分类器，特化过程可能将继承的模型结构转化为脆弱的指示器规则，从而在保持留出集准确率的同时扩大逃避面。需要鲁棒的AI安全就必须完整指定任务的变换空间，并监控微调过程中的语义漂移。

本研究探讨了非专业恶意行为者是否能够利用广泛传播的越狱攻击手段，成功诱导大型语言模型（LLM）输出有害内容。为此，作者提出了一种基于多臂老虎机（multi-armed bandit）框架的新型攻击策略。该策略允许攻击者通过少量查询的噪声探索，从大量候选越狱方法中在线学习最优策略，随后在利用集上大规模应用。此外，作者构建了FrankensteinBench基准测试，包含11,279个恶意查询，这些查询来自7个现有安全基准的精心整理，并经过自动化增强和生成。每个查询根据所需技术专长分为简单或复杂类别。实验表明，在15个最先进的开源LLM上，该基于老虎机的攻击平均成功率达到97%。进一步发现，增加查询复杂性可使平均攻击成功率提升高达26%。研究结论证实了非专业行为者利用现有越狱方法和复杂查询组合构成严重威胁的担忧。

A vulnerability has been found in RAGapp up to 0.1.5. Affected is the function FileHandler.upload_file/FileHandler.remove_file of the file src/ragapp/backend/controllers/files.py of the component Knowledge File Handler. Such manipulation leads to path traversal. The attack can be executed remotely. The exploit has been disclosed to the public and may be used. The pull request to fix this issue awa

A flaw has been found in khoj-ai khoj up to 2.0.0-beta.28. This impacts an unknown function of the file src/khoj/routers/api_chat.py of the component Conversation Sharing Handler. This manipulation of the argument conversation.agent causes incorrect authorization. Remote exploitation of the attack is possible. The exploit has been published and may be used. The pull request to fix this issue await

Gitea act_runner with the Docker backend (through act 0.262.0) passes a workflow's container.options string to the Docker job container's HostConfig and, when configured with privileged: false, forces only the Privileged flag off while merging options such as --pid=host, --cap-add, and --security-opt unchanged. A user who can run a workflow on a Docker-backed runner can create a job container with

A security flaw has been discovered in MyScale MyScaleDB up to 1.8.0. This vulnerability affects the function SegmentId::getCacheKey in the library src/VectorIndex/Common/SegmentId.h. The manipulation results in insufficient verification of data authenticity. It is possible to launch the attack remotely. A high complexity level is associated with this attack. It is stated that the exploitability i

A weakness has been identified in Chess Play and Learn App up to 4.9.42 on Android. This issue affects some unknown processing of the file AndroidManifest.xml of the component com.chess. This manipulation causes exposure of backup file to an unauthorized control sphere. It is feasible to perform the attack on the physical device. The exploit has been made available to the public and could be used

A flaw has been found in AIDC-AI ComfyUI-Copilot up to 2.0.28. This issue affects some unknown processing of the file backend/controller/conversation_api.py of the component Workflow Checkpoint Restore Handler. Executing a manipulation can lead to improper control of resource identifiers. The attack may be performed from remote. A high complexity level is associated with this attack. The exploitab

A vulnerability has been found in MLflow up to 4666cffc7912ea606d592fc38d6a75e2935f65e7. The impacted element is an unknown function of the component Experiment-scoped Label Schema CRUD API. Such manipulation leads to missing authorization. It is possible to launch the attack remotely. A high complexity level is associated with this attack. The exploitability is regarded as difficult. The exploit

A vulnerability was detected in CodeAstro Human Resource Management System 1.0. This issue affects the function emselectByCode of the file application/models/Employee_model.php of the component Update_Earn_Leave Endpoint. The manipulation of the argument emid results in sql injection. The attack can be launched remotely. The exploit is now public and may be used.

A vulnerability was identified in SourceCodester Class and Exam Timetabling System 1.0/5.php. Affected by this vulnerability is an unknown functionality of the file /preview5.php. Such manipulation of the argument course_year_section leads to sql injection. The attack may be performed from remote. The exploit is publicly available and might be used.

A vulnerability has been found in Tenda JD12L 16.03.53.23. This affects the function fromAddressNat of the file /goform/addressNat. The manipulation of the argument page leads to stack-based buffer overflow. Remote exploitation of the attack is possible. The exploit has been disclosed to the public and may be used.

A vulnerability was found in Tenda JD12L 16.03.53.23. This impacts the function fromNatStaticSetting of the file /goform/NatStaticSetting. The manipulation of the argument page results in stack-based buffer overflow. The attack can be executed remotely. The exploit has been made public and could be used.

A vulnerability was determined in itsourcecode Hospital Management System 1.0. Affected is an unknown function of the file /appointmentapproval.php of the component Appointment Handler. This manipulation of the argument editid causes sql injection. The attack is possible to be carried out remotely. The exploit has been publicly disclosed and may be utilized.

A weakness has been identified in GPAC up to 26.02.0. This affects an unknown part of the file src/utils/base_encoding.c of the component ISOBMFF Parser. Executing a manipulation can lead to highly compressed data. The attack needs to be launched locally. The exploit has been made available to the public and could be used for attacks. This patch is called 297f2d8d1f493d8b241330533cd47f7da758aeb3.

A security vulnerability has been detected in CherryHQ cherry-studio up to 1.9.6. This vulnerability affects unknown code of the file src/main/services/mcp/oauth/callback.ts of the component MCP OAuth Local Callback Server. The manipulation of the argument code leads to improper authorization. The attack can be initiated remotely. The attack is considered to have high complexity. It is stated that

A flaw has been found in SourceCodester Class and Exam Timetabling System 1.0. Impacted is an unknown function of the file /edit_class.php. This manipulation of the argument ID causes sql injection. The attack may be initiated remotely. The exploit has been published and may be used.

A security flaw has been discovered in Investintech SlimPDFReader up to 2.0.14. Affected by this issue is the function SlimPDFReader!Investintech::PCV::TeighaDo+0x25cde0 of the file SlimPDFReader.exe of the component PDF File Handler. Performing a manipulation results in out-of-bounds read. It is possible to initiate the attack remotely. This vulnerability only affects products that are no longer

A flaw has been found in Tenda JD12L 16.03.53.23. The impacted element is the function formWifiBasicSet of the file /goform/WifiBasicSet. Executing a manipulation of the argument security_5g can lead to stack-based buffer overflow. The attack may be launched remotely. The exploit has been published and may be used.

A vulnerability was identified in Databend up to 1.2.881 on HTTP. This affects the function ClientSessionManager::state_key of the file src/query/service/src/servers/http/v1/session/client_session_manager.rs of the component Tenant Handler. The manipulation leads to authorization bypass. It is possible to initiate the attack remotely. The exploit is publicly available and might be used. The pull r

A security vulnerability has been detected in Tenda JD12L 16.03.53.23. Impacted is the function formSetPPTPServer of the file /goform/SetPptpServerCfg. Such manipulation of the argument startIp leads to stack-based buffer overflow. The attack can be launched remotely. The exploit has been disclosed publicly and may be used.

A vulnerability was found in SimStudioAI sim up to 0.6.92. Affected by this vulnerability is an unknown functionality in the library apps/sim/lib/core/security/deployment.ts of the component Password Protection Handler. Performing a manipulation results in use of weak hash. The attack is possible to be carried out remotely. The attack's complexity is rated as high. The exploitation appears to be d

A vulnerability has been found in RAGapp up to 0.1.5. Affected is the function FileHandler.upload_file/FileHandler.remove_file of the file src/ragapp/backend/controllers/files.py of the component Knowledge File Handler. Such manipulation leads to path traversal. The attack can be executed remotely. The exploit has been disclosed to the public and may be used. The pull request to fix this issue awa

A flaw has been found in khoj-ai khoj up to 2.0.0-beta.28. This impacts an unknown function of the file src/khoj/routers/api_chat.py of the component Conversation Sharing Handler. This manipulation of the argument conversation.agent causes incorrect authorization. Remote exploitation of the attack is possible. The exploit has been published and may be used. The pull request to fix this issue await

CVE-2026-13531 是一个影响 itsourcecode Hospital Management System 1.0 的 SQL 注入漏洞。该漏洞位于 /department.php 文件中的未知函数，攻击者可以通过操纵 editid 参数实现 SQL 注入。由于应用程序未对用户输入进行充分过滤和转义，攻击者能够注入恶意 SQL 语句，从而可能获取、修改或删除数据库中的敏感信息，如患者记录、诊疗数据等。该漏洞可远程利用，且无需用户交互，但需要低权限（如普通用户权限）。CVSS 评分为 6.3（中等），向量为 AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L，表明攻击复杂度低，对机密性、完整性和可用性有部分影响。目前该漏洞的利用代码已公开，增加了被攻击的风险，但尚未有在野利用的明确报告。受影响的产品版本为 1.0，厂商未提供补丁。建议立即对相关应用进行代码审计，实施输入验证和参数化查询，同时限制对 /department.php 的网络访问权限，尤其是从外部网络。

itsourcecode Hospital Management System 1.0 中存在一个 SQL 注入漏洞。该漏洞位于 /appointmentdetail.php 文件中的 Appointment Handler 组件，攻击者可以通过操纵参数 editid 来执行任意 SQL 命令。由于攻击者需要低权限（PR:L）且无需用户交互（UI:N），攻击复杂度低（AC:L），因此远程利用可行性较高。CVSS 评分为 6.3（中等严重性），影响机密性、完整性和可用性（均为低影响）。此外，该漏洞的利用代码已公开，可能被用于未授权访问数据库、窃取或篡改患者信息等敏感数据。目前厂商尚未发布官方补丁，建议用户密切关注更新，并实施临时缓解措施，如限制对 /appointmentdetail.php 的访问、使用 Web 应用防火墙过滤恶意输入、强制使用参数化查询等。

YzmCMS 7.5及之前版本中存在一处SQL注入漏洞。该漏洞位于`/application/install/index.php`文件中，攻击者可通过精心构造`siteurl`参数实现注入攻击。虽然攻击复杂度较高且利用难度较大，但漏洞细节已公开，攻击者可能尝试远程利用。成功利用后，攻击者可读取、修改数据库中的敏感信息，对系统的机密性、完整性和可用性造成有限影响。厂商在收到报告后未作出回应，因此暂无官方补丁。建议用户限制安装脚本的网络访问权限，避免在公开环境中暴露安装接口，并监控异常数据库查询。

该漏洞存在于 YunaiV/zhijiantianya 项目的 ruoyi-vue-pro 组件中，影响版本直至 2026.04-jdk8-SNAPSHOT。漏洞位于文件 yudao-module-infra/src/main/java/cn/iocoder/yudao/module/infra/service/file/FileServiceImpl.java 的 generateUploadPath 函数中，该函数是 AppFileController 文件上传端点的一部分。攻击者可以通过精心构造的文件名或路径参数，利用路径遍历漏洞读取或写入服务器上的任意文件。由于该端点可能无需认证即可访问（CVSS 攻击向量为网络，无需特权），远程攻击者可以低复杂度地利用此漏洞，导致机密性、完整性和可用性均受到低度影响。目前漏洞细节及利用代码已公开，但尚未有在野利用的明确证据。官方已提供修复补丁（commit 4ae3f6b2c9883978837638c14e3d18419819eeb0），建议立即应用。临时缓解措施包括限制文件上传接口的网络暴露范围，并对上传路径实施严格的输入验证。

CVE-2026-13527 影响 SourceCodester Class and Exam Timetabling System 1.0。该漏洞存在于 /preview4.php 文件的未知函数中，参数 course_year_section 存在 SQL 注入漏洞。攻击者可以远程发送恶意请求，无需认证即可利用此漏洞，通过注入 SQL 语句实现数据库的读取、修改或删除等操作。CVSS 评分为 7.3（高），攻击复杂度低，无需用户交互。目前该漏洞细节已公开，但官方尚未发布补丁。建议用户监控官方更新，并在未修复前限制对受影响页面的网络访问。

CVE-2026-13526 影响 SourceCodester Class and Exam Timetabling System 1.0。该漏洞位于 /edit_class.php 文件中的未知函数，通过操纵 'ID' 参数可触发 SQL 注入攻击。攻击者可远程发起攻击，无需身份验证。该漏洞的利用代码已被公开，增加了被攻击者利用的风险。CVSS 评分为 7.3（高），影响机密性、完整性和可用性。目前厂商尚未发布补丁，建议用户限制受影响系统的网络暴露，并监控可疑活动。

CodeAstro Human Resource Management System 1.0 中存在 SQL 注入漏洞。该漏洞位于 update_ean_leave 端点的 application/models/Employee_model.php 文件中的 emselectByCode 函数，攻击者可通过操纵参数 emid 进行 SQL 注入。攻击者无需身份验证即可远程发起攻击（虽然 CVSS 要求低权限，但描述提及攻击可远程执行）。成功利用后，攻击者可能读取、修改或删除数据库中的敏感信息，如员工数据、薪资信息等。CVSS 评分为 6.3（中等），但由于漏洞利用代码已公开，实际利用风险增加。建议用户立即升级到最新版本或应用厂商提供的补丁；若无法立即修补，应限制对受影响端点的网络访问，并实施 Web 应用防火墙规则以检测和阻止 SQL 注入攻击。

CVE-2026-13523 是 GPAC 多媒体框架（版本 ≤ 26.02.0）中的一个弱点，影响其 ISOBMFF 解析器组件中的 src/utils/base_encoding.c 文件。该弱点源于对解压输出大小缺乏有效限制，攻击者通过本地操纵输入数据，可能触发高度压缩的数据膨胀，导致拒绝服务（可用性影响）。攻击需要本地权限，攻击复杂度低，但无需用户交互。CVSS 评分为 3.3（低危），影响仅限于可用性。厂商已确认该问题，并在提交 297f2d8d1f493d8b241330533cd47f7da758aeb3 中引入补丁，添加了对 inflate 输出大小的检查：若解压输出超过输入大小的 32 倍，则停止并报错。该补丁已被公开，建议用户立即更新至包含此修复的版本。由于漏洞需要本地访问，远程攻击可能性低，但内部恶意用户或通过诱使受害者打开恶意文件仍可能触发。

CVE-2026-13522 是影响 Investintech SlimPDFReader 至 2.0.14 版本的一个安全漏洞。该漏洞位于 SlimPDFReader.exe 的 PDF 文件处理组件中，具体函数为 SlimPDFReader!Investintech::PCV::TeighaDo+0x25cde0。攻击者可以通过精心构造的 PDF 文件触发越界读取（out-of-bounds read）操作，导致拒绝服务（可用性影响）或可能的信息泄露。该漏洞可远程利用，但需要用户打开恶意 PDF 文件（即需要用户交互）。CVSS 3.1 评分为 4.3（中等），攻击向量为网络，攻击复杂度低，无需特权，但影响范围仅限于可用性（低）。值得注意的是，该产品已不受厂商支持，不再提供安全更新，因此所有用户面临风险。建议用户立即停止使用该软件，并迁移至受支持的替代方案。目前没有证据表明该漏洞已在野外被利用。

SourceCodester Class and Exam Timetabling System 1.0 被发现存在SQL注入漏洞。漏洞位于文件 /preview5.php 中，攻击者可以通过向参数 course_year_section 提交恶意构造的输入，在未经认证的情况下远程执行SQL注入攻击。由于该参数未经过充分的过滤或转义，攻击者可以操纵SQL查询，进而窃取、修改或删除数据库中的敏感数据，例如课程安排、考试时间表、用户凭证等。该漏洞的CVSS评分为7.3（高），攻击复杂度低，无需权限，且无需用户交互。更值得关注的是，该漏洞的利用代码已公开，可能被广泛用于攻击。受影响的产品是SourceCodester Class and Exam Timetabling System 1.0，这是一个用于课程和考试时间表管理的Web应用。建议受影响用户尽快升级到修复版本，若不可行，则应立即限制对 /preview5.php 文件的网络访问，并对输入参数实施严格的验证和过滤，以降低风险。目前该漏洞尚未被列入已知被利用漏洞目录（KEV），也未有明确证据表明已在野利用，但鉴于利用代码公开，实际风险较高。

CVE-2026-13520 是 itsourcecode Hospital Management System 1.0 中一个已公开披露的 SQL 注入漏洞。漏洞位于 /appointmentapproval.php 文件的未知功能中，攻击者可以通过操纵 editid 参数实现 SQL 注入。由于该应用未对用户输入进行充分过滤和转义，攻击者可在低权限（PR:L）下通过远程网络（AV:N）发起攻击，无需用户交互（UI:N）。成功利用可能导致数据库信息泄露（C:L）、数据篡改（I:L）或部分可用性影响（A:L）。虽然目前尚未被列入 CISA KEV 目录，且无明确在野利用报告，但漏洞利用代码已公开，增加了被恶意利用的风险。受影响应用为开源的医院管理系统，通常部署在内部网络或云环境，若未及时修复，可能成为攻击突破口。建议措施：1. 官方未发布补丁时，应对 /appointmentapproval.php 实施严格输入验证和参数化查询；2. 限制该文件的外部网络访问，仅允许受信任 IP；3. 监控日志中针对该路径的异常请求；4. 考虑使用 Web 应用防火墙（WAF）拦截 SQL 注入特征。

Tenda JD12L路由器固件版本16.03.53.23中，位于/goform/NatStaticSetting接口的fromNatStaticSetting函数存在栈溢出漏洞。该函数处理HTTP请求中的page参数时，未正确校验输入长度，导致可以写入超出栈缓冲区大小的数据，从而触发缓冲区溢出。攻击者可以通过构造特制的请求，利用该漏洞远程执行任意代码或导致设备拒绝服务。漏洞的利用代码已被公开，技术门槛较低，易被攻击者利用。CVSS评分为8.8，属于高威胁等级，攻击向量为网络，攻击复杂度低，需要低权限，无需用户交互，影响范围广泛。由于Tenda JD12L是一款常见的家庭/小型办公室路由器，此漏洞可能导致大量设备被远程控制，进而用于发起进一步的网络攻击。目前厂商尚未发布安全公告或补丁，建议用户密切关注更新。

该漏洞影响 Tenda JD12L 路由器固件版本 16.03.53.23。漏洞位于 /goform/addressNat 文件中的 fromAddressNat 函数，通过向 page 参数传递特制输入，可触发栈缓冲区溢出。攻击者无需身份验证即可远程利用（需低权限用户交互），利用方式已公开。成功利用可能导致攻击者获得路由器控制权，执行任意代码或引发拒绝服务。目前厂商未发布官方补丁，建议用户限制路由器管理界面的网络暴露，并关注厂商更新。

Tenda JD12L路由器固件版本16.03.53.23中存在一个栈缓冲区溢出漏洞，位于/goform/WifiBasicSet接口的formWifiBasicSet函数中。攻击者可通过发送特制的HTTP请求，操纵security_5g参数，触发缓冲区溢出，可能造成远程代码执行或系统崩溃。该漏洞的CVSS评分为8.8（高），攻击向量为网络，攻击复杂度低，需要低权限，无需用户交互，影响机密性、完整性和可用性。由于漏洞利用代码已公开，增加了被恶意利用的风险。受影响设备通常暴露于网络，建议用户尽快升级固件至修复版本。在未修复前，应限制受影响设备的管理接口暴露于不可信网络，并监控异常流量。

CVE-2026-13516 是 Tenda JD12L 路由器固件版本 16.03.53.23 中的一个高危漏洞。漏洞位于 /goform/WifiGuestSet 文件的 fromSetWifiGusetBasic 函数中，由于对参数 shareSpeed 的处理不当，导致栈缓冲区溢出。攻击者可以通过网络远程发送特制请求，在无需用户交互的情况下触发溢出，实现任意代码执行。CVSS 评分为 8.8，攻击向量为网络，攻击复杂度低，需要低权限，但影响范围包括机密性、完整性和可用性。由于漏洞利用代码已公开，攻击者可能利用该漏洞完全控制受影响设备，进而窃取数据、发起进一步攻击或将设备纳入僵尸网络。目前厂商尚未发布官方补丁，建议用户立即限制设备的管理接口暴露于互联网，并密切关注固件更新。同时，应监控网络流量中针对 /goform/WifiGuestSet 的异常请求，作为临时缓解措施。

Databend 是一个云原生数据仓库。在版本 1.2.881 及之前，其 HTTP 服务中的 Tenant Handler 组件存在授权绕过漏洞。漏洞位于文件 src/query/service/src/servers/http/v1/session/client_session_manager.rs 的 ClientSessionManager::state_key 函数中。攻击者可以通过远程发送特制的 HTTP 请求，绕过授权检查，从而以较低权限（需拥有有效租户凭证）实现未授权的操作，可能影响数据的机密性、完整性和可用性。该漏洞的利用代码已公开，增加了被攻击的风险。目前官方尚未发布修复补丁，但已有拉取请求等待合并。建议用户关注官方更新，及时升级至修复版本；在补丁可用前，可通过限制网络访问、启用认证等措施降低风险。

CVE-2026-13524 是影响 CherryHQ cherry-studio 至 1.9.6 版本的安全漏洞。该漏洞位于 src/main/services/mcp/oauth/callback.ts 文件中，属于 MCP OAuth 本地回调服务器组件。由于对参数 code 的操纵导致授权不当（Improper Authorization），攻击者可远程利用此漏洞，但攻击复杂度较高（CVSS 3.1 基础分 5.6，向量为 AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L）。目前，该漏洞的利用代码已公开披露，但尚无在野利用的确切证据，且厂商的修复拉取请求（Pull Request）仍在等待合并。受影响用户需关注 CherryStudio 的更新动态，一旦修复发布应立即升级；在修复前，建议限制 MCP OAuth 本地回调服务器的网络暴露范围，仅对可信来源开放。由于漏洞影响的是 OAuth 授权流程，成功利用可能导致未授权的信息泄露、权限提升或有限的系统控制。尽管利用难度较高，但公开的 PoC 可能降低攻击门槛，因此建议及时采取缓解措施。

CVE-2026-13515 是影响 Tenda JD12L 路由器（固件版本 16.03.53.23）的一个严重栈缓冲区溢出漏洞。该漏洞位于 /goform/SetPptpServerCfg 文件的 formSetPPTPServer 函数中，攻击者可以通过构造特制的 startIp 参数触发缓冲区溢出，导致拒绝服务或潜在的远程代码执行。该漏洞可被远程利用，无需用户交互，但需要低权限（如已知凭据或跨请求伪造）。CVSS 3.1 评分 8.8（高），攻击向量为网络，攻击复杂度低，影响机密性、完整性和可用性。目前 PoC 已公开披露，可能被用于攻击，但尚未有证据表明已被广泛在野利用或列入已知被利用漏洞（KEV）目录。受影响的设备可能面临被完全控制的风险，建议用户尽快更新固件或采取缓解措施。

本文探讨了AI Agent（人工智能代理）在调用中间API和工具（Tool Call）时存在的信任边界问题，揭示了供应链劫持的风险。文章指出，AI Agent通常依赖外部API或工具来执行任务，如检索信息、执行操作等。攻击者可能通过篡改API响应、劫持工具调用链或注入恶意指令，导致Agent执行非预期操作，从而危害系统安全。文章详细分析了攻击面，包括中转API的认证缺陷、工具调用的参数污染、以及Agent对返回数据的隐式信任。作者通过概念性示例说明，若Agent未对API返回结果进行严格校验，攻击者可将恶意代码或指令嵌入合法响应中，实现供应链投毒。该研究强调，当前AI Agent的信任模型存在盲点，特别是当Agent从多个来源组合数据时。防御层面，文章建议实施输出验证、最小权限原则、以及工具调用的白名单机制，同时提出需要建立Agent行为的审计和监控体系。本文属于安全研究性质，未提及具体在野攻击或特定漏洞（CVE），但为AI供应链安全提供了重要警示。

Firewall for AI

关于Microsoft ExchangeServer存在多个...

关于家用路由器DNS被恶意篡改导致异常跳转风险的提示

本文是 CrowdStrike 与 Zscaler 的合作公告，宣布将 CrowdStrike Falcon 平台的端点检测与响应（EDR）能力与 Zscaler Zero Trust Exchange 集成，实现零信任架构下的持续身份验证。该集成确保每一次访问请求都经过实时的身份与上下文检查，从而降低凭据泄露和横向移动的风险。文章虽未提供具体攻击案例，但标签提及 APT 和 Conti 恶意软件家族，暗示该解决方案可能有助于对抗此类高级威胁。整体上，这是零信任安全领域的一次重要合作，旨在通过身份与端点安全融合，提升组织对凭据滥用和未知威胁的防护能力。

CrowdStrike 于 2026 年 6 月 29 日宣布推出针对 AI 代理的持续身份验证功能（Continuous Identity for AI Agents）。该功能旨在解决 AI 代理在自主执行任务时面临的身份与访问管理挑战，确保每个 AI 代理在访问企业资源前都能通过持续身份验证，并实时监控其行为。该产品基于 CrowdStrike Falcon 平台，利用零信任原则，结合身份威胁检测与响应（ITDR）能力，防止 AI 代理被滥用或泄露敏感数据。CrowdStrike 指出，随着 AI 代理在企业中广泛应用，传统的静态身份验证已不足以应对代理间动态交互的风险。此项发布是 CrowdStrike 在身份安全领域的最新扩展，旨在帮助安全团队加强对 AI 工作负载的可见性和控制力。文章未提及具体的攻击事件或漏洞，而是聚焦于新产品功能的概述。

CrowdStrike Named a Leader in Frost & Sullivan 2026 Radar for Cloud-Native Application Protection Platforms

Cloud & Application Security

From Scanner to Stealer: Inside the trivy-action Supply Chain Compromise

Next-Gen Identity Security

CrowdStrike Named an Innovation and Growth Leader in the 2026 Frost Radar™: Cloud and Application Runtime Security

CrowdStrike Expands Identity Leadership with OpenID and IDPro

cloud architecture assessment

ransomware and multifaceted extortion defense

Google Cloud Next 2026Catch-up sessions on the keynotes and select sessions are now available on demand.Explore content on-demand

The Identity Problem Hiding in AI Agent Deployments

94% of Organizations Report Cloud Breaches: CrowdStrike State of CDR Survey

[原创]探索CVE-2026-31431的热补丁修复方案

本次输入来源为360CERT安全报告，但提供的URL实为公安备案查询页面，不包含任何威胁情报内容。摘要为空，无具体攻击事件、技术细节或结论。标签中提及360、malware、report、apt，但未提供相应数据，无法进行有效分析。

该报告标题为“（总）网出证（京）字第281号”，来源为360CERT安全报告，但提供的链接指向一个许可证页面，而非具体的技术报告。摘要正文为空，未包含任何漏洞、攻击活动或恶意软件的技术细节。由于缺乏实质性内容，无法进行深入分析。