网络安全顶会——SP 2025 论文清单与摘要

1、"Check-Before-you-Solve": Verifiable Time-lock Puzzles

时间锁谜题是一种密码学原语，它向生成者保证该谜题无法在少于T个顺序计算步骤内被破解。近年来，该技术已在公平合约签署和密封投标拍卖等场景中得到广泛应用。然而，求解者在破解前无法获得关于谜题解的任何先验保证——例如该解在特定应用场景中的"实用性"。本研究提出可验证时间锁谜题（VTLP）来解决这一问题：生成者会发布一个简洁证明，表明该解满足特定属性（同时不泄露其他信息），从而激励求解者投入资源"承诺"破解谜题。我们设计的VTLP支持对谜题解验证任意NP关系R。在技术层面，为避免"直接通过SNARK验证关系Z_RR_Z并同步求解谜题"这种低效方案，我们的方案将Rivest、Shamir和Wagner提出的经典RSA时间锁谜题，与能将昂贵模群幂运算和乘法运算移出SNARK电路的新构件相结合。随后我们提出第二个专门用于验证RSA签名和可验证随机函数（VRF）的VTLP方案。该方案不依赖SNARK，可应用于分布式随机数生成等场景。研究过程中，我们还提出了针对隐藏阶群模幂关系的新型常数规模证明方案，该方案可能具有独立研究价值。最后，我们通过实验评估方案性能，汇报结果并与现有方法进行对比分析。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a053/21B7R0jYIKs

2、"It's been lovely watching you'': Institutional Decision-Making on Online Proctoring Software

为维护在线监考考试的学术诚信，高校普遍引入了远程监考软件。然而该软件的使用引发了隐私、安全与伦理争议，包括对学生卧室的监控、个人数据处理以及存在种族偏见的监测等问题。此类软件通常还需获取本地计算机的高级权限。现有研究主要关注师生对该软件的认知与使用，但针对院校高层管理者如何决策是否采用这类工具的机制研究仍属空白。本文通过访谈20位来自美国和澳大利亚的高校管理者，揭示了院校层面集中部署（或拒绝）远程监考软件的决策动因与流程。研究发现，即使在新冠疫情初期的紧急状态下，学术治理流程仍包含高层管理者、法务和IT团队的参与，但学生群体往往在制度性安排中被排除于决策过程之外。我们探讨了管理者如何权衡学术诚信需求与隐私安全、伦理道德及长期运营成本等矛盾因素，发现高校虽对隐私安全问题存疑，仍选择部署远程监考系统，有时会尝试采取缓解措施。随着学术界持续探索混合教学模式，本研究可为教育机构的技术采纳决策与学习评估体系构建提供参考。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a018/21B7Q9z8UV2

3、"Only as Strong as the Weakest Link": On the Security of Brokered Single Sign-On on the Web

单点登录（SSO）是一种认证机制，允许用户凭一组凭证访问多项服务。尽管SSO提升了用户体验，却迫使开发者面临安全实现复杂认证协议的挑战。外部服务（即中介平台）可简化SSO的集成流程。本文聚焦新兴的中介化SSO生态体系，重点研究新参与者——中介平台的安全性。我们系统性评估了中介化SSO的发展现状，揭示了既往研究中的重大盲区：研究发现25%采用SSO的网站通过中介平台进行认证，这一领域尚未被任何前人研究涵盖。通过全面安全评估，我们识别出中介化SSO相关的三类威胁：(1) 重定向链验证不足导致注入攻击，(2) 未授权数据访问引发账户劫持，(3) 违反当前安全最佳实践。我们在50余个中介平台中发现漏洞，危及超2000家网站的安全。这些发现仅揭示了严峻形势的下限，凸显亟需加强安全措施与协议以保障中介化SSO系统的完整性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a024/21B7Qfd8kiA

4、"Why would money protect me from cyber bullying?": A Mixed-Methods Study of Personal Cyber Insurance

个人可能成为安全事件、隐私侵犯、网络诈骗及社交媒体滥用的受害者。除预防措施外，用户还应制定遭遇不幸时的应对策略。为深入理解数字危害应对机制，我们首次针对英美两国的个人网络安全保险开展研究。通过内容分析法对24份网络安全保险条款进行供给侧调研，结果显示：个人网络安全保险主要覆盖安全事件、隐私泄露及欺诈事件，略超半数的保单也涵盖网络霸凌。与德国现有研究对比发现，英美两国的保险覆盖范围存在显著差异。在需求侧研究中，我们对584名英美比例均衡的受访者开展调查，仅1.6%的受访者已购买该保险，8.5%知晓此类产品。研究提出"风险不确定性"与"保障不确定性"概念，发现二者在个人网络安全保险领域普遍存在。分析保障不确定性时，我们发现保险公司与用户认知存在差异：网络诈骗领域的认知差距最大，身份盗窃和网络霸凌领域的差距最小。针对风险不确定性，整体而言用户对不同事件发生频率的预估相对准确。受访者认为欺诈事件影响最大，其次是安全和隐私事件，网络霸凌的预估影响程度最低。关于购买保险的决策，参与者对合同细则、报案要求、受害统计数据及安全解决方案获取途径等方面存在疑虑。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a027/21B7Qhx2Xfi

5、"You Have to Ignore the Dangers": User Perceptions of the Security and Privacy Benefits of WhatsApp Mods

WhatsApp是最受欢迎的社交消息平台，其官方应用的修改版本（或称“模组”）正日益流行。这些模组以额外功能和自定义选项为卖点，然而部分功能（例如保留已删除消息和状态更新）使得模组用户能够侵犯他人隐私，可能引发严重的安全与隐私问题。本研究通过对肯尼亚（WhatsApp模组使用率最高的国家之一）20名模组用户的访谈，探讨了用户对WhatsApp模组的认知。许多用户为“高级”功能转向模组以自我保护（如用“反删除”功能规避法律责任），但也有人承认利用模组功能隐藏自身行为或窥探他人。为验证用户预期与模组实际行为的匹配度，我们分析了一款主流模组（GB WhatsApp）的13个实例。虽然WhatsApp模组确实提供了宣称的功能，但部分用户误认为官方应用现有功能仅为模组独有。此外，尽管参与者认为模组申请的权限与官方应用相同，但多个模组存在明显的过度权限索取。近半数受访者表示比官方应用更信任模组，但我们发现其中两个模组含有恶意软件。WhatsApp模组的使用既给用户及其联系人带来风险，也提供了官方应用未能实现的用户赋权。我们提醒开发者和模组用户在使用或分发前务必履行审慎义务。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a087/21Tfery3gcM

6、A Deep Dive Into How Open-Source Project Maintainers Review and Resolve Bug Bounty Reports

研究者们已从平台、项目和漏洞猎手的角度对漏洞赏金生态进行了考察。然而，对漏洞赏金报告审核者视角的理解——尤其是那些缺乏安全背景且几乎不为漏洞猎手提供资金支持的群体——目前仍研究不足。本文重点调研了开源软件（OSS）维护者使用huntr平台（该平台向发现GitHub项目安全漏洞并促成有效补丁的猎手支付赏金）的体验。我们通过三项研究展开探讨：通过清单调查识别特征（样本量n=51）、利用李克特量表数据评估特征重要性排序（n=90），以及开展半结构化访谈深入挖掘实际经验（n=17）。最终我们将40项特征归类为收益、挑战、实用功能和期望功能。研究发现，非公开披露和项目曝光是最重要的收益，而猎手过度关注金钱/CVE指标以及审核压力是最难克服的挑战。出人意料的是，与猎手缺乏沟通被视作最不具挑战性的问题，CVE创建支持在维护者审核报告时被列为第二不实用的功能。我们提出了优化开源维护者审阅流程的建议，并指明了未来研究方向。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a063/21B7R8nQkO4

7、A Low-Cost Privacy-Preserving Digital Wallet for Humanitarian Aid Distribution

人道主义组织向受武装冲突或自然灾害影响的人群分发援助物资。数字化有望提升援助分发系统的效率和公平性，Wang等人的近期研究表明，实现这些益处的同时可避免对受助者隐私造成侵害。然而，他们的研究仅针对受助者领取预设物资包的特定场景提供解决方案。事实上，许多情况下需要允许受助者根据自身需求随时选择所需物品。我们将这些需求形式化为功能性、部署性、安全性和隐私性要求，并设计了一款隐私保护的援助分发数字钱包。基于智能卡的解决方案使受助者能在不同供应商处使用预设预算获取所需物品。我们证明了该方案的安全性与隐私性，并验证其具备大规模实践可行性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a069/21B7RdlxvO0

8、Adversarial Robust ViT-based Automatic Modulation Recognition in Practical Deep Learning-based Wireless Systems

先进的无线通信系统采用深度学习（DL）方法实现自动调制识别（AMR），以支持频谱监测与管理，尤其在承载多种共存无线协议的频段中。实际无线环境中，信号极易受恶意噪声、蓄意干扰和对抗攻击的影响，导致AMR效能下降。攻击者通过利用DL模型漏洞，在无线信号中添加不可察觉的扰动即可引发误分类，造成解码错误、吞吐量下降乃至通信中断等严重后果。针对现有抗无线对抗攻击研究的局限性，本研究创新性地改造Transformer模型，通过挖掘时序无线信号的时间相关性，设计出具有对抗鲁棒性的AMR系统。不同于直接应用视觉Transformer（ViT），我们首先创新设计了针对射频（RF）信号的时频域联合特征提取模块，并为Transformer编码器引入自适应位置编码以提升AMR精度。为降低实际无线通信中的噪声影响，我们进一步提出基于白盒攻击者生成的对抗样本，对开发的Transformer模型进行噪声自适应对抗训练。为验证方案的效率、有效性和鲁棒性，我们通过自建的真实世界数据集（包含室内外场景下21种调制类型的超3000万条无线信号样本）进行全面评估。实验结果显示：在AMR分类中最高准确率达94.17%，对抗攻击下仍保持71.2%的准确率。此外，我们首次实时验证了该设计在真实无线对抗攻击场景中的鲁棒性。数据集与代码详见https://github.com/coulsonlee/Robust-ViT-for-AMR-SP2025。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a030/21B7Qkjltcs

9、Analyzing the iOS Local Network Permission from a Technical and User Perspective

过去，恶意应用常通过本地网络通信攻击路由器或定位用户位置。为降低此类访问带来的安全与隐私风险，苹果在iOS 14中引入了新权限机制。该权限需有效抵御技术威胁，同时要求用户能做出知情决策——后者因"本地网络"概念的技术复杂性而存在实施障碍。本文首次通过四个关键维度对本地网络权限展开全面分析：通过系统化访问测试其实现安全性；对10,862个iOS/Android应用进行大规模动态分析以探查访问行为；解析权限弹窗中的概念呈现（用户决策的唯一依据）；基于这些概念开展在线调研（N=150），评估用户认知水平、威胁感知及常见误解。研究发现：存在两种通过Webview绕过权限的方法，且受保护的本地网络地址范围不足；揭示了跨平台应用访问本地网络的时机与方式差异；同时呈现用户认知的双面性——83.11%的参与者至少能识别一种威胁，但误解率更高达84.46%。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a045/21B7QxJBmzC

10、Anix: Anonymous Blackout-Resistant Microblogging with Message Endorsing

在政治动荡期间，专制政府越来越多地通过切断互联网来控制信息流动。作为应对，基于移动网状网络构建的通信应用已成为公民与活动人士的重要联络工具。尽管现有应用形态各异，但具备微博客功能的应用因其能快速传递信息、动员人群而备受青睐。然而，大多数应用无法在保障用户匿名性的同时，提供安全途径让用户建立对他人及网状网络信息的信任。我们推出抗断网应用Anix，其具备远程信任建立与匿名消息背书两大创新功能，并采用身份撤销原语实现细粒度信任关系管理，提供增强的匿名性保护。通过全面微基准测试与模拟实验，我们验证了Anix在断网场景下的实用性与抗逆能力。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a015/21B7Q6QfAwE

11、Architectural Neural Backdoors from First Principles

以往研究通过修改神经网络参数植入后门，而近期工作揭示了一种更隐蔽的威胁：潜伏在网络架构定义中的后门。这类后门通过注入常见架构组件（如激活函数和池化层）微妙地植入模型后门，即使经过（完全）重新训练仍持续存在——这是其他后门类型无法实现的。Bober-Irizar等人[2023]首次提出架构后门设计方案，具体演示了如何为棋盘格模式创建后门。但架构后门的整体影响范围与潜在威胁仍未被充分探索，部分源于原始设计的局限性：无法针对自定义触发器、需人工参与检测器构建、且缺乏性能保障。本研究重新审视架构后门并论证其现实威胁。首先改进原始设计，构建可无监督植入任意架构的通用触发器检测器；其次对12种架构后门进行系统分类与性能评估。为评估检测难度，我们开展人类实验发现：ML开发者仅能识别37%常见模型定义中的可疑后门组件，却有33%案例中更倾向选择含后门模型。对比实验显示，语言模型在检测后门任务上表现优于人类。最后探讨防御方案，强调需建立鲁棒全面的策略来保障ML系统安全。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a060/21B7R5Paz60

12、Asymmetric Mempool DoS Security: Formal Definitions and Provable Secure Designs

内存池是公有区块链中一个安全性至关重要的子系统。近期出现的非对称拒绝服务等内存池攻击已证明其能对以太坊网络造成严重破坏。本文致力于解决这一开放性研究难题：如何设计具有可证明安全性的、原则性且非侵入式的防御机制来应对非对称内存池拒绝服务攻击。研究首次提出了基于内存池可观测条件的经济安全定义，并推出saferAd框架——该框架通过安全的内存池设计方案，可提供针对非对称拒绝服务攻击的可证明安全性。为防御通过驱逐和锁定受害者内存池的双重攻击，saferAd采用创新设计：在锁定攻击下强制执行攻击损害上限，在驱逐攻击下确保攻击成本下限。通过在Geth上的原型实现及真实交易轨迹评估，结果表明saferAd在延迟和区块收益方面开销极低，印证了其非侵入特性和实用价值。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a061/21B7R6HnWWk

13、Augmented Shuffle Protocols for Accurate and Robust Frequency Estimation under Differential Privacy

差分隐私（DP）的混洗模型通过引入混洗器随机打乱用户发送的噪声数据，从而提供较高的实用性。然而，近期研究表明，现有混洗协议存在以下两大缺陷：首先，它们易受本地数据投毒攻击的影响，此类攻击通过发送精心构造的数据操纵输入数据的统计特性，尤其在隐私预算ε较小时更为显著；其次，数据收集者与用户合谋的串通攻击会导致ε的实际值增大。本文通过深入探索增强型混洗模型的潜力（该模型允许混洗器执行额外操作，如随机抽样和虚拟数据注入），解决了上述两个问题。具体而言，我们提出一个免本地噪声协议的通用框架，其中用户直接向混洗器发送（加密的）输入数据而无需添加噪声。我们证明，若对二进制输入数据执行相同处理的简化机制能满足差分隐私，则该通用协议不仅能提供DP保障，还能抵御上述两种攻击。基于此框架，我们设计了三种具体协议，在提供DP保障的同时兼具抗攻击鲁棒性。第一项协议采用二项分布生成每个项的虚拟值数量，其效用优于多种先进混洗协议；第二项协议通过引入新型虚拟值计数分布——非对称双侧几何分布，显著提升了首项协议的效用；第三项协议作为第二项协议的特例，提供纯ε-DP保障。我们通过理论分析与全面实验验证了所提协议的有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a019/21B7QagR8WY

14、BAIT: Large Language Model Backdoor Scanning by Inverting Attack Target

近期研究表明，大型语言模型（LLM）易受后门攻击影响，恶意攻击者通过向训练提示中注入特定令牌序列（即触发器），强制模型响应包含预设目标序列。与判别式自然语言处理模型（如情感分析模型）有限的输出空间不同，LLM作为生成模型，其输出空间随响应长度呈指数级增长，这给现有后门检测技术（如触发器逆向分析）带来巨大挑战。本文在特定假设下对LLM后门学习过程进行理论分析，发现因果语言模型的自回归训练范式会自然强化后门目标令牌间的强因果关系。基于此，我们提出新型LLM后门扫描技术BAIT（通过逆向攻击目标实现的大型语言模型后门扫描）。与现有非LLM扫描技术逆向分析触发器不同，BAIT通过逆向分析后门目标并利用目标令牌间异常强烈的因果关系来判定模型是否被植入后门。该方法大幅缩减搜索空间，无需任何关于触发器或目标的先验知识即可有效识别后门。基于搜索的特性使BAIT仅需黑盒访问即可扫描LLM。我们在6种攻击类型、8种架构的153个LLM上进行评估，结果表明该方法优于5种基线方案。其卓越性能使我们在TrojAI竞赛（一项持续多年的多轮后门扫描赛事）LLM赛段中位列榜首。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a103/22K50yIvWta

15、BPSniff: Continuously Surveilling Private Blood Pressure Information in the Metaverse via Unrestricted Inbuilt Motion Sensors

血压（BP）是多种疾病最关键的生物标志物之一。根据《健康保险可携性与责任法案》（HIPAA），血压被视为受保护的医疗信息，通常需用户授权方可获取。本研究发现元宇宙应用中存在一项隐蔽的隐私泄露风险：虚拟现实（VR）头显中的无限制运动传感器可被用于窃取用户血压数据。其核心在于运动传感器能捕捉主要动脉中血流引发的细微振动，这些振动与用户心动周期及血压高度相关。由于攻击者可在未经用户同意的情况下持续获取VR头显的运动传感器数据，他们能通过元宇宙应用或网站推算并收集用户血压信息，进而导致歧视、剥削、定向骚扰等严重后果。

为验证这一重大隐私泄露风险，我们开发了实用攻击工具BPSniff，该工具可根据VR头显运动传感器数据重建精细血流波形并推算血压值。BPSniff是首个无需专用设备即可实现元宇宙血压泄露的实用攻击方案。与以往需要用户特定校准的移动传感方案不同，BPSniff突破了这一限制，实现了真正隐蔽的大规模被动血压攻击。该攻击首先采用变分自编码器从运动传感器数据重建高保真血流波形，继而开发基于Adam优化器的长短期记忆（LSTM）回归模型，通过连续血流波形中的血压特征点实现持续血压估算。

我们通过大量实验和为期8周的纵向研究（涉及37名参与者及两种VR头显型号）评估BPSniff。结果显示，BPSniff的收缩压（SBP）和舒张压（DBP）平均误差分别低至1.75 mmHg和1.34 mmHg，性能媲美商用血压监测设备，且满足美国FDA下属AAMI协议规定的标准（即平均误差≤5.0 mmHg）。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a049/21B7QX0bxrG

16、BadRAM: Practical Memory Aliasing Attacks on Trusted Execution Environments

云计算日益普及引发了人们对信任和数据隐私的深切忧虑。可信执行环境（TEE）作为一种前景广阔的解决方案被提出，其在CPU内部实现了严格的访问控制和透明的内存加密。尽管初代TEE（如Intel SGX）仅能隔离小型内存区域，但当前技术趋势已转向保护完整虚拟机，例如AMD SEV-SNP、Intel TDX和Arm CCA等方案。本文质疑规模化内存加密背后的信任假设，证明攻击者通过短暂接触嵌入式SPD芯片即可在物理地址空间制造别名，从而绕过CPU访问控制机制。我们设计了一套低成本实操方案，可在DDR4/DDR5内存模块中构造别名，攻破AMD SEV-SNP最新引入的完整性保障。该技术能操控内存映射、篡改或重放密文，最终形成破坏性端到端攻击，甚至可攻陷SEV-SNP的认证功能。此外，我们探究了其他TEE方案的类似问题：在经典Intel SGX中实现了细粒度无噪写的模式泄露，同时发现可扩展SGX和TDX因采用专用别名检测机制而能抵御当前攻击。本研究瓦解了SEV-SNP生态的安全承诺，迫使AMD发布固件补丁，并为可扩展TEE设计中的DRAM信任假设提供了新的考量维度。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a104/22K50zzAVNe

17、Benchmarking Attacks on Learning with Errors

基于错误学习（LWE）困难性假设的格密码方案已被美国国家标准与技术研究院（NIST）选为后量子密码系统标准，同时被HomomorphicEncryption.org组织采纳为敏感数据加密计算方案。因此，准确评估其实际安全性至关重要。现有关于LWE安全性的研究多聚焦于攻击性能的理论预估，这类工作虽具价值，但可能忽视现实部署中产生的攻击细节差异。目前唯一的实际基准测试项目——达姆施塔特格挑战赛（Darmstadt Lattice Challenge）并未涵盖标准化LWE参数选择相关的基准测试，例如小秘密/小错误分布场景，以及环LWE（RLWE）和模LWE（MLWE）变体。为深化对LWE实际安全性的认知，我们首次针对标准化参数（含小权重/稀疏秘密）的LWE秘密恢复任务建立了基准测试体系。我们评估了四种LWE攻击方法作为基线：Search-LWE类攻击uSVP、SALSA与Cool & Cruel，以及Decision-LWE类攻击Dual Hybrid Meet-in-the-Middle（MitM）。我们对SALSA和Cool & Cruel攻击进行了重大改进，并首次实现并扩展了MitM攻击。实验表明：针对KYBER（κ=2）参数的汉明权重9-11二项分布秘密，SALSA与Cool & Cruel可在28-36小时内成功恢复；MitM攻击可在1小时内解决Kyber参数下汉明权重≤4的Decision-LWE实例，而uSVP攻击运行超1100小时后仍未能恢复任何秘密。我们还将实际性能与理论预估进行了对比，最后开源了代码以促进后续研究。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a058/21B7R4wyu9G

18、Born with a Silver Spoon: On the (In)Security of Native Granted App Privileges in Custom Android ROMs

安卓生态系统的定制化与碎片化推动了其繁荣发展，同时也凸显了对这些定制系统进行安全审计日益增长的重要性。这种重要性源于原始设备制造商（OEM）为提升设备性能和用户体验所采取的特殊策略，这些策略对其竞争差异化至关重要。其中关键策略包括对超级应用及其他流行应用进行系统级优化，这已成为OEM厂商间的竞争趋势。授予此类应用特权通常基于对其的信任，但若缺乏对应用身份的有效验证，则可能导致严重的隐式信任漏洞，为恶意应用仿冒特权应用并获取其访问权限提供便利途径。对恶意开发者而言，利用这些漏洞不仅成本低廉，还可能带来极高收益。

本研究对来自46家OEM厂商的686个定制安卓ROM进行了全面分析，旨在揭示应用中隐式信任漏洞相关的潜在安全风险。调查发现ROM内嵌入了3085个第三方应用包名实例，其中仅有7例实施了充分认证机制以降低风险，暴露出3078个随时间推移呈增长趋势的潜在漏洞。我们已向7家相关OEM厂商报告了22个经人工确认的案例。截至本文撰写时，已有4个漏洞获得厂商明确确认，其中1个被分配了CVE编号。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a017/21B7Q8CX9fO

19、Breaking the Barrier: Post-Barrier Spectre Attacks

瞬态执行防御机制的有效性依赖于对特定型号处理器中晦涩操作的准确实现，这些操作必须通过微码正确执行并由软件调用。本文针对x86处理器的间接分支预测屏障（IBPB）——这一防御跨上下文和跨权限Spectre攻击的核心机制——展开分支预测器失效研究，揭示了其在微码实现和软件调用层面的新型漏洞。具体而言，我们在英特尔和AMD处理器上成功演示了两种屏障后推测返回目标劫持攻击：首先，我们构建了一个跨进程端到端攻击模型，在启用IBPB的最新代英特尔处理器上，由于微码实现缺陷，攻击者仍能从suid进程中窃取root密码哈希值；其次，我们发现由于Linux内核调用IBPB的方式存在缺陷，非特权攻击者可在AMD Zen 1(+)/2处理器上突破IBPB防护窃取特权内存。针对受影响英特尔处理器，我们提出通过鸡血位禁用可被利用的返回预测功能；对于受影响的AMD处理器，则为Linux内核提供了安全调用IBPB的软件补丁方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a089/21TfesXLjoI

20、CHLOE: Loop Transformation over Fully Homomorphic Encryption via Multi-Level Vectorization and Control-Path Reduction

本研究提出一种多层次编译器框架，可将含循环结构的程序转化为全同态加密（FHE）下的高效算法。我们发现，当循环操作作用于密文时，准确解析循环内部的控制结构并为循环主体构建运算符成本模型变得极具挑战性。这导致现有编译器框架对包含非平凡循环的程序支持不足，削弱了FHE编程的表达能力。为实现FHE环境下高效且通用的程序执行，我们提出CHLOE——一种具备多层次控制流分析的新型编译器框架，可有效优化复合重复控制结构。通过研究发现，FHE循环可根据循环条件是否加密分为两类：透明循环与茫然循环。对于透明循环，我们可直接检查控制结构并建立运算符成本模型，从而精细实施FHE专用的循环分段与向量化；而对于茫然循环，则采用闭式表达式与静态分析技术来减少潜在循环路径和条件分支数量。实验表明，相较于最先进的FHE编译器生成的程序，CHLOE能将含复杂循环结构的程序编译为高效的FHE可执行代码，性能提升幅度达1.5至54倍（含茫然循环的程序最高可达10的5次方倍）。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a035/21B7QoGZAGc

21、CMASan: Custom Memory Allocator-aware Address Sanitizer

自定义内存分配器（CMA）可替代标准内存分配器以实现多种目标，例如提升内存效率或增强安全性。然而CMA分配的内存对象仍会遭受与标准分配器类似的内存错误威胁。遗憾的是，现有内存错误检测方案（包括地址消毒剂ASan）无法适配这些CMA，因其主要针对标准内存分配器设计。本文提出首个CMA感知型地址消毒剂CMASan，无需专业知识、人工代码修改或改变CMA内部逻辑，即可有效检测ASan遗漏的CMA对象内存错误。实验表明，CMASan成功发现了19个ASan未能检测的历史CMA内存错误（其中部分漏洞已存在9年），相较于ASan仅产生9.63%的额外性能开销。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a074/21B7RisjQY0

22、Ceviche: Capability-Enhanced Secure Virtualization of Caches

现代系统广泛采用资源虚拟化技术以提高硬件利用率并降低总体拥有成本。然而，物理资源的共享不可避免地会引发旁路攻击风险——共置的攻击者可暗中窥探受害者的行为或窃取敏感信息。即使应用程序之间不存在数据共享，它们仍会争夺共享的物理资源（尤其是缓存容量）。由于缓存查找具有数据/地址依赖性，缓存中数据的存在与否都可能泄露机密信息。本文提出Ceviche，这是一种创新的硬件虚拟化策略，能够为属于不同信任域的线程实现物理缓存资源的安全分配与使用。该方案通过将地址-域ID对转换为能力凭证（该凭证编码了访问权限及对目标物理缓存行的可操作集合），实现了基于能力凭证的缓存查找机制。通过限定缓存查找必须基于能力凭证执行，Ceviche能以缓存行为粒度实现精细划分，在最大化缓存利用率的同时，提供包括机密性、可用性和公平性在内的全方位保障。本文详述了设计机制、策略及优化方案，并通过大量实验验证了将安全虚拟化层集成至现代多核缓存架构的可行性。Ceviche缓存可为各级缓存提供保护，与不安全基线相比平均仅产生2.4%的性能损耗，较当前最先进的安全缓存方案Mirage和ScatterCache仅额外增加1.8%的性能开销。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a008/21B7Q18hNkc

23、Characterizing Robocalls with Multiple Vantage Points

多年来，电话骚扰始终是用户最关注的网络安全问题之一。为应对此问题，业界与政府已部署新技术并出台法规加以遏制，学术界与产业界研究者也提出了多种方法来分析机器人电话的特征。这些努力是否取得成效？研究结论是否可靠？预防与威慑机制是否奏效？本文通过分析多个独立运营的监测节点数据（包括来自企业界与学术界的语音蜜罐、公共执法记录及消费者投诉数据，部分数据时间跨度超过五年）对上述问题展开研究。我们首先阐述了如何解决跨数据源对比的方法学挑战——包括对约300万通电话的音频与文本记录进行比对，进而详细论证了这些多元化视角的高度一致性。这种一致性极大强化了我们关于机器人电话特征分析与防治措施的结论可信度，同时凸显了各类方法的独特优势。研究发现显示：尽管投诉量与通话量仍处高位，但非邀约电话正呈缓慢下降趋势；此外，机器人电话已成功规避了强制呼叫认证体系STIR/SHAKEN的约束。总体而言，本研究为未来治理电话骚扰的特征分析与拦截技术指明了最具前景的发展方向。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a096/22K50t9UUyQ

24、CipherSteal: Stealing Input Data from TEE-Shielded Neural Networks with Ciphertext Side Channels

利用可信执行环境（TEE）保护神经网络（NN）免受不可信主机攻击的做法日益普及。然而，本文揭示：TEE中最新披露的密文侧信道会向恶意主机泄露受TEE保护的神经网络内存写入模式，导致神经网络和用户数据的机密性遭到破坏。尽管近期研究已利用密文侧信道恢复加密密钥位，但该技术不适用于更复杂且仅部分信息泄露的神经网络输入。我们提出首个自动化输入恢复框架CipherSteal，首次证实密文侧信道对神经网络输入构成的严重威胁。CipherSteal创新性地将输入恢复重构为"信息转换-重建"两步流程，并通过优化技术充分利用密文侧信道泄露的部分输入信息。我们在多样化神经网络（如Transformer）和图像/视频输入上评估CipherSteal，在不同攻击者对目标神经网络及其输入预知程度的条件下，均成功恢复视觉一致的输入。我们全面评估TensorFlow和PyTorch两大主流框架，以及TVM和Glow两款新型编译器生成的神经网络可执行文件，分析其不同攻击面。此外，我们进一步利用恢复输入训练替代神经网络窃取目标网络功能，并基于替代网络生成"白盒"对抗样本，有效操控目标神经网络的预测结果。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a079/21B7Rmh3jrO

25、DataSeal: Ensuring the Verifiability of Private Computation on Encrypted Data

全同态加密（FHE）允许直接对加密数据执行计算而无需预先解密。这种"使用中加密"特性对于医疗、金融等隐私敏感领域的安全计算外包至关重要。然而在基于FHE的云计算场景中，客户常担忧结果的完整性与准确性。这种担忧源于恶意服务器或服务端漏洞可能导致数据、计算过程及结果被篡改的风险。现有方案尚未实现低开销的完整性验证，这仍是待解难题。为解决这一挑战并确保加密数据上FHE私有计算的验证能力，我们提出DataSeal方案，该方案将基于算法的容错技术（ABFT）的低开销特性与FHE的保密性相结合，兼具高效性与可验证性。通过多场景测试验证，相比包含MAC、ZKP和TEE在内的其他技术，DataSeal为FHE提供计算可验证性时产生的开销显著降低。随着问题规模增大，其空间与计算开销可降至近乎可忽略水平。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a078/21B7RlxV5Ly

26、Differentially Private Release of Israel’s National Registry of Live Births

2024年2月，以色列卫生部发布了2014年全国活产婴儿的微观数据集。该数据集基于以色列国家活产登记系统，在科研与政策制定等多个领域具有重要价值，同时为2014年产妇及新生儿群体提供了ε=9.98的纯粹差分隐私保障。本次数据发布由本文作者团队与卫生部内外相关方共同设计完成。本文详述了实现此次发布的技术方案——据我们所知，这是全球首个同类实践。整个设计过程充满挑战，要求各方保持灵活开放的态度，并实现了重大技术创新。我们特别提出了微观数据发布的新需求标准，以及基于Liu与Talwar（STOC 2019）提出的私有选择算法，将多重量化需求整合至差分隐私发布的方法。期待本文的经验能为未来差分隐私数据发布提供参考。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a101/22K50wXvYwo

27、EPScan: Automated Detection of Excessive RBAC Permissions in Kubernetes Applications

作为主流的容器编排系统，Kubernetes拥有庞大的第三方应用生态。这些第三方应用通过访问各类集群资源来扩展集群功能，而Kubernetes采用RBAC机制管理资源访问权限。近期研究显示，第三方应用常被授予过量权限，由此催生出过量权限攻击——攻击者可利用某些关键过量权限突破工作节点隔离，进而控制整个Kubernetes集群。然而该攻击需以攻陷工作节点（通过容器逃逸实现）为前提，实际场景中较难达成。为此，本文提出攻击条件更简单的新型过量权限攻击：当攻击者仅需攻陷单个Pod（难度低于攻陷工作节点）时，即可利用其他过量权限接管工作节点，或破坏其他Pod的可用性与数据机密性。尽管第三方应用的过量权限对Kubernetes集群安全构成重大威胁，目前仍缺乏有效检测手段。本文提出创新方案EPScan，可自动检测第三方应用中的可滥用过量权限。该方案采用面向Pod的程序分析技术，通过多项创新方法精准识别各Pod内程序的资源访问行为，进而将这些行为所需权限与Pod配置文件声明的权限进行比对，最终报告可被用于发起过量权限攻击的隐患权限。我们在CNCF项目的108个第三方应用上验证EPScan，从50个应用的106个Pod中检出先前未知的可利用过量权限，检测精度达94.6%，并获得9个CVE编号。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a011/21B7Q3t3dF6

28、Edge Unlearning is Not "on Edge"! An Adaptive Exact Unlearning System on Resource-Constrained Devices

被遗忘权要求机器学习模型能够从训练好的模型中删除数据所有者的数据及信息。仅从数据集中移除数据是不够的，因为机器学习模型可能记忆训练数据中的信息，从而增加用户的潜在隐私风险。为此，多种机器遗忘技术被开发并应用。其中近似遗忘是主流解决方案，但近期研究表明其遗忘效果无法完全保证。另一种精确遗忘方法通过丢弃数据并从头重新训练模型来解决该问题，但需耗费大量计算和内存资源。然而并非所有设备都具备执行此类重训练的能力。在边缘设备、物联网（IoT）、移动设备和卫星等众多机器学习应用中，资源受限使得现有精确遗忘方法的部署面临挑战。本研究提出一种面向网络边缘的约束感知自适应精确遗忘系统CAUSE，旨在资源受限设备上实现精确遗忘。CAUSE通过将子模型存储在资源受限设备上来最小化重训练开销，创新性地应用基于斐波那契的替换策略，并在基于用户的数据分区过程中自适应更新分片数量。为进一步提升内存使用效率，CAUSE利用模型剪枝的优势，通过压缩在精度损失最小化的情况下节省内存。实验结果表明，在资源受限设备上实现精确遗忘时，CAUSE在遗忘速度、能耗和精度方面分别以9.23%-80.86%、66.21%-83.46%和5.26%-194.13%的幅度显著优于其他代表性系统。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a095/22K50sl6Ihi

29、Efficient Proofs of Possession for Legacy Signatures

数字签名是现代计算机系统中身份认证、真实性与信任的基石。密码学研究表明，可以在不泄露消息或签名本身的前提下，证明持有者对特定公钥的有效消息及签名具有所有权。此类所有权证明仅适用于特殊设计的签名方案。尽管这类证明在提升安全性、隐私保护及匿名性方面具有广泛应用前景，但目前尚无法适用于RSA、ECDSA和Ed25519等广泛部署的传统签名方案。要实现这些传统签名方案的实用性所有权证明，必须跨越巨大的效率鸿沟。本研究使传统签名方案的所有权证明几乎触达实用门槛。我们的设计策略是将签名验证算法编码为秩一约束系统（R1CS），再通过zkSNARK技术证明解的存在性。为此我们：（1）设计并分析支持随机化计算的新型zkSNARK方案Dorian；（2）提出哈希运算、椭圆曲线运算及模运算的全新编码技术；（3）开发新方法将ECDSA和Ed25519验证中最耗时的计算移出R1CS系统；（4）构造新型椭圆曲线以极高效实现Ed25519曲线运算。这些技术使R1CS规模缩减达200倍，证明生成时间缩短超20倍。我们仅需3秒即可生成240字节的所有权证明，该证明可验证典型TLS证书尺寸（2KB）消息的RSA签名有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a080/21B7RmZTW00

30、Evaluating the Effectiveness of Memory Safety Sanitizers

C和C++是专为开发高性能应用（如网页浏览器和操作系统）而设计的编程语言。这种高性能部分是通过牺牲内存安全性实现的，从而引入了内存漏洞的风险——这些漏洞正是当今许多最严重安全问题的根源。目前已有大量解决方案被提出用于检测和防范内存漏洞，其中最有效的方法采用动态程序分析技术来净化内存访问操作。这些内存安全净化器在功能上差异显著，涵盖不同内存区域并能检测不同类型的内存漏洞。虽然现有研究对这些净化器进行了概念性分类，但实际量化评估主要聚焦于性能指标而非其真实漏洞发现能力。

为填补这一空白，我们推出MSET评估工具，并对当前最强大、应用最广泛的内存安全净化器展开全面功能评估。我们系统地将内存安全漏洞解构为多个独立属性，包括内存区域、内存破坏方式以及目标缓冲区的访问类型等。基于该体系化框架，我们的工具通过组合精简且独特的代码模板生成测试用例，覆盖所有典型内存漏洞（含多种形式的缓冲区溢出、下溢和释放后使用等情况）。功能评估结果不仅揭示了净化技术理论检测潜力与实际漏洞发现能力之间的差异，还发现多个净化器因实现不完整或存在缺陷而未能达到其理论潜力。本工具已作为开源软件发布，研究人员和开发者可利用其测试净化器，从而发现未实现的潜力、概念性缺陷及实施错误。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a088/21TfesaEHTy

31、Exploring Parent-Child Perspectives on Safety in Generative AI: Concerns, Mitigation Strategies, and Design Implications

生成式人工智能（GAI）在青少年中的广泛使用引发了严重的滥用与安全隐患。为识别风险并理解家长管控面临的挑战，我们对Reddit平台展开内容分析，并访谈了20名参与者（7名青少年与13名家长）。研究发现：家长对孩子使用GAI的多样场景（如通过角色化聊天机器人获取情感支持或建立虚拟关系）存在显著认知盲区。家长与青少年对GAI风险的认知存在差异——家长主要担忧数据收集、错误信息接触和不良内容暴露；而青少年更忧虑沉迷与GAI的虚拟关系、GAI被滥用于社交群体传播有害内容，以及个人数据在GAI应用中的未授权使用导致隐私侵犯。由于GAI平台缺乏家长控制功能，父母不得不依赖系统内置管控、手动检查记录、共享账户和主动干预等措施。尽管如此，家长仍难以全面掌握GAI相关风险，也无法实现有效的实时监控、干预与教育。我们提出设计建议以改善亲子沟通并提升GAI使用安全性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a090/224AompDDwc

32、Fight Fire with Fire: Combating Adversarial Patch Attacks using Pattern-randomized Defensive Patches

目标检测技术已在各类任务中得到广泛应用，但其同样易受对抗补丁攻击的影响。理想的防御方案应具备高效性、实时性、易部署性及抵御自适应攻击的能力。本文采用反制策略，提出一种新颖且通用的对抗攻击防御方法。我们设计并注入了两类防御性补丁——"金丝雀"与"啄木鸟"，通过主动探测或抵消潜在对抗补丁来保护模型输入。该方法仅需分析模型输出即可有效检测对抗补丁攻击，且无需修改目标模型。此外，我们采用随机化的补丁注入模式以抵御针对防御机制的攻击。综合实验表明：所提方法在保持较低时间开销的同时，即使面对未知攻击方式仍能保持优异性能；自适应攻击实验进一步证实，本方案对防御感知型攻击同样展现出足够的鲁棒性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a006/21B7PZgtsfS

33、FirmRCA: Towards Post-Fuzzing Analysis on ARM Embedded Firmware with Efficient Event-based Fault Localization

尽管模糊测试已证明其在暴露嵌入式固件漏洞方面的有效性，但发现导致崩溃的测试用例仅是提升这些关键系统安全性的第一步。后续的故障定位过程旨在精确定位观察到的崩溃根源，是模糊测试后至关重要却耗时的工作。遗憾的是，嵌入式固件崩溃的自动化根因分析仍是研究不足的领域，这面临多方面的挑战：(1)针对嵌入式固件的模糊测试缺乏足够的调试机制，难以自动提取关键运行时信息进行分析；(2)嵌入式固件固有的原始二进制特性常导致过度污染且包含大量噪声的可疑指令，为分析人员手动调查根源和修复潜在漏洞提供的指导有限。为应对这些挑战，我们设计并实现了FirmRCA——一个专为嵌入式固件量身定制的实用故障定位框架。FirmRCA引入了基于事件的内存访问足迹收集方法，利用崩溃复现过程中的具体内存访问来辅助并大幅加速逆向执行。其次，为解决复杂的内存别名问题，FirmRCA提出历史驱动方法，通过追踪执行轨迹中的数据传播，实现深层崩溃根源的精确定位。最后，FirmRCA提出创新策略来突出与根因相关的关键指令，为最终调查提供实用指导。为验证FirmRCA的有效性，我们使用合成目标和真实目标（涵盖17个固件镜像中的41个崩溃测试用例）进行评估。结果表明，FirmRCA能高效（92.7%成功率）在前10条指令内识别崩溃测试用例的根因。与最先进方案相比，FirmRCA在全执行轨迹分析能力上提升27.8%，整体效率实现多项式级加速，且在前10条指令定位成功率上高出73.2%。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a002/21B7PVDny6I

34、Follow My Flow: Unveiling Client-Side Prototype Pollution Gadgets from One Million Real-World Websites

原型污染漏洞常引发更深远的后果——例如跨站脚本攻击（XSS）和Cookie篡改——这些后果通过所谓的"小工具"（即恶意篡改受害程序控制流或数据流的代码片段）实现。现有研究在寻找此类后果的原型污染小工具时面临挑战，因为控制流或数据流的改变有时需要通过原型污染注入复杂属性值来替换原有未定义值，而这类值可能前所未见或超出现有约束求解器的处理能力。本文设计了一个名为GALA的动态分析框架，用于自动检测真实网站中的客户端原型污染小工具，并实现了开源版本。我们的核心思路是从非漏洞网站"借用"已定义的属性值，将其注入到目标网站中原本未定义的属性位置，从而引导属性注入流向小工具中的敏感接收点。对百万个网站的评估中，GALA发现了133个零日小工具（包括Meta旗下软件和Vue框架中的案例），其中Meta向我们支付了漏洞赏金，Vue为此分配了CVE-2024-6783编号。评估还显示，23个曾被认定不存在衍生后果的原型污染漏洞网站，因GALA发现的小工具实际存在攻击风险。除Meta和Vue案例外，我们已将所有零日小工具及新发现的原型污染后果向相关开发者进行了负责任的披露。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a016/21B7Q7OZKms

35、GRID: Protecting Training Graph from Link Stealing Attacks on GNN Models

图神经网络（GNN）在图结构数据的各类分类任务中展现出卓越性能。然而，其面临链接窃取攻击的潜在威胁——攻击者通过测量GNN模型生成的相邻节点预测向量相似度，可推断两节点间是否存在链接。此类攻击对GNN模型所用训练图数据的安全性与隐私性构成严重威胁。本研究提出创新解决方案"图链接伪装"（GRID），在保证GNN模型预测准确性的前提下，提供针对链接窃取攻击的防御能力。GRID的核心思想是向节点预测向量添加精心设计的噪声，使相邻节点的相似度表现与n跳间接邻居节点一致。我们基于图拓扑结构选择覆盖所有链接的核心节点子集施加噪声，既可避免噪声抵消效应，又能降低失真损失与计算成本。所设计的噪声可确保：1）任意相邻节点的含噪预测向量相似度与非相邻节点相当；2）模型预测结果保持不变，实现零效用损失。在五个数据集上的实验表明，GRID在转导式与归纳式场景下均能有效抵御不同代表性链接窃取攻击及两种基于影响力的攻击方案。当扩展至其他GNN模型时，其隐私-效用平衡性显著优于现有方法。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a059/21B7R5azVuM

36、GoSonar: Detecting Logical Vulnerabilities in Memory Safe Language Using Inductive Constraint Reasoning

随着全球社会倡导采用内存安全编程语言，一个重要的研究空白依然存在：如何识别随之而来的关键漏洞。在缺乏缓冲区溢出等内存安全相关漏洞的情况下，逻辑漏洞成为这些程序面临的最严峻威胁。Go作为云应用程序中广泛使用的内存安全语言（这类场景中资源可用性至关重要），尤其容易受到非终止性资源耗尽漏洞的影响。我们提出了一种创新解决方案——归纳约束推理方法，用于评估复杂现实程序中的非终止性问题，在标准数据集上展现出优于当代工具的性能。该方法采用二进制级欠约束符号执行来收集多次递归迭代所需的约束条件，通过对这些约束施加一阶导数运算，我们对各类递归函数进行建模分类，判定其子目标是否收敛于全局目标。本研究不仅解决了Go程序分析中的诸多挑战，同时开发并实现了一种实用方案来检测失控递归问题，该方案已在Go标准库中发现了5个全新漏洞。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a043/21B7QweuVUs

37、Groundhog: A Restart-based Systems Framework for Increasing Availability in Threshold Cryptosystems

阈值密码系统（Threshold Cryptosystems, TCs）旨在消除密钥管理即服务、签名方案、加密数据存储乃至区块链应用中的单点故障问题，其安全性依赖于"攻击者无法攻陷网络中超过预设数量的节点"这一假设。一旦该假设被打破，整个系统将面临全面沦陷的风险。本文提出一种系统级解决方案——基于重启机制的Groundhog框架，该框架能在阈值密码系统（及其他系统）之上额外构建一层弹性防护，确保系统即使面对几乎攻陷全网设备（仅余一台未受感染）的恶意（移动）攻击者时仍能维持安全。Groundhog通过持续保障足够数量的诚实设备在线，维护整个系统的可用性。

本框架具备广泛适用性：我们通过将其与分布式对称密钥加密系统（DiSE）及Boneh-Lynn-Shacham分布式签名系统（BLS）这两大经典TC协议集成验证了这一点。事实上，Groundhog的适用范围可能超越阈值密码领域——我们通过自研的轻量级加密协议PassAround进一步证实了这一可能性。我们开发了可通用的容器化框架，可将Groundhog及其安全保障机制与各类密码协议相结合，并通过以下方式完成系统评估：(a) 真实攻击案例研究；(b) 在Groundhog上实现DiSE、BLS及PassAround协议并进行大规模实测。实验表明，Groundhog能以极低开销（低于7%）保障系统高可用性，某些场景下甚至能提升TC方案的性能表现。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a056/21B7R2Aua8o

38、Growlithe: A Developer-Centric Compliance Tool for Serverless Applications

无服务器应用由多种编程语言编写的函数构成，使用多样化的数据存储和通信服务，且迭代迅速。这使得无服务器租户难以防范因代码缺陷、配置错误和人为失误导致的应用数据意外泄露。云安全工具（如身份与访问管理IAM）缺乏对租户应用的可观测性，而现有数据流追踪工具既需要云平台支持又会带来高昂运行时开销。我们提出Growlithe工具，它能无缝集成至无服务器应用开发工具链，通过设计实现数据策略的持续合规。Growlithe支持基于语言与平台无关的无服务器应用数据流图抽象，以声明式方式定义访问控制与数据流控制策略，并通过静态分析和运行时强制执行的组合机制实施这些策略。我们在支持AWS Lambda和Google云函数平台的Python/JavaScript函数应用上验证了Growlithe，实证表明该工具具有横切性、可移植性和高效性，能帮助开发者轻松适应应用需求与策略的演进。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a099/22K50vuoJLG

39、HARMONYCLOAK: Making Music Unlearnable for Generative AI

生成式人工智能的最新进展已显著拓展至艺术与音乐领域。这一发展为人类创造力开辟了广阔疆域，将其边界推向未知前沿。然而随着生成式AI持续进化，其不仅能复刻艺术风格，还能创作全新作品，这对艺术家创作成果的稀缺性与价值认知构成了严峻挑战。为应对这些问题，建立并实施保护措施以防止艺术家版权作品遭生成式AI模型未经授权利用，正变得愈发重要。本文提出首个防御机制HARMONYCLOAK，专门针对生成式AI模型在音乐领域的剥削性使用进行防护。该机制通过植入难以察觉的误差最小化噪声，使模型对这些扰动音乐数据的生成损失趋近于零，从而诱使模型判定无知识可提取，以此破坏其复制音乐结构与风格的企图。基于一套音轨内与音轨间客观指标及主观用户研究，我们在三大前沿音乐生成AI模型（MuseGAN、SymphonyNet和MusicLM）上开展的实验验证了HARMONYCLOAK在白盒与黑盒场景下的有效性和适用性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a085/21B7RrbCU12

40、Improved Constructions for Distributed Multi-Point Functions

分布式点函数（DPF）是一种密码学原语，用于在两方之间压缩秘密单位向量的加法秘密份额。许多DPF应用需要稀疏权重-t向量（即分布式多点函数DMPF）的压缩份额。尽管存在强烈动机和先前的优化努力，但在大多数应用场景中，DMPF的最佳实现仍为简单粗暴地组合t个独立DPF。我们针对不同参数范围提出了新的DMPF构造方案及优化实现，相比现有方法显著提升了效率。我们在伪随机相关性生成器（PCG）和两服务器私有集合求交（PSI）应用中展示了新方案的效果。将我们的工具集成至当前最先进的"静默"生成二进制乘法三元组的PCG方案（FOLEAGE，Bombar等人，ePrint'24）后，吞吐量提升至2.68倍，而种子大小仅膨胀1.4倍。在基准测试机器的单核上，我们的实现每秒可静默生成2210万个三元组，甚至超越了最佳"非静默"协议（Roy，CRYPTO'22）每秒1600万个三元组的性能。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a044/21B7Qx0bxLi

41、Inspecting Virtual Machine Diversification Inside Virtualization Obfuscation

虚拟化混淆器常被用于保护专有代码或阻碍恶意软件分析。尽管过去十年间对抗此类混淆器的努力从未间断，代码虚拟化仍是一种极其有效的混淆技术。现代虚拟化混淆器的核心在于虚拟机（VM），其采用多种多样化技术使内部结构复杂化。由于这种错综复杂且高度差异化的特性，逆向单个虚拟机不仅耗时费力，且对其他虚拟机的破解毫无助益。然而，尽管这些虚拟机成效显著，学界却始终缺乏对其多样化技术的系统性研究，这一知识缺口亟待填补以提升虚拟机反混淆能力。本研究旨在弥合上述缺口：首先，我们从虚拟机解释机制、字节码组织方式及处理函数置换/重定位三个维度，对VM多样化技术进行分类与揭示。这套关于现代虚拟化的系统化知识是本领域的重要贡献；其次，我们开发了自动化工具来识别顶尖虚拟化混淆器采用的VM多样化技术，实证结果揭开了这些方法在实际部署中的神秘面纱；最后，我们基于新发现的VM多样化知识对现有反混淆工具进行补强以克服其缺陷。这一成果彰显了本研究如何为下一代虚拟机反混淆技术开辟道路。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a071/21B7ReZrvva

42、Invade the Walled Garden: Evaluating GTP Security in Cellular Networks

蜂窝回程网与核心网历来被视为"封闭花园"，其安全性依赖于物理隔离。因此，既往安全研究主要聚焦无线接入网，对回程网与核心网接口的关注有限。本文对现实世界中GPRS隧道协议(GTP)的部署进行了安全评估。作为从3G到5G时代基站与核心网(封闭花园内部)用户流量管理的基础协议，GTP通常被认为无法从互联网访问且不可利用。然而，我们的研究首次揭示了实际部署中GTP访问控制的严峻现状。借助半自动化工具，我们在162个国家的1,176家服务商中发现约749,000个可通过公共互联网访问的有效GTP主机。结果表明移动核心网基础设施可能暴露于外部威胁之下。我们进一步评估了暴露GTP基础设施的攻击面，发现多达38种GTP消息可被滥用于发起拒绝服务、会话劫持等攻击。通过在隔离实验室环境中使用开源4G/5G项目的实验，我们证实了这些基于GTP攻击的可行性，包括远程劫持通过蜂窝核心网传输的用户流量。除威胁蜂窝网络及其用户外，暴露的GTP设备还可能被武器化用于发起大规模反射型拒绝服务(RDoS)攻击。我们希望这些发现能提升运营商与安全社区对GTP漏洞的认知，凸显加强蜂窝核心网安全防护的紧迫性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a028/21B7QiopxHq

43、Learning from Censored Experiences: Social Media Discussions around Censorship Circumvention Technologies

在严格的网络审查时期，保持对在线信息和通信的访问变得至关重要。然而，用户往往需要通过各种复杂途径才能找到有效的规避审查技术（CCT）。我们利用2022年9月18日至2023年1月31日伊朗抗议高潮期间从Twitter和Telegram收集的超过5000万条帖子的实时数据，研究了VPN、代理和其他替代性连接解决方案等CCT对数字权利、隐私和互联网治理的影响。通过混合方法分析，我们的研究揭示了当社区协作分享和讨论知识与资源时，用户所展现的韧性和适应能力。首先，我们开发了一个考虑英语和（首次纳入）波斯语帖子的讨论编码手册，突出了用户在尝试绕过互联网限制时遇到的主要问题。这些讨论中普遍存在一些共同关切，例如可追踪性、可识别性以及意外使用恶意配置。我们为期20周的时间研究表明，由于审查条件的变化，用户对VPN的偏好发生了转变，那些更注重隐私和具备更强可访问性功能的VPN获得了更高的采用率。此外，我们还发现了一些专门分享伪装成免费VPN服务的恶意文件的流行VPN频道。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a062/21B7R7E8URG

44、MANTIS: Detection of Zero-Day Malicious Domains Leveraging Low Reputed Hosting Infrastructure

网络不法分子日益利用短时效的临时域名发起各类攻击。现有检测机制或因信息有限且域名存活周期短暂而难以及时捕获，或因规避技术（如内容伪装和验证码）而彻底失效。本研究探索了一种内容无关的早期恶意域名检测方法。我们发现，由于自动化程度提升和规模经济效应，攻击者常重复使用或轮换托管基础设施来承载多个恶意域名。这为防御者提供了通过监控此类基础设施识别新托管恶意域名的机会。然而，此类基础设施多为共享托管环境，同时承载着良性域名，可能导致误报率居高不下。因此，亟需创新机制在共享托管场景下有效区分恶意与良性域名。本文构建了高精度实用系统MANTIS，不仅能生成每日恶意域名拦截列表，还可实现按需预测。我们设计了基于托管基础设施的网络图谱，其准确性与时效泛化能力俱佳。系统模型持续保持99.7%的精确率、86.9%的召回率及0.1%的超低误报率，日均检测1.9万个新型恶意域名，超过VirusTotal每日标记量的5倍。此外，MANTIS能比主流拦截列表提前数天至数周预测恶意域名。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a067/21B7RbeY1Yk

45、MOCGuard: Automatically Detecting Missing-Owner-Check Vulnerabilities in Java Web Applications

Java Web应用程序已被广泛用于托管和驱动高价值的商业网站。然而，其错综复杂的特性使其易受一种名为"缺失所有者检查"（MOC）的关键安全漏洞影响，可能导致网站面临未授权访问与数据泄露风险。多年来，针对MOC漏洞的识别与分析研究始终较为有限。本研究提出了一种新型端到端漏洞分析方法MOCGuard，可有效检测Java Web应用中的MOC问题。与现有技术不同，MOCGuard创新性地采用以数据库为中心的分析视角定位漏洞：首先通过数据库结构分析推断用户表及用户所属数据，继而在Java与SQL双层面实施不安全访问检查。为全面评估MOCGuard的有效性，我们与全球顶尖科技企业展开合作。通过对30个知名开源及7个工业级Java Web应用的测试验证，该方法展现出自动化与高效性特质，成功发现161个（已确认）零日MOC漏洞，并促成73个CVE编号的分配。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a010/21B7Q2KLNn2

46、Meeting Utility Constraints in Differential Privacy: A Privacy-Boosting Approach

数据工程通常要求结果满足准确性（效用）约束，这给差分隐私（DP）机制的设计带来了巨大挑战，尤其是在严格的隐私参数ZεεZ下。本文提出一种兼容多数噪声添加型DP机制的隐私增强框架。该框架通过提高输出落在支持集偏好子集内的概率以满足效用需求，同时扩大总体方差以减少隐私泄露。我们刻画了框架的隐私损失分布，并给出了Z(ε,δ)(ε,δ)Z-DP和Rényi DP（RDP）保证的隐私剖面公式。我们研究了包含数据相关与数据无关效用公式的特殊案例。通过大量实验证明，在效用约束下，本框架相较标准DP机制实现了更低的隐私损失。值得注意的是，当查询敏感度远大于真实答案时，我们的方法能显著降低隐私损失，为满足特定效用约束的差分隐私机制设计提供了更实用灵活的解决方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a064/21B7R96pmec

47、My Model is Malware to You: Transforming AI Models into Malware by Abusing TensorFlow APIs

人工智能技术的快速发展显著提升了各行业对AI模型的需求。虽然模型共享降低了成本并促进了创新，但也带来了安全风险——攻击者可能将恶意代码嵌入模型，导致模型运行时发起难以察觉的攻击。尽管存在这些风险，模型共享的安全性（尤其是TensorFlow框架）仍未得到充分研究。为应对这些安全问题，我们对TensorFlow API相关的安全风险进行了系统分析，提出了"TensorAbuse"攻击：该攻击利用TensorFlow API的隐藏能力（如文件访问和网络通信）构建强隐蔽性的攻击链。为此，我们开发了两项新技术：一是识别TensorFlow中的持久化API，二是利用大语言模型精确分析API功能并分类。我们将这些技术应用于TensorFlow v2.15.0，识别出1,083个具有五大核心功能的持久化API，并利用其中20个API开发出五种攻击原语和四类组合攻击（包括文件泄露、IP暴露、任意代码执行和Shell访问）。测试表明Hugging Face、TensorFlow Hub和ModelScan均未能检测到这些攻击。我们已向Google、Hugging Face和ModelScan报告了这些发现，目前正协同各方解决相关问题。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a012/21B7Q4kpO7e

48、P2C2T: Preserving the Privacy of Cross-Chain Transfer

基于区块链的数字货币系统通常孤立运行，缺乏无缝互联的必要机制。因此，跨不同货币系统的资产转移仍面临严峻挑战，现有方案往往难以兼顾安全性、隐私性与实用性。本文提出P2C2T——一种隐私保护的跨链转移方案。这是首个能同时满足原子性、不可关联性、不可区分性、无抵押要求，并适配多样化货币系统功能的解决方案。P2C2T基于我们提出的"门限匿名原子锁"（TAZ_22_ZL）技术构建，该技术通过隐匿用户间支付关系，成为实现原子化跨链转移的基石。通过将TAZ_22_ZL与可验证定时离散对数方案相结合，P2C2T使得跨链交易与常规链内交易无法区分。值得注意的是，P2C2T免除了发送方的抵押要求，且对底层区块链仅需最低限度的签名验证能力。我们基于提出的新型密码学概念"门限盲条件签名"论证了TAZ_22_ZL的安全性，并通过完备证明验证了P2C2T的安全属性。性能对比显示：相较于特性最接近的现有方案，P2C2T在完成跨链转移时，其运行时间、通信开销与存储成本均降低至少85.488%。我们进一步在比特币测试网与莱特币测试网上实现了跨链转移与链内支付实验，验证了P2C2T的隐私保护能力与实用价值。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a051/21B7QYE5x8Q

49、PAC-Private Algorithms

可证明的隐私通常需要复杂的分析，且往往伴随难以接受的准确性损失。虽然已有许多经验性验证或近似方法被提出，如成员推断攻击（MIA）和差分隐私审计（DPA），但这些方法无法提供严格的隐私保障。本文应用最新提出的"概率近似正确"（PAC）隐私框架，为一系列实用黑盒算法（K均值、支持向量机（SVM）、主成分分析（PCA）和随机森林）提供了基于形式化、机械化模拟的隐私证明。为实现这些证明，我们提出一种新型模拟算法，可高效确定任意给定隐私等级所需的各向异性噪声扰动。我们给出了该算法的正确性证明，并证实各向异性噪声较各向同性噪声具有显著优势。稳定算法更易实现隐私化，我们通过在这些算法中引入正则化来展示隐私放大效应——仅需承受微小精度损失即可获得有意义的隐私保障。为降低算法输出的不稳定性，我们将难以处理的几何稳定性验证转化为高效确定性验证，并提出新技术方案。实验部分包含全面验证，我们通过最先进的实证攻击测试，证实了所提方法在对抗推断鲁棒性方面的可证明优势。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a034/21B7QnCR3na

50、PEARTS: Provable Execution in Real-Time Embedded Systems

嵌入式设备正日益普及且至关重要，通常承担着安全关键功能。然而受限于严格的成本与能耗约束，这类设备普遍采用缺乏高级架构安全特性的微控制器单元（MCU）实现。近期研究提出了能在潜在受攻击MCU上生成软件执行证明（PoX）的低成本架构，通过将传感结果与边缘传感器MCU上不可伪造的密码学执行证明绑定，从源头确保传感器数据的完整性。但现有PoX方案要求被证明的执行必须原子性（即不可中断）完成，这导致其无法应用于(1)分时系统及(2)具有实时性约束的场景，造成执行完整性与嵌入式系统实时需求间的直接冲突。本文提出名为实时执行证明（RT-PoX）的新安全目标，在保留经典PoX完整性保障的同时，使其适用于现有实时系统。该目标通过放宽PoX的原子性要求，同时禁止设备上其他潜在恶意任务（或受攻击操作系统）的干扰来实现。为实现RT-PoX目标，我们开发了实时系统可验证执行架构（PEARTS）。据我们所知，PEARTS是首个可直接部署于商用嵌入式实时操作系统（FreeRTOS）旁的PoX系统，能在商用MCU上同时提供实时调度与执行完整性保障。为验证该能力，我们在单核ARM Cortex-M33处理器上基于FreeRTOS开发了PEARTS开源原型，并据此评估报告了其安全性与（可控的）性能开销。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a047/21B7QzkFmY8

51、PORTAL: Fast and Secure Device Access with Arm CCA for Modern Arm Mobile System-on-Chips (SoCs)

移动Arm系统芯片(SoC)中多样化协处理器与外设的深度集成，为安全高效的设备I/O带来了重大挑战。现有基于内存加密的方案会引入显著的性能与功耗开销，而移动平台对实时数据处理和严格能效的要求进一步加剧了这些问题。这阻碍了旨在提供强安全保证的Arm机密计算架构(CCA)的广泛应用。为此，我们提出PORTAL——一种面向移动Arm SoC上Arm CCA的安全高效设备I/O接口。PORTAL通过严格内存隔离实现安全I/O，无需内存加密。借助Arm CCA的内存隔离机制，PORTAL实施硬件级访问控制，确保仅指定安全域虚拟机与外设可访问受保护的明文内存区域。该设计消除了加密开销，支持动态外设集成，同时保持强安全保证。评估表明PORTAL仅产生9.8%的极低一次性开销，同时提升了可扩展性与能效，为在移动及资源受限环境中推广即将到来的Arm CCA提供了关键解决方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a013/21B7Q5c3ZHq

52、PQ-Hammer: End-to-end Key Recovery Attacks on Post-Quantum Cryptography Using Rowhammer

随着后量子密码学（PQC）逐渐接近标准化及最终部署阶段，深入理解所选方案实现的安全性变得愈发重要。本文针对NIST后量子密码标准化竞赛的多个决赛方案展开研究，揭示了令人担忧的安全问题。我们具体演示了基于Rowhammer攻击技术对Kyber与BIKE密钥交换机制以及Dilithium数字签名方案的完整密钥恢复攻击——这些攻击无需超级计算机或长达数月的预计算，仅需中等程度攻击成本即可实现。此外，我们通过结合Rowhammer、性能降级和内存操控技术进行了实验验证，证明攻击具有现实可行性。研究结果表明，此类侧信道攻击构成重大威胁，在密码新方案标准化、标准实现开发及实际部署时均需重点考量。文末我们提出了可增强密码方案抵御Rowhammer攻击能力的实现技术建议。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a048/21B7QQRP39e

53、PYLINGUAL: Toward Perfect Decompilation of Evolving High-Level Languages

Python是工业界开发者和恶意软件作者中最受欢迎的编程语言之一。尽管存在对Python反编译器的需求，但Python激进的版本迭代与不稳定的字节码规范阻碍了社区维护自动化反编译工具的努力。每年都有新语言特性加入，代码生成机制发生重大变化，操作码不断新增、删除和修改。本研究将自然语言处理技术与经典程序语言理论相结合，旨在构建一个能适应语言特性演变和字节码规范变更、且需最少人工维护的Python反编译器。PyLingual在版本无关的核心架构中植入数据驱动的NLP组件，可自动吸纳字节码表层变化与编译器改动，同时通过程序化组件重建抽象控制流。为确保反编译结果可信度，我们基于"完美反编译"（一种可静态验证的语义等价强化标准）提出了严格正确性度量。我们在真实世界的良性/恶意Python源码及其编译后的PYC二进制文件数据集上验证了方法的有效性。本研究有三项主要贡献：(1)提出PyLingual——一个支持Python 3.6至3.12各版本、具备顶尖性能的可扩展数据驱动反编译框架，在四个数据集上将完美反编译率较现有最优反编译器平均提升45%；(2)提供基于完美反编译的Python反编译器验证框架；(3)将PyLingual部署为公开在线服务。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a052/21B7QZB86cg

54、Peek-a-Walk: Leaking Secrets via Page Walk Side Channels

微架构侧信道攻击对程序安全构成隐蔽威胁。其中一类新兴攻击通过构造间接访问数据内存内容的攻击组件，其成因在于推测执行和数据内存预取等优化机制可能（错误地）猜测程序正在执行指针追踪。理论上这对安全性具有毁灭性影响，因为对秘密数据的间接访问会通过基于内存的侧信道（如缓存）造成泄露。但实践中并非如此——由于多数秘密数据不符合有效指针特征，其间接访问通常失败而不会泄露信息。本文提出页表遍历侧信道（PWSC），这种新型攻击能在无效指针解引用场景下仍泄露信息：当64位秘密数据通过地址规范化检查时，PWSC无需对剩余比特位做任何假设即可泄露除低6位外的所有比特位。我们展示了PWSC如何增强推测执行与数据内存预取场景下的信息泄露：在推测执行场景中，PWSC结合Intel的LAM特性可泄露近乎全部物理内存；即使未启用LAM，PWSC也能泄露Dilithium算法的密钥；在数据内存预取场景中，我们逆向工程了Intel数据内存依赖预取器（DMP）的语义，证明DMP与PWSC结合可突破进程内沙箱的安全防护。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a023/21B7QepK7Fm

55、Phecda: Post-Quantum Transparent zkSNARKs from Improved Polynomial Commitment and VOLE-in-the-Head with Application in Publicly Verifiable AES

我们提出Phecda框架——一种在随机预言机模型中构建抗量子透明zkSNARK的新方案。该框架创新性地融合了多线性多项式承诺方案与VOLE-in-the-Head零知识论证协议，为现实场景中的多样化计算验证提供了通用解决方案。特别地，我们设计出新型AES验证电路，配合Phecda框架可在Linux个人电脑的单线程程序上实现10毫秒内完成计数器模式下1024个AES分组的验证。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a055/21B7R1Oem1q

56、Predator: Directed Web Application Fuzzing for Efficient Vulnerability Validation

Web应用漏洞仍是重大安全挑战。当前静态分析是该领域主流解决方案，动态分析技术相比之下尚未得到广泛应用，但二者均存在明显局限：现有静态分析工具误报率高，需依赖精细人工分析与专业知识；而动态分析工具发展尚不成熟，基于模糊测试的方案常因难以深入代码位置导致效率低下，先进灰盒模糊测试工具亦常无法有效捕获用户界面参数，致使输入空间探索低效。本文提出Predator——一种配备选择性动态插桩的定向模糊测试框架，可实现高效Web应用漏洞检测与验证。我们通过动静分析技术互补：轻量级静态分析为定向模糊测试提供目标URL及相关参数，从而辅助静态分析报告的动态验证；此外针对PHP等解释型语言的动态特性，提出运行时距离补偿机制与定制化变异策略。评估表明Predator能有效触发更多漏洞，其漏洞暴露时间较先进灰盒模糊测试工具最高提升43.8倍，并在真实应用中检出26个未知漏洞（截至撰稿时已有7个获厂商确认并修复），进一步验证了其有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a066/21B7Ray6BkA

57、Preference Poisoning Attacks on Reward Model Learning

从成对比较中学习奖励模型是多个领域（包括自主控制、对话代理和推荐系统）的基础组成部分，其核心目标在于使自动化决策与用户偏好保持一致。这类方法需要从人类收集偏好信息，而反馈通常以匿名形式提供。由于偏好具有主观性，不存在可供对照的黄金标准；然而，高影响力系统对偏好学习的依赖，为恶意行为者提供了强烈动机，使其能够通过操纵此类数据收集来实现自身目的。我们通过假设攻击者能翻转少量偏好比较数据以提升或压制特定目标结果，系统研究了该漏洞的本质与影响范围。针对此类攻击，我们提出两类算法框架：基于梯度的攻击方法，以及多种基于距离排序的变体方法。随后，我们在三个领域（自主控制、推荐系统和文本提示-响应偏好学习）的数据集上评估了这两类最优攻击方案的有效性。实验表明，最优攻击往往具有极高成功率，极端情况下仅需污染0.3%数据即可实现100%攻击成功率，但最优攻击方案的选择会随领域不同存在显著差异。此外，我们发现更简单且可扩展性更强的基于距离排序方法，其性能往往与基于梯度的方法相当，有时甚至显著优于后者。最后，我们证明当前针对其他类型投毒攻击的最先进防御方案在本研究场景中效果有限。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a094/22K50qfo1PO

58、Preprocessing for Life: Dishonest-Majority MPC with a Trusted or Untrusted Dealer

我们提出了一种预处理模型下安全多方计算（MPC）的新范式：通过可行的一次性设置，即可支持持续高效的在线安全计算。我们的协议在安全性与成本方面对标最经济的MPC解决方案类别（即抗单方恶意攻击的三方协议3PC），同时具备两项质性优势——其中一方仅需传输电路规模亚线性的数据量，且发送初始消息后即可离线。这种"2+1"参与方架构也可通过（非可信）协助方的支持在两方之间实现。相较于现有同类协议，我们在保持相当在线性能的同时，将存储需求与离线阶段协助方至参与方的通信开销降低了三个数量级以上。在技术层面，我们基于Boyle等人（CRYPTO 2021）提出的全线性交互式预言证明（FLIOP）协议框架进行构建，通过系统化的算法与实现优化，设计了针对复杂FLIOP关联数据完备性的高效分布式证明机制，并实现其电路无关性。我们实现了完整的端到端系统，并与当前"2+1"模式的最先进方案（基于SPDZ的布尔电路协助方变体）进行性能对比。此外，我们将技术扩展至(n+1)参与方场景，使协助方能支持普遍的非诚实多数MPC，并给出支持"可识别中止"安全性的协议变体。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a041/21B7QuzaWyY

59、Prevalence Overshadows Concerns? Understanding Chinese Users' Privacy Awareness and Expectations Towards LLM-based Healthcare Consultation

大型语言模型（LLMs）在医疗健康领域的应用日益广泛，但也加剧了敏感健康信息被轻易泄露和未经授权访问的威胁。在中国等隐私意识相对薄弱的地区，此类隐私风险尤为突出。尽管已有部分研究针对医疗场景下LLMs的用户体验展开调查，但用户对隐私的认知仍未被充分探索。为填补这一空白，本文首次在中国开展了一项基于LLM医疗咨询场景的用户研究（n=846），聚焦隐私意识与期望。研究通过部署医疗聊天机器人实证考察用户的实际隐私意识，并基于情境完整性的信息流框架量化用户的隐私期望。研究发现：LLMs的普及通过激发用户使用此类服务的好奇心与意愿（77.3%参与者倾向使用，72.9%表示会采纳生成建议），反而弱化了隐私顾虑，从而放大了健康隐私风险。值得注意的是，用户呈现出矛盾的"认知错觉"——其隐私知识与担忧程度与隐私期望相背离，最终导致更高的健康隐私暴露风险。本文的深入讨论为未来基于LLM的医疗隐私研究及保护技术发展提供了重要启示。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a092/22K50ou6sKY

60、Query Provenance Analysis: Efficient and Robust Defense against Query-based Black-box Attacks

基于查询的黑盒攻击已成为机器学习系统面临的重大威胁，攻击者通过操纵输入查询生成对抗样本，导致系统误分类。为应对此类攻击，研究者提出BlackLight、PIHA等状态化防御模型（SDM），通过拒绝与历史查询"相似"的查询实现防护。然而最新研究表明，现有防御方案在更强适应性的预言机引导自适应拒绝采样攻击（OARS）面前存在脆弱性。OARS可结合现有攻击算法，利用SDM泄露的决策边界信息精细调节扰动方向与步长，从而规避防御。本文提出查询溯源分析（QPA）方法，旨在实现对查询型黑盒攻击的鲁棒防御（同时抵抗非适应性与适应性攻击）与实时高效防护。核心思路在于：通过分析查询序列特征（称为查询溯源）而非孤立查询，能更有效区分恶意与良性查询。我们构建查询溯源图来表征新查询与历史查询的关联关系，并设计高效算法基于该图进行恶意查询检测。在四个数据集上针对六种查询攻击的评估表明，QPA在防御鲁棒性和效率上均优于最先进的SDM方案。具体而言，QPA将OARS攻击成功率（ASR）降至4.08%，较基线方法降低约20倍；同时实现更高吞吐量（最高达7.67倍）与更低延迟（最高达11.09倍）。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a072/21B7RgFCieQ

61、RGFuzz: Rule-Guided Fuzzer for WebAssembly Runtimes

WebAssembly运行时内置编译器，用于将WebAssembly代码编译为机器码执行。这些编译器通过多种编译规则来定义如何优化和降低WebAssembly代码层级。然而，现有测试工具因规则复杂性难以有效探索这些规则，且受限于生成方式单一，可能导致潜在漏洞未被发现。本文提出差异化模糊测试工具RGFuzz，通过两项创新技术突破现有局限：首先采用规则引导的模糊测试方法，从wasmtime运行时提取编译规则并指导测试用例生成，从而高效探索复杂规则；其次利用逆向基于栈的生成技术实现多样化测试用例生成。这些技术使RGFuzz能有效发现WebAssembly运行时中的漏洞。我们在wasmtime、Wasmer、WasmEdge、V8、SpiderMonkey和JavaScriptCore六大引擎上实现并评估RGFuzz，共发现20个新漏洞（其中1个获CVE编号）。实验表明，RGFuzz通过规则提取与多样化测试用例生成，性能显著优于现有模糊测试工具。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a003/21B7PWv1JGU

62、RaceDB: Detecting Request Race Vulnerabilities in Database-Backed Web Applications

数据库驱动的Web应用中的请求竞争漏洞构成重大安全威胁。这类漏洞可能导致数据不一致、异常行为甚至未授权访问。现有自动化检测技术常因竞争条件的复杂性及应用逻辑与数据库交互的错综关联而失效。本文提出RACEDB系统，通过两项关键创新应对这些挑战：应用感知型请求竞争检测（ARD）通过综合分析数据依赖关系，同时考量数据库模式与应用代码，从而识别现有方法可能遗漏的隐蔽竞争条件；此外，RACEDB采用基于回放的自动化验证技术，高效区分真实竞争与误报，并为确认漏洞生成确定性利用方案。我们在14个真实PHP Web应用数据集上评估RACEDB，结果表明其检测效果显著优于现有工具——成功识别21个已知漏洞并发现18个新漏洞，同时保持更低误报率。所有新发现漏洞均已负责任地报告给相应开发者，其中7个漏洞已获得CVE编号。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a029/21B7QjzVEo8

63、RankGuess: Password Guessing Using Adversarial Ranking

对密码安全性的理解高度依赖于我们对攻击者如何猜测密码的认知，这使得构建密码猜测攻击模型成为一项关键任务。为最大化猜测效率，攻击者通常按概率降序进行尝试，这与推荐系统中生成式检索学习排序（generative retrieval learning-to-rank）的工作机制类似——后者根据预测相关性向目标用户优先推送信息。本文提出了一种基于对抗排序的密码猜测框架RankGuess。我们将密码创建过程视为序列化决策轨迹，在此框架下假设攻击者训练一个智能体：当前状态由已生成的密码片段表示，采取的动作是生成下一字符，排序器给出的评估分数则作为获得的奖励信号。由此，我们将密码猜测问题建模为马尔可夫决策过程，并运用对抗排序技术予以解决。得益于框架的通用性，RankGuess可适配多种猜测场景（包括撒网式猜测、基于个人身份信息PII的定向猜测，以及条件式密码猜测）。通过12个大规模密码数据集和6个PII数据集的实验验证，我们证明：（1）RankGuess全面超越现有最优模型，相较基于生成对抗网络的方法提升26.29%~43.69%（平均34.80%）；（2）当掌握目标站点Z_AA_Z的用户PII（记为PIIZ_AA_Z）时，基于PIIZ_AA_Z的定向猜测模型RankGuess-PII在10^12次尝试内可破解58.21%~91.95%的普通用户密码，较最优竞品提升6.32%~17.09%；（3）在10^7次尝试内，针对用户部分已知密码（如dl02）的掩码猜测模型RankGuess-Mask，其破解成功率较现有最优方案提升7.70%~14.85%（平均8.21%）。本研究为密码猜测领域这一经典难题提供了新的技术路径。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a040/21B7Qt9Kuv6

64、Resolution Without Dissent: In-Path Per-Query Sanitization to Defeat Surreptitious Communication Over DNS

作为互联网最基础的组件之一，DNS服务于多种用途，因此DNS流量通常呈现多样化模式，且极少被网络管理员拦截。这些特性使得DNS成为攻击者建立隐蔽通信（即DNS隧道）的理想渠道。事实上，此类隐蔽通道已被广泛滥用于命令控制（C2）和企业未授权的虚拟专用网络（VPN）。现有检测方法仅依赖DNS查询序列的统计特征来识别DNS隧道。然而，这些方法本质上无法实现零数据泄露，且当窃取数据通过多个根域名外传时可能被绕过。因此，现有先进方案更适用于威胁调查与取证分析，而非DNS隧道防御。

为填补这一防护空白，我们提出TunTight——首个实现逐查询实时拦截的DNS隧道防御系统。我们的核心发现是：DNS隧道域名在其权威名称服务器、使用方式和命名模式上具有独特特征。基于这些特征，我们定义并提取了一组判别性指标输入机器学习模型。为验证有效性，我们将系统集成至某顶级安全厂商的企业级防火墙云平台。在实际部署的两个月中，TunTight在首条查询即成功拦截349个已确认隧道，误报与漏报可忽略不计。我们还首次开展了大规模DNS隧道活动研究，发现企业网络中多数隧道流量源自公开隧道工具和未授权VPN服务。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a004/21B7PXuUi2Y

65、Restricting the Link: Effects of Focused Attention and Time Delay on Phishing Warning Effectiveness

钓鱼警告研究人员提出了两种降低钓鱼点击率的超链接限制形式：一是聚焦注意力机制，即阻止用户访问可疑网址，直至其点击警告内被遮盖的链接；二是时间延迟机制，即在短时间内禁用链接点击功能。这两种措施均旨在吸引用户关注警告内容，促使其仔细核查链接网址。然而迄今为止，这两种措施的有效性尚未得到对比评估。我们通过混合方法的在线实验（样本量=1,320）来探究聚焦注意力与时间延迟机制单独及联合使用的效果差异。研究采用模拟电子邮箱环境，要求参与者评估邮件及邮件超链接。研究发现：虽然两种机制均能独立降低点击率，但聚焦注意力的效果显著优于时间延迟；当两种机制联用时，点击率进一步下降。此外，相较于聚焦注意力警告组，时间延迟警告组的参与者更倾向于长时间悬停查看超链接。本文最后讨论了研究结果对反钓鱼警告设计的启示。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a007/21B7Q0jLcaI

66、Ringtail: Practical Two-Round Threshold Signatures from Learning with Errors

阈值签名方案将签名密钥分散在l个参与方之间，使得任意t个参与方的子集都能联合对给定消息生成签名。设计具体高效的后量子阈值签名是当前紧迫课题，这一点从NIST最近的倡议中可见一斑。本研究提出、实现并评估了一种基于格的阈值签名方案Ringtail，首次实现了以下理想特性的组合：1）签名协议仅需两轮交互，其中首轮与消息无关，可离线预处理；2）方案具备具体高效性且可扩展至t≤1024个参与方。在128比特安全强度且t=1024参与方时，我们实现了13.4KB的签名大小和10.5KB的在线通信量；3）安全性基于随机预言机模型下的标准容错学习（LWE）假设。相较于现有方案——要么需要三轮签名协议（Eurocrypt'24），要么依赖新的非标准假设（Crypto'24）——本方案实现了显著改进。为验证方案的实用性，我们首次在横跨5大洲8个国家的广域网上部署基于格的阈值签名方案进行实验。结果表明端到端延迟主要由网络延迟主导，这凸显了对轮次优化方案的迫切需求。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a070/21B7Re2GxzO

67、SCAD: Towards a Universal and Automated Network Side-Channel Vulnerability Detection

网络侧信道攻击因其严重性和隐蔽性近来备受关注。例如，SADDNS攻击允许路径外攻击者利用网络侧信道实施缓存投毒攻击。由于网络侧信道的微妙特性，识别此类侧信道具有挑战性。迄今为止，鲜有针对此类漏洞的自动化漏洞发现技术。遗憾的是，现有方法均缺乏足够的通用性和自动化程度，使其影响力和长期应用受限。本文提出首个填补这一空白的解决方案。具体而言，我们开发了SCAD系统，旨在检测违反非干涉属性的情况——该属性被普遍认为是网络侧信道的根本成因。由于非干涉属性属于超属性，需要进行跨多执行轨迹的推理，这促使我们基于欠约束动态符号执行技术构建解决方案。现有最先进方案SCENT采用模型检测技术，需对网络协议部分内容进行建模或简化以实现可扩展性，但此类建模过程耗时、易错且可能遗漏关键细节，导致漏洞漏报。例如，据报道使用SCENT构建自包含模型需耗费2.5人周工作量，而SCAD仅需1人日即可完成秘密信息标注、攻击者可观测项标记及分析范围界定。通过将SCAD应用于Linux、FreeBSD和lwIP等TCP/UDP协议栈实现，我们发现了14个网络侧信道（其中7个为首次披露），误报率仅为17.6%。分析结果揭示了包括可使已修复的Linux/FreeBSD内核重新遭受SADDNS攻击或路径外TCP攻击在内的严重漏洞。研究表明，受限于现有技术的固有缺陷，大多数侧信道无法被当前方案发现。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a068/21B7RcuK7C0

68、SLAP: Data Speculation Attacks via Load Address Prediction on Apple Silicon

自2018年Spectre漏洞首次披露以来，由于硬件层面完全缓解推测执行攻击的困难性，过去六年中已涌现出多种新变体与攻击面。大多数衍生攻击沿袭了原始Spectre攻击的核心思路——即CPU在处理控制冒险（如条件分支、间接分支及返回语句）时可能短暂执行错误控制流，并通过侧信道痕迹泄露敏感信息。本文突破性地将研究范畴扩展到（推测式）影响控制流之外，提出一种源于微架构优化机制的新型数据推测原语，该机制旨在缓解数据冒险。具体而言，我们发现苹果CPU配备了负载地址预测器（LAP）。该组件通过监控同一加载指令的历史地址来推测性加载预测地址，而该地址可能错误指向静态敏感数据（即CPU从未在架构层面读取过的数据）。一旦获取秘密数据，LAP提供的宽泛推测窗口足以让攻击者实施计算操作（例如通过隐蔽信道泄露数据）。我们在M2、A15及更新款苹果CPU上验证了LAP的存在性，并通过越界读取、推测性调用恶意函数、攻破地址空间布局随机化（ASLR）以及入侵Safari浏览器等场景评估其安全影响。特别地，我们利用LAP实现了跨站敏感数据（如Gmail收件箱内容）向远程网络攻击者的泄露。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a098/22K50uO6vo4

69、Sailfish: Towards Improving the Latency of DAG-based BFT

基于有向无环图（DAG）的拜占庭容错（BFT）协议能在不同参与方间均衡共识负载，即使部分指定节点失效仍能保持高吞吐量。然而现有DAG-BFT协议存在决策确认延迟高的问题，其根源在于每两轮或更多轮次才设置一个\emph{领导者}。Shoal（FC'23）和Mysticeti等近期研究认为，每轮支持领导顶点（leader vertex）的实现难度极大甚至不可行。因此即便领导者诚实，这些协议仍需较高延迟（或通信复杂度）来确认领导者提交的提案（领导顶点），并需额外延迟确认其他提案（非领导顶点）。本文提出\name，首个实现每轮支持领导顶点的DAG-BFT协议。在领导者诚实场景下，\name仅需1轮可靠广播（RBC）时延加上Z_1δ1δZ（ZδδZ为消息实际传输延迟）即可确认领导顶点，非领导顶点仅需额外1轮RBC时延。我们进一步扩展为\multiname，支持单轮多领导者机制，可在1轮RBC时延加Z_1δ1δZ的延迟内确认轮次内所有领导顶点。实验表明，在吞吐量相当的情况下，本协议相较现有DAG协议显著降低了延迟开销。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a021/21B7QcFAX6M

70、Security Analysis of Master-Password-Protected Password Management Protocols

密码管理器（PM）是帮助用户管理登录凭证的实用工具，能减轻记忆日益增多密码的负担。主密码保护的密码管理（M3PM）协议定义了客户端与密码管理器服务器之间的交互流程：客户端使用主密码进行认证，服务器则协助跨设备检索凭证。鉴于当前密码管理器数据泄露事件频发且用户担忧服务器可能滥用数据，确保服务器无法获知主密码及凭证内容至关重要。M3PM协议的核心地位凸显了对其进行系统化形式化安全分析的必要性。

本文首次对M3PM协议展开全面形式化分析。我们通过定义包含文档分析、流量分析和逆向工程的方法论，从工业界与学术界的43个密码管理器中识别出实际应用的M3PM协议。为形式化M3PM协议的安全属性，我们在通用可组合（UC）框架下提出一组理想功能。根据攻击者掌握的信息差异，我们将针对主密码的离线猜测攻击划分为四类。分析表明，43个密码管理器中有38个至少对其中一类攻击存在漏洞，揭示了单主密码保护机制在不同M3PM协议中抵抗此类攻击的失效场景。此外，我们发现知名开源密码管理器Passbolt存在预言机攻击漏洞——被攻陷的服务器可获取其加密密钥，同时论证了1Password的双密钥机制能为用户主密码及凭证提供强力保护。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a050/21B7QXQpJny

71、Security Attacks Abusing Pulse-level Quantum Circuits

本研究首次系统探究了门级与脉冲级量子电路接口及脉冲级量子电路本身所面临的攻击。通常，量子计算机执行的量子电路与程序通过门级原语定义，但为提升量子电路表达力并实现更优优化，脉冲级电路现已被广泛采用。本工作所揭示的攻击利用自定义门在门级描述与实际底层脉冲实现之间的不一致性，通过操纵自定义门规范提出了多种攻击方式：量子比特劫持、量子比特阻塞、量子比特重排、时序失配、频率失配、相位失配以及波形失配。研究在真实量子计算机与模拟器上验证了这些攻击，并证明当前多数量子软件开发工具包均易受此类新型攻击影响。最后，本研究提出了一套防御框架。对新兴脉冲级量子电路安全与隐私问题的探索，为未来开发安全的量子软件开发工具包及量子计算机系统提供了重要启示。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a083/21B7Rp53qbm

72、Security Perceptions of Users in Stablecoins: Advantages and Risks within the Cryptocurrency Ecosystem

稳定币是一种与另一种资产挂钩以维持价格稳定的加密货币，现已成为加密货币生态的重要组成部分。现有研究主要从技术和理论角度分析稳定币的安全性，但对用户在实际使用中的风险认知与安全行为缺乏深入探讨。为填补这一研究空白，我们采用混合方法展开研究：基于文献构建稳定币交互框架指导访谈设计，开展半结构化访谈（n=21）并分析Reddit平台数据（9,326条帖子）。研究发现，参与者认为相较于其他加密货币，稳定价值与监管合规是稳定币的核心安全优势。但参与者同时指出法币抵押型稳定币存在中心化风险，加密资产抵押型稳定币因无法完全依赖自动化执行而面临挑战，算法稳定币则因机制复杂引发理解困惑。我们建议通过加强用户教育和优化机制设计来解决这些问题，从而促进稳定币的更安全使用。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a042/21B7QvjJ9Ty

73、Security and Privacy Experiences of First- and Second-Generation Pakistani Immigrants to the US: Perceptions, Practices, Challenges, and Parent-Child Dynamics

本研究探讨了巴基斯坦裔美国移民在安全与隐私方面的认知、实践及面临的挑战，同时分析了亲子互动如何影响他们对美国安全与隐私规范的学习与适应。通过对25名巴基斯坦移民的半结构化访谈，我们发现：第一代移民因穆斯林身份普遍存在对歧视、监控和社会隔离的强烈风险感知，并报告了网络环境中自我表达与自我审查之间的张力；而第二代移民能快速适应美国生活，大多未感知到此类挑战。研究发现两代移民在技术使用和威胁应对方面形成了互助机制。研究结果凸显了针对高风险群体的特殊需求制定数字安全措施与设计的紧迫性，通过识别并应对这些挑战，可构建更具包容性的数字环境，增强移民群体的适应力与自主权。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a031/21B7Qlaqsww

74、SoK: A Framework and Guide for Human-Centered Threat Modeling in Security and Privacy Research

以人为中心的威胁建模是研究人员用于识别人们面临的安全与隐私威胁及其缓解方法的一种实践。这通常是理解特定群体或社区在安全与隐私方面的需求、观点、体验及行为模式的第一步，从而帮助研究者探索如何更有效地提升其整体安全性。然而相较于发展成熟的系统威胁建模领域，该领域研究仍较为零散，导致学界对研究者应如何开展此类工作缺乏系统认知。本研究旨在通过分析该领域研究者的实践方法，系统化以人为中心的威胁建模流程，提炼其核心要素。我们收集了该领域78篇论文构成语料库，通过定性分析解析研究者构建威胁模型的实践方法。研究成果包括：一个以人为中心的威胁建模框架、基于最佳实践的框架使用指南，以及该范式与系统威胁建模的差异分析。本工作可为领域内新老研究者提供指导，助其在实际工作中聚焦人类安全这一核心要义。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a033/21B7QmTreyQ

75、SoK: Dataset Copyright Auditing in Machine Learning Systems

随着机器学习（ML）系统的应用日益广泛，尤其是大型ML模型的兴起，市场对海量数据的需求急剧增长。然而，这不可避免地引发了数据侵权与滥用问题，例如未经授权使用在线艺术作品或人脸图像训练ML模型。为解决该问题，学术界已投入大量努力审查模型训练数据集的版权。但现有解决方案的审计假设与能力各异，难以系统比较其优劣。此外，现有鲁棒性评估通常仅针对ML流程的局部环节，难以反映算法在真实ML应用中的表现。因此，有必要从实际部署视角审视当前数据集版权审计工具，剖析其有效性与局限性。具体而言，我们根据是否需修改原始数据集，将版权审计研究分为两大方向：侵入式与非侵入式方法。随后将侵入式方法按水印注入方式细分，并基于不同指纹特征分析非侵入式方法。通过整理研究成果，我们提供了详细的参考对照表，提炼核心观点并指出当前研究中的未解难题。结合ML系统流程与既有研究分析，我们进一步提出若干未来研究方向，以使审计工具更契合实际版权保护需求。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a025/21B7QfZXkFG

76、SoK: Digging into the Digital Underworld of Stolen Data Markets

过去几十年间，数据窃取问题已从少数投机者制造的麻烦，演变为一个繁荣、高度组织化且利润丰厚的经济体系。这催生了一系列试图记录和解析地下经济的研究。我们回顾了过去15年关于被盗数据市场的研究成果，以揭示学者们所记录的潜在模式与趋势。通过分析该经济体系，我们发现无论是热门被盗数据类型还是交易平台载体都发生了显著变化。此外，我们观察到市场存续周期与研究观察期均呈现持续缩短态势。研究揭示了若干模式与潜在缺陷，特别是现有研究对市场的覆盖范围有限，且市场语言多样性不足。最后，我们提出未来研究的若干方向：需更准确评估该经济体系的真实成本，探究数据泄露与市场数据间的断层成因。后续研究还应紧跟行业变化，及时识别跨平台的新趋势与社群迁移动态。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a037/21B7QqhuoOA

77、SoK: Integrity, Attestation, and Auditing of Program Execution

本文对控制流完整性（CFI）与控制流验证（CFA）机制进行了系统性探讨，剖析二者的差异与关联。研究针对CFI与CFA的目标定位、前提假设、特性表现及设计空间等核心问题展开论述，包括二者在同一平台上共存的可行性。通过对现有防御方案的全面梳理，本文将CFI与CFA置于运行时防御体系的宏观格局中进行定位，批判性评估其优势、局限性与设计权衡。研究结果强调，需通过进一步研究弥合CFI与CFA的现存缺口，从而推动运行时防御领域的发展。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a077/21B7RkMetUI

78、SoK: Software Compartmentalization

将大型系统分解为权限受限的小型组件，长期以来被视为降低漏洞影响的有效手段。尽管这一理念历史悠久、优势显著，且学术界与工业界投入了大量研究，软件隔离技术仍未成为主流实践。本文探究了这一现状的成因及改进路径。针对现有方法在术语体系和分析框架上存在的割裂问题，我们提出了一个统一模型，用于系统化分析、比较和引导隔离技术发展方向。基于该模型，我们梳理了211项研究成果，剖析了61个主流隔离系统，通过对比研究揭示了科研与工程实践的双重局限。研究发现：主流方案严重依赖手工方法、定制化抽象和传统机制，与前沿研究形成鲜明反差。我们据此提出改进建议：应系统化解决隔离问题；需简化隔离策略的定义流程；必须基于"混淆代理"和硬件限制重新审视威胁模型；亟待弥合科研需求与主流应用之间的断层。本文不仅绘制了隔离技术的历史与现状图谱，更为推动其演进与落地建立了系统性框架。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a075/21B7Rj8C5lC

79、Sparta: Practical Anonymity with Long-Term Resistance to Traffic Analysis

现有元数据隐私保护通信系统要么无法扩展，要么易受长期流量分析攻击。现有抗流量分析方案往往依赖不切实际或难以实现的假设，或施加全局带宽限制，导致可用性和性能下降。本研究提出新型元数据隐私通信模型——延迟检索机制，该模型在现实可行的用户假设下确保抗流量分析能力。我们设计出可分布式部署、支持高吞吐量且允许多会话并行无消息丢失的实用化系统Sparta，实现了延迟检索机制的可扩展实例化。具体而言，我们提出三种针对不同场景优化的Sparta架构：(i)低延迟场景；(ii)共享内存环境（多线程实现）的高吞吐场景；(iii)无共享（分布式）环境的高吞吐场景。实验表明，低延迟版Sparta可实现亚毫秒级延迟，而高吞吐版在48核单服务器上每秒可传输超过70万条100字节消息。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a065/21B7R9OGMwg

80、Speedrunning the Maze: Meeting Regulatory Patching Deadlines in a Large Enterprise Environment

许多企业难以及时应用安全补丁以消除安全漏洞风险。补丁延迟可归因于技术依赖、过时的资产清单以及规模性问题。各国政府已开始推行通过法规强制要求在极严格期限内修补高度精选的严重漏洞的策略。我们与一家大型组织合作，研究了此类监管期限下的补丁修复时间线。我们分析了七年内81份安全公告的补丁工单系统记录，涵盖944个CVE漏洞，并辅以对补丁管理相关专业人士的九次访谈。研究发现：40.2%的公告需要采取补丁措施，其中位完成时间为13.2天；无需最终打补丁的公告处理中位时间为1.4天。符合行业最佳实践推荐的48小时修复周期仅占16.2%的案例。对于荷兰BIO法规规定的一周期限，达标率为32.4%；而针对CISA KEV典型期限的表现稍显乐观：两周内修复率为56.8%，三周内达62.2%。我们发现，延迟差异部分源于协调工作量（以涉及团队和人员数量衡量）。总体而言，针对精选优先级漏洞设定监管期限的策略显著加速了企业补丁修复。尽管期限常被突破，但需在现实性与风险暴露间权衡——三周KEV期限比48小时更可行，但也意味着更长的漏洞可利用窗口期。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a081/21B7RnD4zWU

81、Study Club, Labor Union or Start-Up? Characterizing Teams and Collaboration in the Bug Bounty Ecosystem

中国已发展出一个独特的漏洞悬赏生态体系。平台允许黑客以团队形式注册并获取团体奖励，但外界对这些团队的普及程度、产出效率及成员协作方式知之甚少。为填补这一研究空白，我们采用混合方法展开调查。第一阶段从生态系统顶层视角对团队特征进行分析：通过采集85个平台的漏洞悬赏排行榜数据，运用模糊匹配技术识别出2100个独立团队及5900名猎手。数据显示46%的用户以团队成员身份注册，组队猎手的产出效率达到独立猎手的2倍以上。典型团队规模不足10人且仅活跃于少数平台，但我们也发现参与超50个平台、成员数百人的超级团队。

第二阶段通过自下而上的视角解析黑客组队动机及团队协作机制。18场半结构化访谈表明，漏洞猎捕团队具有多重属性——既是学习社群，也是工会组织，更兼具初创企业特征。作为学习社群，团队促进知识共享与技能提升；作为工会组织，团队协助成员与漏洞悬赏平台及厂商谈判；而在收益分配与规则制定方面，团队又展现出公司化运作模式。研究表明，这种组织形式能有效应对漏洞猎手面临的三大核心挑战：技能发展、与科技巨头的议价博弈以及收入不稳定性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a020/21B7Qbxu1YQ

82、Supporting Human Raters with the Detection\of Harmful Content using Large Language Models

本文探讨了利用大语言模型（LLMs）自动化或辅助人工审核员识别有害内容（包括仇恨言论、骚扰、暴力极端主义和选举虚假信息）的可行性。基于50,000条用户评论数据集，我们证明LLMs相较人工判定可达到90%的准确率。我们研究了如何最大化利用这些能力，提出五种将LLMs与人工审核相结合的设计模式，例如预过滤合规内容、检测人工审核中的潜在错误，或呈现关键上下文以支持人工判定。我们阐述了如何通过单一优化提示实现所有这些设计模式。除模拟实验外，我们在真实审核队列中试点所提技术，使可用人工审核效率提升41.5%，违规内容检测的精确率与召回率绝对值分别提高9%-11%。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a082/21B7Roh61i0

83、TSQP: Safeguarding Real-Time Inference for Quantization Neural Networks on Edge Devices

量化神经网络（QNNs）因其实时能力与低资源需求，已被广泛应用于资源受限的边缘设备。然而，部署后的模型以白盒形式暴露于模型窃取威胁的问题引发关注。针对此问题，基于可信执行环境（TEE）的防护式安全推理被提出作为一种高效安全方案。但现有方法忽视了对8位量化计算的兼容性，导致推理过程中出现严重的整数溢出问题，可能使QNN性能急剧退化至随机猜测水平，彻底破坏模型效用。此外，有限的数据表示空间也对模型机密性与推理完整性构成重大威胁。

为保障QNN的精确高效推理，本文提出TEE防护式QNN分区框架（TSQP），其核心创新包括：首先，设计量化管理器将白盒推理转换为黑盒模式，通过TEE屏蔽关键缩放因子，并采用降值域方法有效解决溢出问题；其次，基于信息瓶颈理论增强模型训练，提出参数去相似性机制以防御现有方法难以抵抗的强模型窃取攻击；最后，引入具备隐匿特性的完整性监测器检测推理违规行为，而现有方案因缺乏隐匿性可被绕过。实验表明，TSQP在保持高精度的同时能准确检测违规行为，相比全TEE推理实现8倍加速，并将模型窃取攻击准确率从3.99倍降至1.29倍。据我们所知，这是首个在QNN上同时实现模型机密性、推理完整性与模型效用的TEE防护式安全推理方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a001/21B7PUpAEnu

84、The File That Contained the Keys Has Been Removed: An Empirical Analysis of Secret Leaks in Cloud Buckets and Responsible Disclosure Outcomes

随着云服务在存储和部署领域的日益普及，保障云环境安全变得至关重要。AWS S3、Google云存储和Azure Blob Storage等云存储解决方案被广泛用于海量数据存储，包括软件开发过程中使用的敏感配置文件。这些文件往往包含API密钥和凭证等机密信息。配置错误的云存储桶可能意外泄露这些机密，导致服务遭受未授权访问及安全漏洞。本研究探讨了因云存储配置不当导致文件机密泄露的问题。我们分析了开发中常用的多种文件格式，重点关注具有不同影响类型的各类机密信息，以及非侵入式验证的可能性。通过对大量可公开访问的云存储桶进行系统扫描，我们发现了215个敏感凭证暴露实例。这些泄露的机密可导致数据库、云基础设施及第三方API等服务遭受未授权访问，存在重大安全隐患。

发现这些泄露后，我们以负责任的方式向相关组织和云服务提供商进行了报告，并评估了披露流程的结果。通过负责任的披露工作，我们促成了95个问题的修复。其中20家组织向我们直接反馈了整改措施，及时解决了问题；其余修复则在未向披露者直接反馈的情况下完成。本研究揭示了云存储机密泄露现象的全球普遍性，并强调了不同组织在应对这些关键安全风险时的差异化响应。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a009/21B7Q1Ug0j6

85、TikTag: Breaking ARM's Memory Tagging Extension with Speculative Execution

ARM内存标记扩展（MTE）是ARMv8.5-A架构引入的新硬件特性，旨在检测内存破坏漏洞。MTE的低开销使其成为缓解现代软件系统中内存破坏攻击的理想方案，并被视为提升C/C++软件安全性的最具前景的技术路径。本文揭示了针对MTE的推测执行攻击可能引发的安全隐患：首次发现一类新型TikTag攻击原语，能够通过推测执行从任意内存地址泄露MTE标记。利用TikTag原语，攻击者可突破MTE的概率性防御机制，将攻击成功率提升至近100%。我们证实TikTag原语可实际绕过Google Chrome浏览器和Linux内核等真实系统中基于MTE的防护机制。实验表明，TikTag原语能在4秒内以超过95%的成功率泄露MTE标记。最后，我们提出了新的防御机制以消除TikTag原语带来的安全风险。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a039/21B7QrWwN20

86、TokenWeaver: Privacy Preserving and Post-Compromise Secure Attestation

基于可信执行环境（TEE）的现代认证技术能显著降低密钥泄露风险，使用户可安全执行敏感计算（例如跨服务运行认证所需的加密协议）。然而这也使TEE成为高价值攻击目标，引发了新型入侵攻击与持续TEE更新之间的军备竞赛。理想情况下，我们希望实现入侵后安全（PCS）：即使TEE遭入侵，仍能通过更新恢复至安全状态。但与此同时，还需保障用户隐私，特别是防止供应商（如英特尔、谷歌或三星）或服务商跨平台追踪用户。这就要求实现不可关联性，而这似乎与标准恢复机制存在矛盾。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a093/22K50p9xTKo

87、Towards Reliable Verification of Unauthorized Data Usage in Personalized Text-to-Image Diffusion Models

文本到图像扩散模型正在突破生成式人工智能在我们生活中所能实现的应用边界。除了生成通用图像的能力外，新型个性化技术被提出用于定制预训练基础模型，以创作具有特定主题或风格的图像。这种轻量级解决方案使AI从业者和开发者能够轻松构建自己的个性化模型，同时也引发了对这些模型是否使用未经授权数据进行训练的新担忧。一种可行的解决方案是主动在生成模型中实现数据可追溯性，即数据所有者在发布数据集前将外部标记（如图像水印或后门触发器）嵌入数据。随后基于这些数据集训练的模型也会学习这些标记，并在生成的仿制品中无意识地重现它们，这些标记可被提取并作为数据使用证据。然而，我们发现现有标记在个性化任务中无法被有效学习，导致相应验证的可靠性降低。本文提出SIREN，一种创新方法用于主动追踪黑盒个性化文本到图像扩散模型中的未授权数据使用。我们的方法通过精细优化标记，使其被模型识别为与个性化任务相关的特征，从而显著提升其可学习性。我们还采用人类感知感知约束、超球面分类技术和假设检验引导的验证方法，以增强标记的隐蔽性和检测准确性。SIREN的有效性通过在多样化基准数据集、模型和学习算法上的大量实验得到验证。该方法在各种现实场景中均表现优异，并能有效应对潜在的对抗措施。代码已开源：https://github.com/AntigoneRandy/SIREN

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a073/21B7RhriU5G

88、TrafficFormer: An Efficient Pre-trained Model for Traffic Data

流量数据蕴含深厚的领域专业知识，使得标注工作极具挑战性，而标注数据的匮乏会严重影响基于学习的流量分析准确性。预训练技术在视觉与自然语言领域被广泛采用以应对标注数据不足的问题，然而在流量分析领域的探索仍不充分。本文提出一种高效的流量数据预训练模型TrafficFormer：在预训练阶段，通过引入细粒度多分类任务增强流量数据的表征能力；在微调阶段，提出利用字段随机初始化特征的流量数据增强方法，促使流量模型聚焦关键信息。我们通过流量分类任务和协议理解任务对TrafficFormer进行评估。实验结果表明，TrafficFormer在六个流量分类数据集上取得最优性能，F1分数最高提升10%，且相较于现有流量预训练模型展现出显著优越的协议理解能力。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a102/22K50xTq93y

89、Transparency in Usable Privacy and Security Research: Scholars’ Perspectives, Practices, and Recommendations

研究过程的透明报告是良好科研实践的关键要素，有助于建立可信的科学成果。透明度既能帮助理解研究流程、评估研究成果的有效性，也能促进研究及报告结果的复现。面对其他领域出现的可复现性危机，安全与隐私（SP）研究界——尤其是可用隐私与安全（UPS）领域——目前仍缺乏明确的研究透明报告标准。为深入理解UPS领域当前研究透明度实践及相关挑战与障碍，我们通过对24位UPS研究者进行半结构化访谈，报告了相关发现。研究表明，研究者普遍重视研究透明度，并已采用多种透明报告实践。然而，由于缺乏能抵消挑战与弊端的激励机制，仅依靠隐性的社区标准似乎阻碍了研究透明度的进一步提升。基于研究发现，我们最终提出针对透明实践的建议，并为出版平台提供指导建议：通过优化激励措施（例如调整对UPS典型研究产物如研究材料的成果评估机制）和消除阻碍因素（例如取消附录页数限制）来促进研究透明度。我们期待这些发现能推动学界讨论，通过更透明的研究报告共同提升科研质量。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a038/21B7Qr5aczS

90、TreePIR: Efficient Private Retrieval of Merkle Proofs via Tree Colorings with Fast Indexing and Zero Storage Overhead

批量私有信息检索（batch-PIR）方案允许客户端从数据库中获取多个数据项，同时避免向存储服务器泄露这些项的具体内容。现有大多数批量PIR方案基于批量编码技术，尤其是概率批量编码（PBC）（Angel等人，S&P'18），这类方法会带来显著的存储开销。本文证明，对于树形结构数据库，存储开销可降为零。我们提出TreePIR——一种专为梅克尔树中任意根到叶路径节点集合的隐私检索而设计的新方法，该方法完全无需冗余存储。此类树结构已广泛应用于亚马逊DynamoDB、谷歌证书透明度系统及区块链等现实系统，其根到叶路径上的节点集合即著名的梅克尔证明。通过创新的树着色技术，TreePIR在所有指标上均优于现有批量PIR方案（Angel等人S&P'18、Mughees-Ren S&P'23、Liu等人S&P'24）的核心组件PBC：总存储量降低3×3倍，计算与通信成本减少1.5×1.5至3×3倍。最突出的是，TreePIR的初始化时间缩短88×88至160×160倍，其多对数复杂度的索引算法在处理2^10^10至2^24^24个叶子的树时，速度比PBC快19×19至160×160倍。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a032/21B7Qm2mfeM

91、Trust Nobody: Privacy-Preserving Proofs for Edited Photos with Your Laptop

互联网上存在大量由机密原始图像经变换（如缩放、模糊）生成的衍生图像。在多种应用场景（例如网络图像交易、打击虚假信息、检测深度伪造内容）中，能够验证某图像是否源自机密真实图像变换的系统将发挥重要作用。本文致力于构建可证明并验证真实图像变换正确性的系统，该系统需满足：1) 机密性（原始图像保持私密）；2) 高效证明生成（即使对高分辨率图像，也能用普通笔记本电脑计算验证变换正确性的证明）；3) 真实性（仅允许声明范围内的变换操作）；4) 快速识别欺诈证明。我们的贡献包括：建立保密性与自适应敌手的新定义模型、优化零知识简洁非交互式论证（ZK-snark）证明者效率的技术、基于定制化签名与哈希的高效构建方案，以及符合C2PA规范标准签名与哈希的较低效替代方案。实验结果证实了该方案的可行性，可在普通计算机上完成高分辨率图像的真实性变换验证。此前研究要么需要昂贵计算资源，要么无法提供令人满意的保密性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a014/21B7Q66yaAg

92、UnMarker: A Universal Attack on Defensive Image Watermarking

关于滥用生成式人工智能（GenAI）制作深度伪造内容的报道屡见不鲜。防御性水印技术可使GenAI提供商在生成图像中嵌入隐藏指纹，后续用于深度伪造检测。然而其潜力尚未得到充分挖掘。本文提出UnMarker——首个针对防御性水印的实用化通用攻击方案。与现有攻击不同，UnMarker无需检测器反馈、不依赖不切实际的水印方案先验知识或同类模型、也不采用可能难以获取的高级去噪流程。通过对水印范式的深入分析，我们发现鲁棒性方案必须在频谱振幅中构建水印特征，因此UnMarker采用两种新型对抗优化手段破坏含水印图像的频谱结构从而实现水印擦除。针对前沿水印方案的评估证实了UnMarker的有效性：不仅以优于现有攻击的质量击败传统方案，更能破解通过改变图像结构实现语义水印的方案——将最佳检测率降至43%使其完全失效。据我们所知，这是首个针对被视为防御性水印未来方向的语义水印的实用攻击。本研究证明防御性水印无法有效抵御深度伪造，我们呼吁学术界探索替代方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a005/21B7PYmgSv6

93、Understanding the Efficacy of Phishing Training in Practice

本文通过实证研究评估了两种普遍采用的企业安全培训形式的有效性：年度网络安全意识培训和嵌入式反钓鱼培训演练。具体而言，我们分析了一项为期8个月的随机对照实验结果，该实验向某大型医疗机构的19,500余名员工发送了十次模拟钓鱼攻击。研究结果表明，这些培训措施的实际效果有限。首先，我们发现用户近期是否完成网络安全意识培训与其在钓鱼模拟测试中的失败概率无显著关联。其次，在评估嵌入式钓鱼培训接受者时，发现经过培训与未培训用户之间的失败率绝对差异在各种培训内容中均极低。第三，我们观察到大多数用户在真实环境中与嵌入式钓鱼培训材料的互动时间极少；且对于某些特定类型的培训内容，接受并完成更多培训实例的用户反而可能在后继钓鱼模拟中表现出更高的失败概率。综合来看，当前普遍部署的反钓鱼培训项目在降低钓鱼风险方面难以提供显著的实用价值。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a076/21B7RjYyG9q

94、VerITAS: Verifying Image Transformations at Scale

验证图像来源已成为重要课题，尤其在新闻媒体领域。为应对这一问题，内容来源与真实性联盟（C2PA）制定了依赖相机数字签名的图像来源验证标准。然而照片在发布前通常经过编辑，仅凭已发布的编辑后图像无法验证原始照片的签名。本研究提出VerITAS系统，利用零知识证明（zk-SNARKs）验证签名照片仅经过特定编辑操作。尽管已有研究实现照片编辑证明，VerITAS首次支持实际大尺寸图像（3000万像素）的验证。实现这一突破的核心创新是设计新型证明系统，可对海量见证数据中的有效签名进行知识证明。我们在比先前研究大一个数量级的实际尺寸图像上进行实验：对于计算能力较弱的签署方（如相机），可在13分多钟内为90MB图像生成有效编辑证明，AWS成本约0.54美元/张；对于高性能签署方，仅需3分多钟，成本降至0.13美元/张。两种场景下验证时间均不足1秒。本技术方案可广泛应用于需要证明海量签名私有数据被正确实施高效转换的场景。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a097/22K50u66Ge4

95、Verifiable Boosted Tree Ensembles

可验证学习致力于训练适用于高效安全验证的机器学习模型。先前研究表明，一类特殊的决策树集成模型——称为大间隔集成——可在多项式时间内完成针对任意基于范数攻击者的鲁棒性验证。本研究将可验证学习的研究范畴从基于硬多数投票的基础集成方法，扩展至最先进的提升树集成方法（如通过XGBoost或LightGBM训练的模型）。形式化分析表明：当攻击者基于Z_L∞范数时，大间隔提升集成的鲁棒性验证可在多项式时间内完成；但对于其他基于范数的攻击者，该问题仍为NP难问题。尽管如此，我们提出了一种伪多项式时间算法，可验证针对Z_Lp范数攻击者的鲁棒性（其中Z_p∈\N∪{0}），该算法在实际应用中表现出卓越性能，其验证方法在分析时效上超越了现有技术水平。在公开数据集上的实验评估表明，大间隔提升集成模型兼具实用级精度与高效安全验证特性。此外，我们的技术可扩展至具有挑战性的安全数据集，并能处理先前研究中提出的相关安全属性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a022/21B7QdnSnoQ

96、Verifiable Secret Sharing Simplified

可验证秘密共享（VSS）是密码学领域的基础构件。尽管其重要性已得到广泛研究，但现有VSS协议往往复杂低效。多数方案既不支持双阈值，也缺乏公开可验证性，或在异步网络中无法正确终止。本文提出一种设计同步与异步网络VSS协议的全新简明方法：我们的VSS协议具备最优容错能力——可分别抵御同步网络中1/2和异步网络中1/3的恶意节点，仅需依托离散对数难题与公钥基础设施即可实现。该协议支持双阈值特性，且共享过程全程公开可验证。我们在跨地域分布式环境中对协议进行了256节点规模的实现评估，结果表明：在保持与现有无此特性方案相当性能的同时，本协议兼具异步终止与公开可验证优势。与具备相似保障的现有方案相比，本方法可降低高达90%的带宽消耗与延迟。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a046/21B7QyuIMak

97、Volatile and Persistent Memory for zkSNARKs via Algebraic Interactive Proofs

在可验证外包计算中，不可信的服务器执行一项昂贵计算，并为结果生成简洁证明（称为SNARK）。许多场景下，该计算会访问一个RAM：服务器可能维护其承诺（持久化RAM），或该RAM初始为零值（易失性RAM）。然而，此类场景的SNARK性能受限于现有RAM验证技术的高昂开销。我们针对易失性RAM、持久化RAM及稀疏持久化RAM开发了新型证明方案，显著降低了SNARK生成时间。研究成果包含渐进性与实质性改进——持久化RAM的证明时间最高缩短51.3倍。研究过程中，我们运用了两项可能具有独立价值的工具：首先，我们将现有构造推广为通用框架，可将任何代数交互式证明（AIP）转化为SNARK。AIP是一种非简洁的公开掷币交互证明，其验证过程由算术电路完成。其次，我们应用多项式贝祖定理构建了新颖的AIP方案，用于验证唯一性与不相交性，这对证明不同地址访问的独立性至关重要。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a054/21B7R0YQXtK

98、Watermarking Language Models for Many Adaptive Users

零比特水印语言模型生成的文本与底层模型输出无异，但可通过密钥被检测为机器生成。然而仅能识别AI生成的垃圾信息（例如）并不能阻止未来滥用行为。若进一步将文本溯源至垃圾信息发送者的API令牌或账户，我们便可切断其访问权限或采取法律行动。此外，现有方案在对抗性自适应提示选择下缺乏可证明的保障。我们提出多用户水印方案，即使在自适应提示攻击下，仍能将模型生成文本追踪至个体用户或共谋用户群组。该方案基于不可检测、自适应、零比特水印系统构建（我们同时证明了Christ、Gunn和Zamir提出的不可检测零比特方案具备抗自适应提示的鲁棒性）。关键创新在于同步提供零比特与多用户双重保障：对短文本片段保持与原方案相同的检测能力，对长文本实现个体级溯源。在此过程中，我们提出一种通用架构，可将长消息嵌入生成文本。这是首个语言模型水印方案间的黑盒归约方法。

研究面临的核心挑战是缺乏统一的鲁棒性抽象框架——即经编辑后的标记文本仍可被检测。现有工作基于对语言模型输出和用户编辑的特殊要求，提供不可直接比较的鲁棒性保证。我们提出称为AEB-鲁棒性的新统一框架，其核心在于：只要编辑文本"充分近似足够多的"模型生成输出块，水印即可被检测。通过明确定义"近似"、"足够多"和"块"三个要素来具体化鲁棒性条件。基于该抽象框架，我们以黑盒方式将消息嵌入方案和多用户方案的鲁棒性关联至底层零比特方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a084/21B7RqlGjde

99、You Can’t Judge a Binary by Its Header: Data-Code Separation for Non-Standard ARM Binaries using Pseudo Labels

静态二进制分析对于漏洞发现和恶意软件检测等各类安全任务至关重要。近年来，随着物联网（IoT）和工业控制系统（ICS）厂商持续推出定制化或非标准二进制格式（现有工具难以直接处理），二进制分析面临新的挑战。逆向解析每种新格式成本高昂，需要大量专业知识和分析人员时间投入。本文研究了自动化分析非标准二进制文件的第一步——识别字节流中的"代码"与"数据"（即数据代码分离）。我们提出Loadstar系统，其核心思想是利用标准二进制文件中丰富的标注数据训练分类器，并将其适配于处理未标注的非标准二进制文件。我们采用基于伪标签的领域自适应方法，并利用知识启发的规则进行伪标签校正，为自适应过程提供防护机制。该系统关键优势在于无需对任何非标准二进制文件进行标注。通过三个非标准PLC二进制数据集评估表明，Loadstar在准确性和处理速度上均优于现有工具。我们将向社区开源该工具。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a036/21B7QpveAHC

100、Zero-Knowledge Location Privacy via Accurate Floating-Point SNARKs

我们提出零知识位置隐私（ZKLP）方案，使用户能向第三方证明自己处于特定地理区域，同时不泄露精确位置信息。该方案支持多级地理粒度，可根据应用场景灵活定制。为实现ZKLP，我们首次开发出完全符合IEEE 754浮点运算标准的零知识证明（ZKP）电路组。实验表明我们的浮点电路具有高效摊销特性，单精度浮点乘法运算在2^15次操作中仅需64个约束条件。基于该浮点实现，我们构建了ZKLP范式。相比基准方案，优化实现的单精度浮点值约束量降低15.9倍，双精度浮点值约束量降低12.2倍。为验证ZKLP实用性，我们开发了隐私保护的点对点邻近性检测协议——Alice通过接收单条消息即可检测与Bob的邻近性，双方均无需透露其他位置信息。在该场景下，Bob生成邻近性（非邻近）证明仅需0.26秒，而Alice每秒可验证与约470个对等节点的距离。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a057/21B7R3HsGK4

101、“It’s time. Time for digital security.”: An End User Study on Actionable Security and Privacy Advice

数字安全建议是许多研究的焦点，但结果不尽如人意：终端用户并未遵循专家的安全建议，且用户与专家都难以对现有建议进行优先级排序。多项研究表明，海量的安全建议令用户不堪重负，并提出了改进建议的方案。然而，我们仍不清楚如何有效传递安全建议。受日常习惯类应用启发，我们开发了30条简短可行的安全建议集，以及一款名为"安全助手"的安卓应用，旨在降低用户认知负担并培养安全习惯。通过为期30天的在线终端用户研究（N=74），我们评估了建议集的可操作性、用户采纳度以及应用对安全意识和行为的影响。结果表明，该应用是向终端用户传递安全建议的有效工具：参与者认为大多数任务易于理解、便于执行且实用有效，研究证实应用确实能促使用户形成安全行为。本研究为未来安全建议研究、安全习惯培养及有效行为教学提供了基础。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a100/22K50wcoyVG

102、“I’m pretty expert and I still screw it up”: Qualitative Insights into Experiences and Challenges of Designing and Implementing Cryptographic Library APIs

密码学库是软件系统中至关重要的安全组件，但其误用已导致多起安全事件。已有研究表明，密码学库的误用现象普遍存在，开发者难以正确使用其API接口。然而，目前关于密码学库API设计与实现决策的形成过程仍属未知领域。为探究密码学库API设计实现过程中的决策机制与相关挑战，我们对21位资深密码学库开发者进行了半结构化访谈，并通过主题分析法识别出核心议题与共性挑战。研究发现：设计决策涉及多层级抽象概念，且深受密码学标准、其他库实现、遗留代码及开发者直觉的影响；开发者在确定密码学API抽象层级时面临平衡安全性、易用性与灵活性的挑战，且缺乏系统化知识来界定易用性标准并实现这种平衡，因而主要依赖自主可用性测试、个人经验与主观判断。基于研究发现，我们提出具体建议以推动未来研究，为密码学库API设计与实现决策提供更完善的实证支撑。此外，我们主张将基于研究的可用性指南纳入密码学标准化进程，从而尽早促成社区讨论，更好地支持构建安全、易用且灵活的密码学库API。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a026/21B7QgMMl2M

103、“Not the Right Question?” A Study on Attitudes Toward Client-Side Scanning with Security and Privacy Researchers and a U.S. Population Sample

数十年来，执法部门与隐私倡导者始终难以在监控与隐私问题上达成共识，引发了所谓的"加密战争"。2021年苹果公司宣布计划实施客户端扫描（CSS）技术，作为检测已知儿童性虐待材料（CSAM）的隐私保护折衷方案时，遭遇了强烈反对——尤其是来自IT专家的抵制，导致该计划数周内即被撤回。然而ECPAT针对欧洲人口的调研[1]与Geierhaas等人对德国人口的研究[2]显示，尽管存在顾虑，多数受访者仍表示支持使用CSS检测CSAM。这凸显出"大众"与"专家"之间可能存在的认知差异。为深入探究各方对CSS的不同态度，我们从两个维度拓展了Geierhaas的研究：首先在两大顶级信息安全会议（可用隐私与安全研讨会SOUPS及USENIX安全研讨会）上对19位IT安全与隐私学者进行定性访谈；其次采用年龄、性别和地域具有代表性的美国样本复现了德国问卷调查，既为考察德美文化差异，也为将美国公众观点与访谈研究形成对照。本文系统分析了德美样本间的关键异同，并与研究人员的专业观点进行对比。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a086/21TfeqTKdJC

104、“We can’t change it overnight”: Understanding Industry Perspectives on IoT Product Security Compliance and Certification

近期，监管机构与标准组织针对物联网产品提出了多项安全合规倡议。这些新兴标准与法规试图通过合规认证为物联网产品提供安全保障。然而，即便经过认证的物联网产品仍暴露出普遍漏洞，这表明认证生态系统中存在潜在挑战。本文首次采用定性访谈研究方法（样本量17人），通过采访物联网从业者来理解行业对产品安全认证的认知与实践经验，从而揭示阻碍物联网产品认证标准有效实施与采纳的潜在因素及挑战。通过对访谈文本的反思性主题分析，我们提炼出16项关键发现，揭示了实践中影响合规执行的核心因素。最终将这些发现与观察归纳为4大主题，它们代表了要使产品认证在物联网领域切实可行所必须解决的关键缺陷。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a091/224Aon4Ntny