网络安全顶会——SP 2025 论文清单与摘要（下）

181、Machine Learning with Privacy for Protected Attributes

差分隐私（DP）已成为私有数据分析的标准方法。某些机器学习应用仅需对特定受保护属性提供隐私保护。在此类场景中直接使用差分隐私的原始变体会导致模型效用不必要的下降。本研究通过改进DP定义，构建了一个更通用灵活的框架——特征级差分隐私（FDP）。我们的模拟式定义同时支持添加/删除与替换两种隐私变体，并能处理受保护与非保护特征的任意自适应划分。我们证明了FDP的特性（如自适应组合），并阐明了其对限制属性推断攻击的意义。此外，我们改进标准DP-SGD算法使其满足FDP要求，同时保留子采样放大等优良特性。通过在多种机器学习任务中应用该框架，我们证明当存在公共特征时，FDP能显著提升DP训练模型的效用。例如在AFHQ动物面部数据集上训练扩散模型时，假设训练图像的模糊版本可作为公共特征，FID指标从DP的286.7大幅提升至101.9（Z_ε=8）。总体而言，本研究为私有数据分析提供了新范式，在保持强隐私保障的同时有效降低了DP的效用代价。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c417/26hiUUSxJNm

182、Make a Feint to the East While Attacking in the West: Blinding LLM-Based Code Auditors with Flashboom Attacks

基于大语言模型（LLM）的漏洞审计工具（如GitHub Copilot）在自动化代码分析领域实现了重大突破，能够精准检测安全漏洞。本文研究了一种通过转移LLM注意力机制聚焦点来规避此类审计工具的方法——通过设计使其注意力偏离真实漏洞代码段。这类基于LLM的审计工具本应通过注意力机制锁定潜在脆弱代码区域以识别安全问题。我们提出的方案是在被审查代码库中植入高注意力代码片段（专为吸引焦点设计的代码块），通过策略性转移模型对真实漏洞的关注，该技术能有效"致盲"LLM，导致漏检。

为实现规模化攻击，我们开发了Crazy-Ivan自动化系统，该系统能识别并无缝植入高注意力代码片段，将审计焦点从真实漏洞转移至诱饵函数。通过系统化的函数级优先级排序与优化，Crazy-Ivan可强化致盲效果，最终生成能削弱模型真实风险检测能力的Flashboom攻击样本。实验评估证实了Flashboom的有效性：在CodeLlama模型上实现96.3%的致盲成功率，在Gemma模型上达83.05%，且具有显著的跨模型迁移能力和多编程语言适用性。在GitHub Copilot的案例研究中，Flashboom导致该工具漏检了一个关键区块链漏洞，这既凸显了注意力转移攻击的安全威胁，也暴露出单纯依赖LLM自动化审计系统的风险。我们已向相关LLM代码审计厂商提交研究发现，对方确认问题存在并正在着手修复。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a539/26hiTMIdqiA

183、MatriGear: Accelerating Authenticated Matrix Triple Generation with Scalable Prime Fields via Optimized HE Packing

SPDZ协议族是主动敌手环境下非诚实多数参与方安全多方计算（MPC）的流行选择。过去十年间，一系列研究聚焦于改进其离线阶段——该阶段负责生成称为认证三元组的特殊加法份额。然而，为满足安全机器学习中矩阵运算与分布式RSA密钥生成中大整数算术的新需求，离线阶段亟需升级。本文提出新型SPDZ离线阶段协议TopGear 2.0，该协议改进了现有最优构造TopGear（Baum等人，SAC '19）及其矩阵三元组变体（Chen等人，Asiacrypt '20）。我们的协议旨在加速矩阵三元组生成，并支持更大规模素数域（最高4096位）。为此，我们设计了BFV方案的变体及专为此优化的新型同态矩阵乘法算法。实验表明：在1024位素数域中生成标量三元组速度提升约3.6倍，生成128×128矩阵三元组速度提升约34倍。此外，评估密钥体积从27.4 GB降至0.22 GB，MAC密钥生成的通信开销从816 MB降至16.6 MB。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c249/26hiUP0mnUA

184、MicroNova: Folding-based arguments with efficient (on-chain) verification

我们介绍了MicroNova的设计与实现，这是一种基于折叠的递归论证方案，用于生成增量计算证明，其形式为Z_y = F^{(\ell)}(x)y=F(ℓ)(x)Z。其中Z_F_Z表示可能非确定性的计算（通过R1CS等约束系统编码），Z_x_Z为初始输入，Z_y_Z为输出，且Z\ell > 0_Z。该方案逐步生成Z\ell_Z步计算的证明，其证明大小和验证时间均与Z\ell_Z无关。最终迭代的证明会被进一步压缩，以实现更优的证明大小和验证时间简洁性。与现有基于折叠的论证方案相比，MicroNova的显著特点是验证者具备极高的实际效率——即使在以太坊区块链等资源受限环境中。具体而言，压缩后的证明仅包含Z_O(\log{N})Z个群元素，验证过程仅需Z_O(\log{N})_Z次群标量乘法和两次配对运算，其中Z_N_Z表示单次Z_F_Z调用的约束数量。MicroNova需要通用的可信设置，并能兼容现有为KZG单变量多项式承诺方案创建的所有设置材料。最后，我们实现了MicroNova并进行了实验评估。结果表明，MicroNova的证明可在以太坊区块链上以约2.2M gas高效验证，且其证明生成器在基线Nova方案上的开销极低。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b835/26hiUz9nuta

185、Mind the Location Leakage in LEO Direct-to-Cell Satellite Networks

近年来，利用近地轨道（LEO）直连卫星（DTC）直接为地面手机提供通信服务的模式日益普及。然而，空对地通信中无线介质的独特特性，结合近地卫星的动态运行轨迹，催生了一种新型隐私泄露风险——攻击者通过窃听DTC广播信号可窃取活跃用户的物理位置。本文研究了新兴近地轨道直连卫星网络（DCSN）中位置信息泄露风险的分析技术，提出新型定位泄露分析工具DCator。该工具持续监控广播信道中的DTC信令消息，提取多维位置线索，并结合时变卫星轨道数据来推断活跃用户的实际位置。我们运用DCator模拟攻击者在三种典型DCSN场景（运营中的铱星系统、开发中的星链DTC系统、基于最新3GPP NTN标准的DCSN系统）中持续监控并处理广播DTC信令以推导同卫星覆盖范围内其他用户位置的后果。大量实验证明现实DCSN中确实存在位置泄露问题，最严重情况下攻击者可精准追踪数百米范围内其他用户的位置轨迹。最后，我们为DCSN提出了隐私增强防护方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b026/26hiU4FcBjy

186、Mixnets on a tightrope: Quantifying the leakage of mix networks using a provably optimal heuristic adversary

混洗网络被广泛认为能够隐藏个体的通信元数据。我们揭示了在设计混洗网络拓扑结构和路由策略时存在的诸多隐患，尤其是选择低延迟混洗网络时。本文提出了一种实证评估此类元数据泄漏的工具，并证明该工具能精确估算接收者匿名性的泄漏程度——其误差仅由采样过程引入。首先，我们提出了一种新颖的通用攻击策略，并证明该策略在破坏接收者匿名性方面具有理论最优性。与先前研究不同，我们的攻击策略通过所谓"隐私损失"量化了每次观测所泄露信息的严重程度。其次，该工具通过大规模采样观测数据，为攻击者对抗接收者匿名性的优势提供了下限：当检测到大量高隐私损失的观测值时，工具会通过计算隐私损失分布尾部的质量下限，输出泄漏量的下限值。基于现有文献，我们分析了Karaoke和Atom协议的拓扑结构与路由策略，量化了其元数据泄漏边界，并根据分析结果提出了改进建议。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600e106/26hiW5O2aJ2

187、Modifier Unlocked: Jailbreaking Text-to-Image Models Through Prompts

文本到图像模型前所未有的图像生成能力使其成为一把双刃剑。这些模型虽能让用户通过简单提示创作精美图像，却也给攻击者提供了生成不良内容（即越狱攻击）的可乘之机。尽管内置安全过滤器作为缓解措施，其漏洞及相关的安全隐患仍不容忽视。本研究提出ModX——首个基于修饰词的文本到图像模型越狱攻击框架。ModX采用启发式算法，通过两种启发函数（约束条件）识别修饰词，通过调整艺术流派微妙引入不安全元素，使生成图像趋向不良内容。该方法利用过滤器不太可能拒绝特定风格或艺术形式图像的特点，有效诱导模型生成不良内容。我们通过理论分析验证了基于修饰词的越狱可行性，并通过实验证明了ModX的有效性。结果显示，ModX在四种前沿文本到图像模型上的越狱成功率超越现有方法。此外，我们在更多不良内容类别、模型及版本上评估ModX，证明了其强大的可扩展性和泛化能力。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a355/26EkESqqGlO

188、Mon CHÉRI: Mitigating Uninitialized Memory Access with Conditional Capabilities

在C和C++等语言中，高达10%的内存安全漏洞源于未初始化变量。本研究针对未初始化内存问题的普遍性及现有软件缓解措施的不足，提出了硬件层面的架构级防护方案。基于能力寻址的技术（如剑桥大学的CHERI）已在架构层面有效缓解包括空间与时间安全性违规在内的多种内存缺陷，但无法处理未初始化变量导致的未定义行为。我们扩展了CHERI能力模型，引入"条件能力"机制，支持基于历史操作的存储器访问策略。该机制可强制实施"内存写入前禁止读取"（写先于读）等满足内存安全目标的策略。我们详细介绍了架构扩展方案、编译器支持，并在QEMU全系统模拟器与基于FPGA改进的CHERI-RISC-V软核上完成全面评估。实验表明条件能力机制具有实用性：在检测准确率保持高位的同时，仅产生约3.5%的性能开销，与基础CHERI能力的成本相当。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a791/26hiTWeltII

189、Myco: Unlocking Polylogarithmic Accesses in Metadata-Private Messaging

随着数十亿人依赖端到端加密通信，通信时间和参与者关系等元数据的暴露仍在持续削弱用户的匿名性。传统上，具备强加密保障的异步元数据隐藏方案因依赖私有信息检索（PIR）技术，其服务器计算复杂度始终受限于用户数量N的平方阶O(N²)。我们提出Myco系统——一种在保持强加密保障的同时，实现O(N log² N)效率的元数据私密通信框架。该方案摒弃了PIR技术，创新性地引入了一种 oblivious 数据结构来实现收发双方隐私通信。为彻底解耦读写操作，Myco采用非对称双服务器的分布式信任模型：客户端将消息写入负责 oblivious 传输的服务器A，再由服务器B向客户端提供读取服务。实测表明，Myco相比基于PIR的多服务器最优方案提升302倍吞吐量，较单服务器系统提升2,219倍。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600e087/26hiW3jkMPS

190、Not All Edges are Equally Robust: Evaluating the Robustness of Ranking-Based Federated Learning

联邦排名学习（FRL）是一种先进的联邦学习框架，以其通信高效性和对投毒攻击的强韧性著称。该框架与传统联邦学习存在两大差异：1）采用离散排名而非模型更新进行协作，大幅降低通信成本并压缩恶意更新的潜在空间；2）在服务器端通过多数表决机制确定全局排名，由于每个客户端仅贡献单次投票，个体更新影响极为有限。这些特性提升了系统可扩展性，使FRL成为极具前景的联邦学习范式。然而，我们的分析表明FRL并非天然鲁棒，某些特定边对投毒攻击尤为脆弱。通过理论探究，我们证明了这些脆弱边的存在性，并为每层脆弱边的识别建立了上下界。基于此发现，我们提出一种新型针对FRL的本地模型投毒攻击——脆弱边操纵（VEM）攻击。该攻击通过识别并扰动每层最脆弱边，结合基于优化的方法实现攻击效果最大化。在基准数据集上的大量实验表明，我们的攻击总体影响率达到53.23%，攻击效果是现有方法的3.7倍。本研究揭示了基于排名的联邦学习系统存在重大安全漏洞，亟需开发新型鲁棒联邦学习框架。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c527/26EkGiHG8pO

191、OPERA: Achieving Secure and High-performance OLAP with Parallelized Homomorphic Comparisons

全同态加密（FHE）在在线分析处理（OLAP）系统中的采用日益广泛，以防范数据泄露。然而，现有基于FHE的OLAP系统在处理FHE密文查询时必须顺序执行计算密集型的同态比较操作，导致性能显著低于传统OLAP系统。我们提出OPERA——首个基于GPU的高性能FHE型OLAP系统。通过观察从头重复执行同态比较的冗余性，我们设计了HOMCACHE来创建GPU加速的并行查询执行流程：OPERA选择性缓存比较结果，允许后续比较复用这些结果，从而降低单次比较的计算开销，并支持在GPU上并发执行多个比较。然而，由于FHE密文体积庞大，HOMCACHE可能急剧膨胀，若直接套用传统面向明文的缓存管理策略（如LRU）会导致性能欠佳。为确保稳定的高性能，我们开发了专用于管理HOMCACHE中密文的密度驱动算法。与运行在CPU上的主流基线系统相比，OPERA在1.2GB缓存存储条件下将查询延迟降低高达9612倍，且不影响安全性。OPERA的源代码、完整基准测试套件及原始结果详见github.com/hku-systems/Opera。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c156/26hiULvMrFm

192、On the (In)Security of LLM App Stores

大型语言模型（LLM）应用商店的迅猛发展催生了大量定制化LLM应用，但这一扩张也引发了安全隐患。本研究提出三层风险框架以识别LLM应用的潜在安全威胁，包括：具有滥用潜力的LLM应用、存在恶意意图的LLM应用以及植入后门的LLM应用。在五个月期间，我们从GPT Store、FlowGPT、Poe、Coze、Cici和Character.AI六大应用商店收集了786,036个LLM应用。研究结合静态与动态分析，采用自优化基于LLM的有害内容检测器与基于规则的模式匹配互补方法识别违规内容，并构建了包含31,783个条目的大规模敏感词库（ToxicDict）。通过该方法，我们发现15,414个应用存在误导性描述，1,366个应用违反隐私政策收集敏感个人信息，15,996个应用生成仇恨言论、自残、极端主义等有害内容。此外，我们评估了LLM应用助长恶意活动的可能性，发现616个应用可被用于生成恶意软件、网络钓鱼等行为。相关风险已向OpenAI、Quora等平台披露并获得官方认可。截至本文提交，GPT Store已下架1,643个违规应用，各平台正在持续核查标记应用。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600f298/26hiTDjKxoc

193、On the Conflict between Robustness and Learning in Collaborative Machine Learning

协作式机器学习（CML）允许参与者在保持训练数据私密性的前提下共同训练机器学习模型。在诸多将CML视为隐私问题解决方案的场景（如医疗健康应用）中，安全性同样至关重要。为确保CML流程产生的模型能输出正确可靠的决策——即使在存在潜在不可信参与者的情况下，研究者提出采用鲁棒聚合器来过滤对训练过程产生负面影响的恶意贡献。本文证明文献中两种主流鲁棒聚合器无法在保障学习效果的同时消除安全风险：参与者若要从协作中获益，就必须始终承担遭受有害对抗性操纵的风险。因此，这些鲁棒聚合器不适用于医疗健康或自动驾驶等高风险领域——此类应用中错误可能导致物理伤害。我们通过实验验证了理论发现，选取现有鲁棒聚合器和相关应用进行实证，包括端到端案例研究：结果表明使用现有鲁棒聚合器可能导致医疗误诊，或致使自动驾驶车辆错过转弯路口。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c171/26EkG4wS1I4

194、On the Effectiveness of Prompt Stealing Attacks on In-The-Wild Prompts

大型语言模型（LLM）的兴起催生了对高质量提示词的需求，这类提示词现已成为提示词交易市场中的高价值商品。然而，这种需求也引发了提示词窃取攻击的出现——攻击者试图通过模型生成内容反推原始提示词，威胁着相关市场的知识产权与商业模式。现有研究主要基于学术数据集评估提示词窃取攻击，但核心问题仍未解决：此类攻击是否真正威胁到现实用户精心设计的真实场景提示词？本文首次系统研究了针对真实场景提示词的窃取攻击效果。分析表明，真实场景提示词在长度、语义和主题方面与学术数据集存在显著差异。评估结果显示，现有攻击方法在此类场景下表现欠佳。为提升攻击效果，我们采用基于文本梯度的方法迭代优化提示词以更精准复现输出内容，使得提示词还原的METEOR分数从0.207提升至0.253，输出还原分数从0.323提升至0.440。尽管取得这些进展，我们证明其仍存在本质性挑战，这凸显了未来需进一步研究以提升实际场景中提示词窃取攻击的效能评估。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a392/26hiTFMb8eQ

195、Open Sesame! On the Security and Memorability of Verbal Passwords

摘要——尽管关于文本密码的研究已十分广泛，但语音密码（通过口述而非键入）的安全性与可记忆性仍缺乏深入探索。语音密码在键盘输入不可行（如智能音箱、可穿戴设备、车载系统）或用户存在运动障碍难以打字的情景中具有重要潜力。通过两项大规模用户研究，我们评估了语音密码的可行性。在第一项研究（N=2,085）中，发现自由设定的语音密码猜测空间有限，39.76%的密码在10^9次猜测内被破解。而在第二项研究（n=600）中，采用最小词数要求和禁用词表策略的语音密码创建方案显著提升了性能，其可记忆性和安全性均优于传统文本密码。具体而言，在长期测试中，65.6%的语音密码用户（采用最小词数+禁用词表策略）成功回忆出密码，而文本密码用户仅为54.11%。此外，采用强制策略的语音密码破解率（6.5%）低于文本密码（10.3%）。这些发现表明，在文本密码不可行的场景中，语音密码是一种实用且安全的替代方案，既能保持高可记忆性，又能有效抵抗猜测攻击。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a683/26hiTSjmQnu

196、Ownership and Gatekeeping vs. Safeguarding and Consent: How Migrant Parents Navigate Child Data Management Complexities

赴海外寻求发展机会的父母们，日益面临着在全新文化和法律环境中抚养子女的挑战。这一责任包括遵守陌生法规和保护子女数据——这些任务往往复杂且艰巨。本研究探讨移民父母如何认知、管理和保护与子女相关的数据。通过对英国17位移民父母及监护人的访谈，我们揭示了关于数据所有权与管理不断演变的微妙观点。移民父母对数据失控表现出深切忧虑，既担心本地共享数据被滥用，也害怕海外亲属误用信息可能伤害子女或危及移民身份。我们分析了他们在应对数据所有权与同意概念变迁时的管理策略与方法。研究发现强调，亟需提供文化适应性支持以协助移民家庭保护子女数据，同时为跨境数据共享的复杂性及其影响等未来研究方向提供了指引。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c023/26hiUFVLq6I

197、PEFTGuard: Detecting Backdoor Attacks Against Parameter-Efficient Fine-Tuning

微调是提升大语言模型（LLM）在特定领域性能的关键过程，其中参数高效微调（PEFT）因通过集成低秩适配器降低计算需求而广受欢迎。诸如LoRA的轻量级适配器可在开源平台共享使用，但攻击者可能利用该机制向适配器注入后门，导致错误或有害输出等恶意行为，对社区构成严重安全威胁。目前鲜有研究专注于分析适配器后门模式或检测其潜在后门。为此，我们率先构建并发布PADBench——一个包含13,300个良性及后门适配器的综合基准库，涵盖多样化数据集、攻击策略、PEFT方法与LLM组合的微调结果。此外，我们提出首个针对PEFT适配器的后门检测框架PEFTGuard。基于PADBench的大规模评估表明，PEFTGuard在多数情况下能以近完美准确率（100%）超越现有检测方法，并在攻击方式、PEFT方法及适配器秩三个维度上展现出零样本迁移能力。通过多种自适应攻击验证，PEFTGuard表现出极高鲁棒性。我们进一步探索多种后门缓解防御方案，发现细粒度混合方法最为有效。本研究期望通过基准库与检测框架为未来LLM后门检测研究提供启示。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b620/26hiUqOcltC

198、PFORTIFIER: Mitigating PHP Object Injection through Automatic Patch Generation

PHP对象注入（POI）漏洞会导致PHP应用中类方法被意外执行，进而引发多种攻击。与此同时，为POI漏洞设计有效补丁需要耗费大量工程精力。现有研究主要集中于POI利用链的检测，而自动补丁生成仍是尚未充分探索的领域。本研究通过实证分析已知利用链，发现攻击者通常通过跳转到开发者未考虑的代码路径来构造利用链。这些被意外跳转执行的方法被称为潜在方法（PM）。基于此发现，我们提出了自动生成POI补丁的框架PFORTIFIER。该框架分两阶段运行：(i)利用链检测阶段：通过模拟PHP应用执行过程，识别将攻击者可控对象传递至危险接收器的利用链；(ii)补丁生成阶段：通过限制第一阶段检测到的PM跳转行为自动生成POI补丁。我们在31个PHP应用和框架上评估PFORTIFIER，实验结果表明其有效性：能为52.53%的利用链生成精准补丁，为45.45%的链提供潜在补丁方案，总体利用链覆盖率达97.98%。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a918/26hiU0IeM3S

199、PGUS: Pretty Good User Security for Thick MVNOs with a Novel Sanitizable Blind Signature

5G技术的兴起凸显了厚移动虚拟网络运营商（Thick MVNO）在提供定制化移动服务中的关键作用。然而，针对Thick MVNO特有的安全与隐私挑战仍未得到充分解决。本文提出面向Thick MVNO的PGUS（Pretty Good User Security）安全框架，其中创新性地引入了可净化盲签名（Sanitizable Blind Signature, SBS）这一密码学原语，并设计了名为PGUS-AKA的新型认证与密钥协商协议。此外，我们还开发了无缝切换协议PGUS-HO，旨在保障Thick MVNO环境中的所有通信安全。通过通用可组合（Universal Composability, UC）框架下的严格形式化安全分析，我们针对核心威胁提出了可靠解决方案，为下一代移动网络安全提供有力保障。基于5G测试平台的评估结果验证了PGUS框架的有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b102/26hiU7onwQ0

200、Papercraft: Lattice-based Verifiable Delay Function Implemented

可验证延迟函数（VDF）需要按指定顺序执行若干计算步骤才能完成运算，但其输出结果的有效性可被高效验证，且验证速度远快于从头重新计算该函数。VDF是一种多功能密码学工具，在区块链共识协议、抽签系统和可验证随机数等诸多工业场景中具有广泛应用。然而目前所有已知的实用VDF方案无一例外均能被量子算法攻破。本研究探索了具有后量子安全潜力的VDF的实用性，提出完全基于格密码技术（因而具备后量子安全潜力）的VDF实现方案Papercraft。该方案基于对格基简洁论证系统的新发现，结合多项底层优化，首次实现了可在现有硬件上运行的格基VDF。例如，我们的Papercraft实现仅需7秒即可验证近6分钟的计算结果。本研究表明格基VDF不仅具有理论价值，更具备实际部署的可行性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b510/26hiUmjaECc

201、Peer2PIR: Private Queries for IPFS

星际文件系统（IPFS）是一种在分布式文件系统中存储数据的点对点网络，覆盖152个国家、拥有超过19万个节点。尽管其地位显著，IPFS为节点提供的隐私保护机制却存在严重局限——网络内的任何查询都会向其他节点泄露查询内容。我们针对IPFS在三大核心功能（节点路由、资源广告和内容检索）中的隐私泄露问题提出解决方案，最终使节点能够以隐私保护的方式在网络中导航并获取内容。本研究揭示并解决了在分布式系统中整合私有信息检索（PIR）技术时特有的新挑战，提出全新隐私协议，证明其通信与计算开销保持在合理较低水平，并对分布式系统环境下最先进的PIR协议进行了系统性对比。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600e068/26hiW14wWek

202、Permissionless Verifiable Information Dispersal (Data Availability for Bitcoin Rollups)

Rollup是一种运行在分布式状态机（即区块链）上的特殊应用，底层状态机仅记录交易而不执行交易。Rollup通过采用比底层区块链具有更高吞吐量和更低交易执行成本的辅助机器来提升扩展性。状态更新会定期提交至底层区块链，并通过简洁加密证明直接验证（零知识Rollup），或在规定时间内接受第三方以可验证方式发起挑战（乐观Rollup）。然而当计算瓶颈被突破后，通信很快成为新的性能制约因素。底层区块链除验证功能外，其核心服务是数据可用性保障——确保必要数据在请求时总能被恢复。虽然广播交易数据是实现该目标的一种方式，但这种方式需要随参与节点数量线性增长的通信开销。在以太坊这类所有节点均具备强公钥身份认证的模型中，可验证信息分散（VID）系统能实现亚线性开销增长。但在比特币这类无许可模型中，由于参与者是未经认证的动态群体，此前尚未找到实现方案。我们构建了一个在比特币相同模型下安全的VID系统，仅需额外满足"存在可靠参与者"这一最低要求。该系统将状态机复制协议（如比特币）作为黑盒使用，因而具有向后兼容性。我们在比特币核心的回归测试网络（regtest）上实现了该系统，分析表明对于特定参数选择，其通信成本和延迟可分别降低超过1,000倍和10倍。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b983/26EkFXhOBW0

203、Post-quantum Cryptographic Analysis of SSH

安全外壳（SSH）协议是互联网上首批升级自身以抵御未来量子计算机攻击的安全协议之一，自2022年4月起，OpenSSH默认采用了“量子安全（或经典安全）”的混合密钥交换机制。然而，文献中缺乏对这一抗量子版本SSH的全面安全分析：现有研究要么孤立地探讨混合密钥交换而未考虑整体协议安全性，要么在不适用于SSH的安全模型（尤其是“后量子”场景）中进行分析。本文通过系统性的后量子密码学分析弥补了这一空白。我们采用“自上而下”的研究方法：首先在更贴合SSH特性的模型（即我们对认证保密信道建立ACCE协议安全模型的后量子扩展）中证明协议安全性，该扩展模型能捕获“先窃取后解密”攻击，可能具有独立研究价值；其次基于协议层ACCE安全分析，确立SSH底层密码原语在实际部署中的具体安全性——例如在量子随机预言模型下，证明了OpenSSH与TinySSH最新版本采用的密钥封装机制（KEM）“流线型NTRU Prime”的相关密码学性质，并解决了文献中关于其分析的开问题。值得注意的是，我们对后量子SSH的ACCE安全分析仅依赖于混合密钥交换中临时KEM的IND-CPA安全性这一较弱条件，而现有研究均需依赖更强的IND-CCA安全临时KEM假设。基于此，我们最后探讨了在当前SSH后量子实现中用更简单快速的IND-CPA安全KEM替代IND-CCA安全KEM的可能性，并提供了相应的性能基准测试数据。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a558/26hiTNscrn2

204、Practical Poisoning Attacks with Limited Byzantine Clients in Clustered Federated Learning

客户端间非独立同分布（non-IID）数据的存在，对联邦学习（FL）的实际部署构成了严峻挑战。为此，业界提出了最先进的集群联邦学习（CFL）解决方案（如FL+HC和PACFL），其核心创新在于将non-IID客户端聚类为IID客户端组，从而使适用于IID场景的技术得以直接应用。然而，CFL方案的鲁棒性研究仍属空白，现有拜占庭鲁棒防御机制在CFL方案和非IID数据环境下均表现不足。本文提出两种新型强效的CFL专属投毒攻击——Cluster-U-M与Cluster-U-D，旨在显著降低参与CFL方案的良性客户端的模型效用（以测试准确率为衡量指标）。值得注意的是，这些攻击无需掌握防御方案或良性客户端的先验知识。攻击策略主要包含两个阶段：集群投毒攻击和集群内客户端漂移利用。前者诱导训练数据分布相异的客户端被错误分组，后者则放大各客户端最优解与其所属集群平均聚合结果间的差异。我们基于FL+HC和PACFL方案进行了大规模和小规模的系统性评估，结果表明：攻击可影响高达54%的客户端，最大准确率损失达48%；即使仅攻陷0.1%的客户端（代表极低的实际攻击成本），仍可危害约4%的客户端。针对FLTrust和FLAME两种前沿拜占庭鲁棒防御机制的测试显示，攻击仍可危害38%的客户端，造成18-38%的准确率损失。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b658/26hiUsqoKoo

205、Prompt Inversion Attack against Collaborative Inference of Large Language Models

大型语言模型（LLM）因其卓越的内容生成能力而得到广泛应用。然而，开源LLM的实际应用受限于高资源需求，导致部署成本高昂并阻碍了普及发展。协作推理是解决这一问题的可行方案——用户通过各自托管部分模型层并传输中间激活值来实现合作。目前众多企业正利用用户闲置的GPU构建协作推理平台以降低LLM服务成本。尽管产学研界对协作推理展现出广泛兴趣，但LLM协作推理涉及的隐私风险尚未得到充分研究，这主要源于LLM激活值因高度非线性特性导致的反向解析难题。  

本文为验证LLM协作推理中隐私威胁的严重性，提出提示词逆向攻击（PIA）概念：恶意参与者试图通过前序节点传输的激活值还原输入提示词。具体而言，我们设计了两阶段攻击方法：第一阶段通过结合LLM嵌入矩阵的约束项优化输入嵌入，迫使优化结果逼近真实值；第二阶段引入激活校准与语义推测机制精确还原离散词元。该方法基于对现有逆向技术固有局限性的理论分析，指导我们设计出最优的激活值逆向攻击策略。大量实验表明，我们的PIA方法显著优于现有基线方案。例如在Skytrax数据集上使用Llama-65B模型逆向最大层数时，本方法词元准确率达88.4%，而最优基线方案仅22.8%。实验结果证实了PIA攻击的有效性，并凸显其对LLM协作推理系统的现实威胁。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b602/26hiUqbSuUU

206、Provably Robust and Secure Steganography in Asymmetric Resource Scenarios

为规避网络空间中肆无忌惮且日益严苛的监控与审查，隐写技术因其能将私密信息藏匿于看似无害的载体中而备受关注。现有可证明安全的隐写方案需依赖编码器与解码器配对工作来隐藏和提取秘密信息，二者必须运行相同模型并输入相同数据以获得一致的概率分布。这些要求为隐写技术的实际应用带来了重大挑战：多数设备缺乏运行合格模型的计算资源，且模型输入的细微变化都可能导致提取失败。针对这一局限，我们提出面向非对称资源场景的隐写框架。该场景下编码器能运行合格模型生成隐写数据，而低资源解码器无需模型或其输入即可从隐写数据中提取隐藏信息。本文提出具有严格安全性与鲁棒性证明的新型隐写框架，通过对生成模型应用的全面评估验证了其有效性。实验证明该方案在存在错误的二进制对称信道传输中仍保持稳定。据我们所知，这是首个兼具实用性、可证明鲁棒性与安全性的隐写框架。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b382/26hiUhLAzAc

207、Proving Faster Implementations Faster: Combining Deductive and Circuit-Based Reasoning in EasyCrypt

我们提出一种混合形式化验证方法，该方法结合了高层演绎推理与电路级推理，并将其应用于高度优化的密码学汇编代码。该验证方法通过两个互补维度实现规模化扩展：1）针对计算逻辑被特定架构指令复杂运用所模糊的低层函数，可显著减少其证明工作量；2）通过等价性检验将已验证实现的保障特性，传播至采用不同优化策略或面向不同架构的同一计算的其他实现，从而分摊验证成本。我们通过扩展EasyCrypt证明辅助工具，并重新验证Jasmin中ML-KEM的形式化实现来展示该方法。最终，我们获得了首个经形式化验证的ML-KEM实现，其在x86-64架构上的性能可与最快的未经验证实现相媲美。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d526/26hiVyFN8o8

208、Rapid Reversing of Non-Linear CPU Cache Slice Functions: Unlocking Physical Address Leakage

微架构攻击对现代计算系统构成日益严重的威胁。CPU缓存作为多数微架构攻击中至关重要却又复杂的组件，其内部工作机制亟待深入理解。尽管逆向工程技术已取得进展，非线性缓存切片函数仍难以分析，尤其在英特尔最新混合微架构中表现突出。本文提出一种创新方法，专门针对现代英特尔混合架构CPU中的复杂非线性缓存切片函数进行逆向工程。通过解析微架构哈希函数的具体结构，我们的方法将逆向工程所需时间从数天缩短至分钟级，显著超越了现有技术。与传统方案不同，本技术成功支持512GB内存系统及多样化切片配置，新发现17种用于缓存切片寻址的函数，并将现有函数扩展至支持多代CPU的大容量DRAM系统。我们还提出一种无需特权的虚拟-物理地址预言机，这正是非线性切片函数复杂性的直接产物。该方法尤其适用于阿尔德湖和流星湖等现代英特尔混合CPU——在这些平台上，传统切片测量或物理地址泄露手段均已失效。通过三项案例研究，我们验证了该方案在非攻击者映射内存上执行定向Spectre攻击、实现DRAMA攻击以及构建缓存驱逐集方面的有效性。研究结果揭示：现代CPU中复杂的缓存切片函数正显著扩大系统攻击面。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d238/26hiVoj9hU4

209、Redefining Indirect Call Analysis with KallGraph

调用图构建是众多静态分析应用的关键前提。现有最先进方法通过回退至所谓的"类型分析"来减少精确但代价高昂的指针追踪，从而能良好扩展到Linux内核等大型程序。本文对基于类型的方法进行了深入评估与分析，揭示了由于其临时性质导致的新缺陷。首先，我们发现近期基于类型方法在多个案例中的可靠性声明并不成立，导致间接调用目标缺失。其次，该分析在多个方面过于保守，产生了大量虚假间接调用目标。基于这些发现，我们观察到此类基于类型的方法可转化为混合指针分析框架，统一传统指针追踪方法与类型分析方法。基于该框架，我们开发了一种实用的间接调用分析技术，同时解决了可靠性与精确性限制。实验结果表明其在可靠性与精确性方面均有显著提升：KallGraph通过削减高达90%的间接调用目标并消除数百至数千个遗漏的间接调用，同步提升了精确性与可靠性。此外，KallGraph具备完全并行化能力，可在数十分钟至数小时内完成Linux内核的分析。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c734/26hiV5YjNXG

210、Rigging the Foundation: Manipulating Pre-training for Advanced Membership Inference Attacks

计算能力的显著进步导致模型复杂性激增。当前训练此类模型日益依赖迁移学习，即在大规模数据集上预训练模型后针对不同领域进行微调，使预训练模型中的知识得以有效复用并适配特定领域。然而这种学习范式也为微调模型开辟了新的攻击面。尤其值得关注的是，攻击者通过影响预训练过程进而威胁下游用户微调模型时所用隐私数据的新型隐私风险：被操控的预训练模型会使其微调版本易受隐私攻击，例如成员推断攻击（MIA）——通过查询存在漏洞的模型即可判定特定样本是否存在于微调数据集中。理解该隐私风险的独特挑战在于如何放大成员信息泄露的同时确保微调模型性能。为此我们提出新技术"主动鲁棒性过拟合"（ARO），通过在预训练阶段主动诱发鲁棒性过拟合，在不影响下游任务准确性的前提下放大成员信息泄露，同时保持攻击的隐蔽性。我们在多种数据集和不同MIA场景下的广泛实验表明，该方法能有效放大成员信息泄露并保持理想的下游测试准确率，这有助于更深入理解迁移学习带来的隐私风险。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c305/26hiUQTSjLi

211、Ring Referral: Efficient Publicly Verifiable Ad hoc Credential Scheme with Issuer and Strong User Anonymity for Decentralized Identity and More

本文提出了一种“环推荐方案”，用户可公开证明其拥有来自临时授权签发者集合中某一位对私有消息的有效签名，同时不暴露具体签发者身份。该方案是传统环签名的自然扩展，允许证明者从第三方签署者处获取签名。本方案适用于多种应用场景，包括证书隐藏的去中心化身份认证、增强隐私的联合认证、匿名背书以及隐私保护的推荐营销。相较于现有隐藏签发者的凭证方案，我们的环推荐方案具备以下突出特性：（1）支持临时环的公开可验证性；（2）即使签发者与验证者共谋仍能确保用户强匿名性；（3）透明初始化设置；（4）消息隐藏功能；（5）高效的多消息对数级验证；（6）支持需要多位签发者联合签署的门限方案。最后，我们通过大量实证评估实现了该环推荐方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a184/26hiTyJTFjG

212、Robust Threshold ECDSA with Online-Friendly Design in Three Rounds

门限签名（尤其是ECDSA）通过解决单点故障问题增强了密钥保护能力。根据是否需要待签署消息，门限签名可分为离线阶段和在线阶段。在线阶段计算成本较低的方案被称为"在线友好型"。实际应用中门限ECDSA的另一关键特性是鲁棒性——只要满足半诚实参与者的门限数量t，即使存在恶意签名者，也能确保每次签名执行成功完成。Doerner等人在S&P'24提出的非鲁棒性在线友好型门限ECDSA方案仅需三轮交互。Wong团队在NDSS'23（WMY+23）和NDSS'24（WMC24）的工作虽实现了鲁棒性，但需要额外通信轮次（分别为7轮和4轮），或在在线阶段引入高成本操作（如基于同态加密方案的计算）。本文首次提出兼具鲁棒性和在线友好设计的三轮门限ECDSA方案，其在线阶段仅需若干椭圆曲线群运算，计算强度比基于线性同态加密的方案低2至3个数量级。我们实现了该协议并与WMY+23和WMC24进行全面对比，基准测试表明本方案的在线阶段速度分别是二者的2.5倍和数百倍。最后我们证明该技术可扩展用于构建在线友好且鲁棒的三轮门限BBS+方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a203/26hiTzqtuPm

213、Rushing at SPDZ: On the Practical Security of Malicious MPC Implementations

安全多方计算（MPC）允许多方在保持输入私密性的前提下联合计算函数。尽管MPC技术已取得显著进展并引发日益增长的行业关注，其开源实现仍处于早期阶段——既缺乏生产级代码，也鲜少有人真正理解其实际安全保证。本研究针对现代MPC实现方案的真实安全性展开分析，重点关注可抵御恶意敌手（当除一名参与者外其余皆可能被腐化时）的SPDZ协议（Damgård等人，CRYPTO 2012，ESORICS 2013）。我们发现了SPDZ协议MAC校验流程中存在新型MAC密钥泄漏漏洞，该漏洞可在多线程并发场景下被利用，破坏输出完整性，某些情况下还会危及输入隐私。通过对三种SPDZ实现（MP-SPDZ、SCALE-MAMBA和FRESCO）的分析，其中两种易受此攻击影响，同时我们还发现所有实现均存在其他问题与漏洞。我们提出了缓解策略，并为研究者、开发者及用户提供建议，希望借此提升业界对这些问题的认知，避免其未来重现。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c287/26hiUQfhGa4

214、SAECRED: A State-Aware, Over-the-Air Protocol Testing Approach for Discovering Parsing Bugs in SAE Handshake Implementations of COTS Wi-Fi Access Points

WPA3个人版引入基于状态的对等体同时认证（SAE）握手协议，旨在实现前向安全性并抵御Wi-Fi连接建立阶段的密码猜测攻击——这些特性正是WPA2个人版所缺失的。然而初始版WPA3个人版的SAE设计存在连接降级和拒绝服务（DoS）攻击风险，当前增强版本虽已引入防护机制，但这些安全增强机制导致数据包采用可变结构且高度依赖上下文环境，给正确解析带来挑战。对SAE握手数据包的误解析可能危及Wi-Fi协议安全。为发现商用现成（COTS）Wi-Fi接入点（AP）中的SAE握手包解析漏洞，我们提出SAECRED——一种基于数据包结构引导且感知SAE协议状态的黑盒模糊测试工具。该工具将误解析检测问题转化为二维搜索问题，即数据包结构与底层SAE协议状态两个维度，并通过迭代深化搜索（IDS）与基于上下文敏感文法的模糊测试方法相结合来解决该问题，其中后者依托语法引导合成（SyGuS）求解器实现。我们在6款COTS AP设备和广泛使用的开源hostapd上进行评估，发现4类漏洞共计数十个实例，其中两类漏洞直接破坏了SAE本应实现的两项核心保障（抗降级与抗DoS攻击）。相关发现已报告责任方并促成补丁发布及安全公告。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d414/26hiVv281YQ

215、SV-TrustEval-C: Evaluating Structure and Semantic Reasoning in Large Language Models for Source Code Vulnerability Analysis

随着大语言模型（LLM）在代码理解与生成能力上的进步，准确评估其分析源代码漏洞的可靠性变得愈发关键。现有研究虽考察了LLM在漏洞检测与修复等任务中的表现，却普遍忽视了结构推理与语义推理这两项对可信漏洞分析至关重要的能力。为此，我们提出\textsc{SV-TrustEval-C}基准测试，通过两个核心维度评估LLM对C语言代码的漏洞分析能力：结构推理——衡量模型在不同数据流与控制流复杂度下识别代码元素间关系的能力；语义推理——检验其在代码结构和语义受干扰场景中的逻辑一致性。实验表明，当前LLM对复杂代码关系的理解远未达标，其漏洞分析更多依赖模式匹配而非严密逻辑推理。这些发现验证了\textsc{SV-TrustEval-C}基准的有效性，同时揭示了提升LLM在实际漏洞分析任务中推理能力与可信度的关键方向。初始基准数据集已发布于\textcolor{blue}{\url{https://huggingface.co/datasets/LLMs4CodeSecurity/SV-TrustEval-C-1.0}}。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c791/26hiV8eg35u

216、SYN Proof-of-Work: Improving Volumetric DoS Resilience in TCP

本文提出并评估了SYN PoW，这是一种利用微型工作量证明来缓解TCP SYN洪泛攻击的新方法。数十年来，SYN洪泛一直是互联网上的常见威胁，近年来其规模和频率更是急剧增长。目前，SYN Cookie作为防御措施被广泛部署，但我们证明其在应对大规模攻击时扩展性较差，且可能损害性能。SYN PoW具有相似作用，但具备以下关键优势：（1）通过丢弃恶意SYN包而不发送SYN-ACK响应来保护带宽；（2）支持网络内验证，使中间设备能在恶意数据包到达目标前检测并丢弃；（3）将防御的主要成本负担从受害者转移至攻击者自身；（4）无需验证源地址即可防范伪造攻击。我们阐述了如何在符合现行TCP标准的前提下为SYN数据包添加工作量证明，并通过受控测试实验证明SYN PoW在大规模SYN洪泛攻击下的性能优于SYN Cookie。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b783/26hiUx9kMCY

217、Scheduled Disclosure: Turning Power Into Timing Without Frequency Scaling

在计算机安全研究中，功率侧信道攻击正重新引发广泛关注。其中新兴的攻击类型通过远程监测功耗变化实现——最典型的手段是观测与功耗相关的CPU频率波动。然而现有方法仅在被测试的（较旧）x86 CPU架构上得到验证，这些架构主要（甚至完全）依赖频率调节机制来维持系统安全运行。现代x86 CPU架构引入了更多复杂机制，远程功率侧信道攻击是否仍然可行尚不明确。我们证明此类攻击不仅在现代x86 CPU架构上依然可行，其效果反而更显著，甚至能在无频率侧信道泄漏的条件下实施。我们的攻击利用了线程导向器（Thread Director）这一硬件优化功能——该机制通过提供调度"提示"来提升现代英特尔处理器的性能与能效。研究表明，这些提示信号与处理器功耗密切相关，从而引发可被纯软件方式（甚至通过远程时序分析）观测到的功耗依赖性调度行为（例如活跃核心数量的波动）。我们通过两种场景验证攻击有效性：从恒定时间密码代码中泄漏密钥（速度较旧款x86 CPU上的同类攻击提升5倍），以及实施跨源像素窃取攻击。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d340/26hiVsoUGbK

218、Secure Transfer Learning: Training Clean Model Against Backdoor in Pre-Trained Encoder and Downstream Dataset

基于预训练编码器的迁移学习已成为现代机器学习的关键技术，能够高效实现跨任务的模型适配。然而这种预训练与下游适配的结合也扩大了攻击面，使模型面临编码器和数据集层面的复杂后门植入威胁——这一领域在先前研究中常被忽视。此外，与端到端的从头训练相比，预训练编码器用户通常有限的算力资源也制约了通用后门防御的效果。本研究致力于解决资源受限的迁移学习场景中如何降低后门风险的问题。我们首先系统分析了现有防御策略，发现多数方案遵循被动应对模式，其假设条件难以扩展至未知威胁、新型攻击或不同训练范式。为此，我们提出以识别清洁要素为核心的前摄性防御思路，开发了可信核心自举（T-Core）框架，强调通过定位可信数据和神经元来增强模型安全性。实验评估验证了T-Core的有效性和优越性：在5个基准数据集上针对3类潜在后门威胁的4种场景，系统评估了5种编码器投毒攻击、7种数据集投毒攻击以及14种基线防御方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b639/26hiUrJfICA

219、Shark: Actively Secure Inference using Function Secret Sharing

我们研究预处理模型下主动安全的两方机器学习推理问题，其中参与方在离线阶段获取（与输入无关的）关联随机性，随后可在（输入相关的）在线阶段利用该随机性运行高效协议。现有最佳方案是Escudero等人（Crypto 2020）的工作，但该协议存在关联随机性需求量大、通信开销高、交互轮次多等缺陷，导致实际性能不佳。本文提出基于函数秘密共享（FSS）的新型协议，在各项参数上全面超越现有方案：所需关联随机性更少、交互轮次更低、通信与计算开销更优。我们通过两项创新实现这一突破：首次在FSS协议中支持布尔值与算术值的混合运算，并引入"交互式FSS"这一FSS的泛化形式。为验证方案有效性，我们构建了SHARK系统——首个基于FSS的主动安全推理框架，其性能较现有最佳方案提升最高达2300倍。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c268/26hiUPCGeti

220、Signature-Free Atomic Broadcast with Optimal Z_O(n^2)O(n2)Z Messages and Z_O(1)O(1)Z Expected Time

拜占庭原子广播（ABC）是许可区块链及各类多方计算协议的核心技术。我们解决了ABC领域一个长期悬而未决的开放性问题，首次提出无需签名的异步ABC协议，在副本总数为ZnnZ时实现最优的ZO(n2)O(n^2)Z消息复杂度与ZO(1)O(1)Z期望时间复杂度。该协议采用创新设计架构，其核心思想源自——或许出人意料——一个长期被忽视的称为多值拜占庭协议（MBA）的底层原语。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b547/26EkFF9L4Qw

221、Slice+Slice Baby: Generating Last-Level Cache Eviction Sets in the Blink of an Eye

构建缓存攻击的关键步骤是寻找驱逐集——即在缓存空间上发生竞争的若干内存位置集合。在英特尔处理器上，识别竞争地址的主要挑战之一是其分片缓存设计：处理器通过对物理地址进行哈希运算来确定内存位置在缓存中的存储位置。虽然已有研究证明该哈希函数可被逆向推导，但同时也表明其依赖攻击者无法获取的物理地址位。

本文在驱逐集查找技术上做出三项核心贡献：首先，我们利用微架构级竞态条件比较内存访问时间，从而识别地址映射的缓存分片；其次，我们运用已知哈希函数既降低了分片识别方法的错误率，又通过将分片映射外推至未测试内存地址来减少工作量；最后，针对此前未被研究的非线性哈希函数场景，我们提出了跨不同页偏移量传递驱逐集信息的方法。在采用非线性函数的英特尔i7-9850H和i9-10900K处理器上，我们的技术分别仅需0.7秒和1.6秒即可生成完整的末级缓存驱逐集，相比现有最优技术所需的9倍和10倍时间实现了显著提升。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d479/26EkGWP53fa

222、Smaug: Modular Augmentation of LLVM for MPC

安全多方计算（MPC）是隐私保护计算的关键工具，但由于近期技术进展与优化，其复杂性日益增加。MPC编程工具使开发者无需精通密码学即可开发MPC应用，然而现有工具大多因缺乏文档维护、难以与传统代码库集成而未能吸引实际用户。本研究构建了Smaug——一个模块化的LLVM扩展框架。Smaug为MPC程序员无缝集成LLVM全部支持功能，包括错误提示、文档系统、代码优化，以及将多语言编译为LLVM中间表示（IR）的前端支持。该系统能高效地将非 oblivious LLVM IR转换为 oblivious 版本，同时应用LLVM代码转换中的主流优化技术。通过C++和Rust编写的基准测试程序，配合Yao与GMW协议后端，我们发现Smaug性能与采用领域专用语言的同类工具相当（某些情况下显著更优）。最后，我们使用Smaug编译了实现扫雷和二十一点的开源项目，轻松生成可用的双人游戏版本。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c715/26hiV5mz9F6

223、Sniffing Location Privacy of Video Conference Users Using Free Audio Channels

自COVID-19疫情爆发以来，视频会议应用被更广泛地用于连接异地人群的工作、学习与社交互动。这类应用通过流式音频模拟"面对面"会议，并赋予用户完全的隐私控制权。例如，用户可依据常识随时关闭麦克风以保护隐私：1）包含语义或上下文信息的音频信号存在隐私风险；2）麦克风仅涉及声学隐私；3）会议参与者无法主动侵犯他人隐私，仅能伺机利用偶然的隐私泄露或失误。本文研究了颠覆这些假设的隐私泄露现象。我们发现，即使禁用摄像头或使用虚拟背景隐藏位置，任何会议参与者仍能主动且隐蔽地探测他人的位置隐私。具体而言，视频会议合法的双向音频通道为远程声学传感提供了条件，使攻击者能探测用户物理环境并接收位置特定的回声信号。然而，所有视频会议系统都采用回声消除功能防止音频反馈，这本质上阻断了主动传感。为解决这一难题，我们开发了基于Transformer的算法，并利用生成式AI的编码器抵消回声消除效应，从严重失真的回声信号中提取稳定的位置特征。此外，我们提出两类主动声学传感攻击：通道内回声攻击通过精心设计的信号突破回声消除；通道外回声攻击则利用第三方媒体声音（如邮件提示音）规避消除机制。我们在Zoom、Teams和Skype等商业视频会议应用上测试这些攻击。仅使用单次探测声音时，我们的方法对重复场所的识别准确率达88.3%，对新场所（未见过或未标记）场景的识别准确率达88.5%。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600e682/26EkHNTvb32

224、SoK: A Privacy Framework for Security Research Using Social Media Data

社交媒体数据在研究中应用广泛，涵盖计算机科学、社会科学、人机交互及法律与犯罪学等多个领域。然而，此类数据常包含个人敏感信息。尽管已有研究探讨过相关伦理问题，但宽泛的伦理讨论难以揭示细粒度的隐私风险及缓解措施。本研究聚焦于利用社交媒体数据研究安全主题的学术论文，系统分析了16年间601篇跨学科论文。研究发现：仅35%的论文会提及数据匿名化、可用性或存储等考量事项，透明度严重不足。通过运用索洛夫的隐私风险分类法，我们发现该框架虽精准预见了数据聚合风险，但现代数据科学的规模性、时效性与微观细节特征催生了二十年前未曾预料的新风险。本文向研究者、伦理委员会和出版机构等利益相关方阐明了研究发现：尽管已有改进迹象，但学术界的细微行为改变或将对用户隐私产生重大影响。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b140/26hiU8UCm1q

225、SoK: Challenges and Paths Toward Memory Safety for eBPF

Linux中的扩展伯克利包过滤器（eBPF）子系统无需修改内核代码即可扩展内核功能。除了在网络领域的应用外，eBPF还具备执行跟踪、添加安全检查等灵活性。为确保eBPF不会被攻击者利用来破坏内核，eBPF在执行每个程序前都通过验证器进行校验，其中包括防止eBPF程序因内存错误修改内核内存的检查。然而，eBPF子系统（包括验证器本身）已暴露出大量漏洞，严重违背设计预期，引发了人们对eBPF带来内存安全威胁的担忧。本文首次系统分析了eBPF生态中固有的内存安全风险，重点关注eBPF验证器局限性与现有内核防御机制面临的挑战。随后评估了采用隔离技术、运行时检查和静态验证的研究性缓解方案，阐明其贡献与不足。研究发现公开eBPF程序中仅1.62%-3.74%（37-85条）内存操作无法被全面证明符合内存安全，这为在兼顾性能与兼容性的前提下实现全面内存安全提供了可行方向。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a810/26hiTWPwVLa

226、SoK: Decoding the Enigma of Encrypted Network Traffic Classifiers

TLS 1.3等现代加密协议的广泛应用对传统网络流量分类（NTC）方法提出了严峻挑战。为此，研究者日益转向机器学习（ML）方法来突破这些障碍。本文通过构建设计决策分类体系、基准测试套件及影响分类器性能的常见假设，系统分析了基于ML的NTC研究。通过这种体系化梳理，我们揭示了普遍存在的过时数据集依赖、设计疏漏以及未经证实的假设所导致的后果。评估表明，由于使用陈旧数据集，大多数已提出的加密流量分类器错误地处理了未加密流量。此外，通过对前沿分类器进行348次特征遮蔽实验，我们论证了NTC设计疏漏如何引发过拟合，并用实证依据验证或反驳了主流假设。通过总结经验教训，本研究提出了战略见解，指明了新兴研究方向，并推荐最佳实践以支持开发具有实际应用价值的NTC方法。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b732/26hiUvcHgly

227、SoK: Dlog-based Distributed Key Generation

分布式密钥生成（DKG）协议是门限密码学的核心组件，能够以去信任方式为门限加密、门限签名等一系列密码学操作生成密钥。其中基于离散对数的密码系统所采用的DKG协议尤为普及。本文通过系统化梳理，对离散对数场景下的现有DKG协议进行全面分析，旨在识别有助于开发安全、稳健协议的密码学技术与设计原则。为提供结构化文献综述，我们采用模块化方法，根据底层网络假设与密码学工具对DKG协议进行分类——这两个要素决定了协议如何管理秘密共享与达成共识这两项核心构建模块。文中还提炼了多项洞见，并提出了推动该领域持续发展的未来研究方向。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a577/26hiTO93S0M

228、SoK: Self-Generated Nudes over Private Chats: How Can Technology Contribute to a Safer Sexting?

越来越多的人利用移动应用建立关系或进行随意接触，这有时会导致自拍裸照的分享。虽然这为性探索开辟了途径，但也引发了担忧。本文回顾了现有技术辅助的许可性方案/功能，这些方案/功能在在线分享裸照时能提供安全性、隐私性或可追责性优势。为此，我们进行了系统性文献综述，梳理了10,026条搜索结果和交叉引用，并通过调查操作系统功能及52款约会、通讯和社交应用，识别出现实解决方案。我们通过定义性讯威胁模型、构建方案/功能分类体系、讨论部分缺陷、整合隐私相关概念，并提炼未来研发方向的启示，实现了知识系统化。研究发现，学术方案和应用功能构成了高度多样化的生态，表明安全性讯远不止于裸照检测。现有技术均非应对所有威胁的终极解决方案，但各自以不同方式为更安全的性讯环境作出贡献。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600e144/26hiW7ihO00

229、SoK: Space Infrastructures Vulnerabilities, Attacks and Defenses

空间基础设施对全球社会与经济的重要性日益凸显。然而，尽管已有诸多研究尝试，其网络安全问题仍未得到充分探讨。这促使我们开展本次系统化研究（SoK），该研究基于包含五大要素的创新方法论：空间基础设施模型、任务、脆弱性、攻击与防御措施。该方法论通过引入受程序分析中控制流与数据流概念启发的"任务控制流"与"任务数据流"新范式，构建了空间基础设施的"解剖结构"。我们展示了文献中研究的空间基础设施脆弱性、攻击与防御措施如何映射到空间任务控制流和数据流，并得出以下关键发现：{\em 内存分配不当}与{\em 认证机制缺失}是文献报道中最常被利用的两大脆弱性；全球导航卫星系统（GNSS）安全研究最为集中，主要聚焦物理层安全；而攻击空间段的最有效途径是通过地面段实施横向渗透。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a990/26hiU3pZHW0

230、SoK: Watermarking for AI-Generated Content

随着生成式人工智能（GenAI）技术输出质量的提升，其内容与人类创作成果的区分日益困难。数字水印技术为解决AI生成内容与人类创作的鉴别问题提供了可行路径——该技术通过嵌入隐蔽信号实现对AI生成内容的可靠检测。尽管水印并非应对GenAI所有风险的万能方案，但它在打击虚假信息和欺骗行为、增强AI安全性与可信度方面具有关键作用。本文系统梳理了GenAI水印技术体系：从历史沿革与监管需求阐明水印的必要性，形式化定义水印方案及其理想特性，剖析现有方法的核心目标与威胁模型，并探讨实用化评估策略，为开发能抵抗各类攻击的鲁棒水印技术提供洞见。此外，我们综述了近期代表性成果，指出现存挑战并展望这一新兴领域的潜在发展方向。通过全面解析GenAI水印技术，本研究旨在为水印方法与应用的学术探索提供指引，并为政策制定者应对GenAI的广泛影响提供决策支持。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c398/26hiUUfn5Qs

231、Space RadSim: Binary-Agnostic Fault Injection to Evaluate Cosmic Radiation Impact on Exploit Mitigation Techniques in Space

过去十年间，随着发射成本降低，近地轨道卫星激增，彻底改变了从通信到地球观测和气象预报等空间应用格局。这一趋势也引发了硬件变革：专业抗辐射硬件逐渐被更廉价的商用现成组件取代。作为现代基础设施的关键部分，卫星既面临网络攻击威胁，又受到地面和太空特有风险的影响，亟需有效的安全防护措施。然而当前在轨卫星固件中，密码学防护和漏洞利用缓解措施仍然有限。学术界对卫星安全的研究仅聚焦于密码学防护，这引发了一个关键问题：漏洞缓解策略是否适用于卫星环境？是否会受到宇宙辐射等太空特有因素的影响？本文首次系统分析了381个小型卫星设计方案，揭示了商用现成硬件平台在太空项目中的普及现状，以及卫星平台对现成漏洞缓解策略的适用性。鉴于缓解措施看似可用，我们通过开发RadSim（一种模拟单粒子效应的自动化工具）探究宇宙辐射对软件漏洞缓解策略的影响。本研究在采用不同加固措施的卫星固件二进制文件中模拟了超过210亿次故障，评估宇宙辐射环境下漏洞缓解策略的容错能力。结果表明：部分缓解措施几乎不影响容错性，而其他措施会使加固卫星固件的错误概率最高增加19%。这些发现为漏洞缓解效能与抗辐射能力之间的权衡提供了新见解，为卫星开发者优化天基系统安全性提供了指导。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b009/26hiU43Jy92

232、Spoofing Eavesdroppers with Audio Misinformation

无线窃听电话通话已成为重大的安全威胁，尤其在5G及更高频段技术发展下，高频信号与高精度传感使窃听能力进一步提升。最新研究表明，攻击者甚至能利用商用毫米波雷达远程捕捉手机听筒发出的微米级声波振动，悄无声息地窃取音频信息。本文提出创新架构\sys，不仅能有效防御此类攻击，更能通过向窃听者注入虚假音频实施反制。针对物理介质（即声信号）这一数字加密无法保护、通信链中最脆弱环节的新型攻击，\sys通过系统性篡改窃听者的基础传感数据，在隐藏原始信号的同时编码合成替代信息。该系统集成超薄可重构超表面与双重推理机制，动态生成人工声振特征以植入欺骗性信息。我们完成\sys的全流程设计与实验验证，结果表明窃听者完全无法还原扬声器输出的原始语音，而注入的虚假信息平均词错误率低至2.29%。本研究首次实现兼具信号保护与主动诱骗的双重防御：既阻止攻击者解析真实信号，又使其误以为成功窃取虚假信息。该方案将防御策略从被动响应升级为主动欺骗，赋予防御者误导攻击者采信虚假信息的战略优势。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600e553/26EkHGUUuOI

233、Stateful Analysis and Fuzzing of Commercial Baseband Firmware

基带固件在蜂窝通信中起着至关重要的作用，但其专有、闭源的特性以及复杂的状态化处理逻辑使得系统性安全测试极具挑战性。现有方法往往未能考虑基带任务间的相互依赖关系及输入处理逻辑的状态性，从而限制了测试范围和效果。我们提出了LORIS——一个专为有效探索与分析基带固件实现而设计的状态化模糊测试框架。通过迭代式符号分析，我们逐步识别状态变量及其定义不同协议状态的谓词，同时缓解状态爆炸问题。这使得LORIS能够有针对性地探索和模糊测试具有高漏洞潜力的程序区域。我们在两大主流厂商的5款商用设备上评估了LORIS框架，覆盖4G长期演进（LTE）和5G新空口（NR）标准，证明了其广泛适用性。测试发现了7个可由无线攻击者利用的新漏洞，可能导致基带崩溃、远程代码执行及服务拒绝。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b120/26EkFox5zyg

234、Supporting Family Discussions About Digital Privacy Through Perspective-Taking: An Empirical Investigation

尽管96%的美国青少年每日使用互联网，但大多数家庭在讨论隐私问题时面临挑战——父母感到准备不足，而青少年则不愿沟通。本研究基于换位思考理论，探讨了引导式家庭讨论如何促进相互理解并提升数字隐私素养。通过对13对亲子开展的定性研究，我们发现了三大沟通障碍：关于隐私的抽象讨论、对绝对化表述的依赖，以及青少年参与度的下降。这些障碍源于隐私素养的局限和适应性沟通的缺失。我们的换位思考引导方法通过反思实践将传统的家长主导对话转变为协作交流，并帮助家庭理解隐私的情境依赖性，从而解决了这些问题。我们为教育技术提出了支持家庭隐私讨论规模化推广的设计方案，包括支持换位思考的工具和突显非二元隐私选择的交互界面。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b232/26hiUcgXVuM

235、SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World

在C和C++等内存不安全的语言中，释放后重用（UAF）漏洞会引发严重的安全风险。为缓解此类问题，先前研究借鉴保守式垃圾回收机制，采用了内存清扫技术。然而这类方法存在固有缺陷，包括全局停顿、可扩展性差及CPU占用率高，使其难以适用于对延迟敏感的现代应用。本文提出SwiftSweeper——一种无需修改二进制文件即可防御UAF漏洞的安全内存分配器。该方案通过消除全局停顿并提升可扩展性以支持高性能C/C++工作负载，重新设计了内存清扫机制。其核心是采用eBPF技术（XMP，高速内存路径）实现的高效安全内核态数据路径，以及与内核协同设计的用户态分配器。我们在Linux系统上实现SwiftSweeper，并通过SPEC CPU和WebServer等基准测试证明：该方案在单线程/多线程场景下均能提供顶尖性能、内存效率及可忽略的延迟开销。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a755/26hiTUVrNEk

236、Teaching Data Science Students to Sketch Privacy Designs through Heuristics

近期研究表明，经验丰富的数据从业者常通过绘制草图来辅助隐私设计概念的沟通。然而，关于如何帮助初学者培养此类沟通技能的研究仍显不足。本文探讨了降低数据科学新手绘制高质量隐私草图门槛的方法。我们首先开展需求调研（N=12）以识别学生在绘制隐私设计时面临的障碍，随后采用以人为中心的设计方法开发出三条基于文本的简易启发式原则。通过对24名数据科学专业学生进行的用户研究表明，仅在研究初期向参与者展示这三条原则，就能显著提升草图中隐私相关设计决策的覆盖范围，降低绘制草图时的认知负荷，并改善最终草图的易读性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b195/26hiUaVvRfO

237、The Digital Cybersecurity Expert: How Far Have We Come?

大型语言模型（LLM）在网络安全领域的日益广泛应用凸显了有效模型选择与评估的必要性。然而传统评估方法往往忽视导致性能局限的特定网络安全知识盲区。为此，我们开发了CSEBenchmark——基于345个网络安全专家必备知识点的细粒度评估框架。借鉴认知科学理论，这些知识点被划分为事实性、概念性和程序性三类，据此设计出11,050道定制化选择题。我们对12个主流LLM进行测试发现：表现最佳模型整体准确率仅达85.42%，在专用工具和冷门命令使用方面存在明显知识缺口；不同模型存在独特的知识盲区，同系列大模型可能在较小模型擅长的知识点上表现不佳。通过识别并针对性补足各模型的特定知识盲区，我们在两项网络安全任务的三个现有基准测试中，将错误预测修正率最高提升84%。此外，通过评估各模型知识结构与具体网络安全岗位的匹配度，发现不同模型适配不同岗位角色，例如GPT-4o更契合谷歌高级情报分析师，而Deepseek-V3更适合亚马逊隐私工程师。这些发现证明：根据网络安全岗位的具体知识需求选择匹配的LLM，对实现最优性能至关重要。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d032/26hiVhc2DLO

238、The Importance of Being Earnest: Shedding Light on Johnny's (False) Sense of Privacy

随着隐私问题日益受到关注，各类组织与政策制定者积极推动隐私增强技术（PETs）的应用，以期提升用户信任并改善数据共享行为。然而，隐私增强技术通常具有技术复杂性和对普通用户的不透明性，如何向用户清晰传达诸如安全多方计算（MPC）等复杂PETs的功能原理存在显著挑战。现有研究普遍采用的方式是：先向用户提供技术的高层描述，再评估这种干预如何改变其态度或行为，相关结论直接影响商业决策与法规制定（参见高德纳新兴技术成熟度曲线）。本研究对此方法提出质疑，通过实验检验特定PETs的命名及通用描述是否会影响用户对服务提供商的信任度及数据共享意愿。我们在数据市场情境下对1,457名参与者开展三项随机对照试验：第一组接触真实PET（MPC）描述，第二组接触虚构PET描述，第三组作为对照组接触非PET描述。研究发现，MPC组和虚构PET组的用户信任度与数据共享意愿均显著提升，表明影响用户认知的关键在于高层描述而非技术名称。我们得出结论：仅宣称采用某项PET并不能有效衡量实际使用该技术产生的影响。但鉴于普通用户的心智模型限制，其既无法验证研究中呈现的技术描述，也无法判断服务提供商的隐私声明真伪，这将导致用户可能被诱导产生虚假隐私安全感，进而过度暴露本不愿分享的敏感数据。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b250/26hiUcThM3u

239、The Inadequacy of Similarity-based Privacy Metrics: Privacy Attacks against Truly Anonymous'' Synthetic Datasets

生成模型产生的合成数据旨在提供一种保护隐私的数据发布方式。然而，只有当模型满足差分隐私（DP）时，其隐私保障才被视为可靠。遗憾的是，这并非普遍标准，因为许多领先企业（以及实际上的研究论文）仍在使用基于合成数据与真实数据统计相似性测试的临时隐私指标。本文通过多种方式验证了现实世界合成数据部署中隐私指标的不可靠性。首先，我们列举了隐私测试通过后仍发生严重隐私泄露的反例，并以极低成本实施了精确的成员推断和属性推断攻击。随后我们提出ReconSyn——一种重构攻击，该攻击能生成多个被隐私指标判定为安全、实则泄露个体记录独特信息的合成数据集。实验表明，仅需对单个已训练生成模型和隐私指标进行黑盒访问，ReconSyn就能恢复训练数据中78%-100%的异常值。在此过程中，我们证明仅对模型应用差分隐私无法抵御此攻击，因为隐私指标的使用破坏了端到端的差分隐私流程。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d675/26hiVEB64HC

240、Towards Efficient and Practical Multi-party Computation under Inconsistent Trust in TEEs

安全多方计算（MPC）能在保障隐私与正确性的前提下实现对敏感数据的联合计算。近年来，为降低高开销密码技术带来的负担，一系列基于可信执行环境（TEE）辅助的MPC协议被提出。然而现有协议要么默认所有参与方对TEE持有一致信任，要么需要针对不同应用进行专门设计，导致协议难以实际部署。为解决这些问题，本文提出一种通用MPC协议，既不要求对TEE的一致性信任，又能充分利用异构TEE提升效率。为此，我们构建了刻画参与方对TEE非一致信任的安全模型，并在简化版UC框架（SUC框架）下完成协议安全性证明。此外，我们基于当前最先进的信息论安全协议SwiftAgg+实现了安全聚合场景下的协议实例。在Azure虚拟机部署的64方评估表明，本协议将SwiftAgg+运行时间降低66%，参与方运行时间最大降幅达91%。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c662/26hiV3fqtzi

241、Towards ML-KEM & ML-DSA on OpenTitan

本文提出对OpenTitan硬件信任根的扩展方案，旨在支持高性能格基密码运算。我们首先针对OpenTitan大数运算加速器(OTBN)，对NIST选定标准化的两大核心算法——ML-KEM与ML-DSA——进行了细致的软件优化。基于这些实现方案的性能分析结果，我们提出深度集成化的OTBN扩展方案：包括OTBN与OpenTitan凯克哈希加速器(KMAC核心)的交互接口，以及支持256位向量运算的OTBN指令集扩展。我们在硬件层面实现了这些扩展，相比未修改OTBN的基准实现，ML-KEM和ML-DSA在不同操作及参数集上的性能提升了6至9倍。该加速效果仅导致OTBN单元数量增加不足17%，对应整个Earlgrey OpenTitan核心的增量不足3%。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d712/26hiVGf04oM

242、Training Solo: On the Limitations of Domain Isolation Against Spectre-v2 Attacks

Spectre-v2漏洞的影响力正持续扩大，其能够发起极具威胁的跨域瞬态执行攻击。攻击者可在某个保护域（如用户进程）内训练间接分支预测器，进而通过推测执行劫持控制流并泄露目标域（如内核）的数据。为应对此类攻击，厂商部署了日益强化的域隔离技术（如eIBRS和IBPB），以防止某域的预测器受其他域执行的影响。尽管近期BHI和Post-barrier Spectre等攻击暴露出（现已被修补的）技术实现缺陷，但业界普遍认为若无实现问题，域隔离技术在实际应用场景中能够消除攻击面。本文挑战了这一假设，证明即便完美的域隔离仍无法阻止实际攻击。为此，我们系统分析了自训练型Spectre-v2攻击——其训练阶段与推测性控制流劫持均发生在同一（受害）域内。虽然传统观点认为此类攻击仅限域内场景（攻击者可在eBPF等默认关闭的沙箱中运行任意代码并注入泄露指令），但我们的分析表明跨域变体实际可行。具体而言，我们揭示了针对Linux内核的三类新型攻击方式，并实现两个端到端漏洞利用程序，可在最新Intel CPU上以高达17KB/秒的速度泄露内核内存。研究过程中，我们还意外发现两个彻底破坏（用户域、客户机及虚拟机监控程序）隔离机制的Intel漏洞，使得经典Spectre-v2攻击重新成为可能。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d599/26EkH1yAhJS

243、Transport Layer Obscurity: Circumventing SNI Censorship on the TLS-Layer

HTTPS构成了当今互联网流量的重要组成部分，长期以来一直是各国审查的重点目标。尽管审查机构通过分析传输层安全（TLS）协议来阻断加密的HTTP流量，但规避审查的研究主要集中在TCP等其他协议上。本文提出假设：TLS协议中存在尚未被发现的审查规避技术空间。我们通过设计基于TLS协议的潜在规避技术验证该假设，并评估这些技术被主流TLS服务器接受的情况，最终成功在中国和伊朗的审查系统中实现流量突破。评估过程中共发现38种（部分符合标准规范的）独立规避技术，可归类为11种独特方法。研究还首次揭示了中国TLS流量审查机制的内部特征，通过实证数据证明至少存在三种不同的审查设备。我们推测中国其他审查模块及其他国家的审查系统具有类似架构，建议未来审查研究需预判此类结构。本工作旨在为受审查影响的群体提供技术支援，并推动基于加密协议的审查规避研究发展。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b288/26hiUekZ19S

244、TreeKEM: A Modular Machine-Checked Symbolic Security Analysis of Group Key Agreement in Messaging Layer Security

消息层安全（MLS）协议标准提出了一种基于树形结构的新型协议，能够为数千名成员组成的大规模群组实现高效的端到端加密通信。其功能可分为三个核心组件：用于认证与同步群组状态的TreeSync、实现核心群组密钥协商的TreeKEM，以及处理群组消息加密的TreeDEM。尽管已有研究对TreeKEM的抽象模型进行过安全性分析，但均未涵盖协议标准中精确的低层实现细节。本研究首次为TreeKEM提供了机器验证的安全证明。我们的证明基于符号化Dolev-Yao模型，适用于该协议的比特级精确、可执行且支持互操作的具体规范。此外，我们针对TreeKEM的安全性定理能够与TreeSync的既有研究成果自然组合，从而为已发布的MLS标准提供强有力的模块化安全保障。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600e024/26hiVW8fKSI

245、TypeForge: Synthesizing and Selecting Best-Fit Composite Data Types for Stripped Binaries

静态二进制分析是确保闭源软件安全性的常用方法。然而剥离二进制文件中类型信息的缺失（尤其是复合数据类型），给静态分析工具和逆向工程专家实现高效精准分析带来了重大挑战。现有方法在处理此类数据类型时往往面临准确率不足和可扩展性受限的问题。为此我们提出TypeForge——一种受逆向工程专家工作流程启发的新方法，采用两阶段合成-选择策略来自动化恢复剥离二进制文件中的复合数据类型。我们设计了一种新型图结构"类型流图"（TFG）来表征剥离二进制文件中的类型信息。第一阶段基于TFG的类型合成专注于高效精准地构建约束条件并从剥离二进制文件中合成可能的复合类型声明；第二阶段我们提出LLM辅助的双重淘汰框架，通过评估反编译代码的可读性从候选类型中筛选最佳匹配方案。与最先进方案的对比实验表明，TypeForge在复合数据类型识别和布局恢复任务中分别达到81.7%和88.2%的F1分数，显著优于现有方法；在关系恢复这一传统方法表现欠佳的任务中也取得了72.1%的F1分数。此外TypeForge的时间开销显著降低，仅需当前最佳方案OSPREY耗时约3.8%，使其成为现实逆向工程任务的高效解决方案。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c847/26hiVajYJwY

246、Understanding Users' Security and Privacy Concerns and Attitudes Towards Conversational AI Platforms

对话式AI平台的广泛采用带来了新的安全与隐私风险。尽管这些风险及其缓解策略已从技术角度得到广泛研究，但用户对这些平台安全与隐私的认知仍鲜少被探讨。本文通过对r/ChatGPT社区超250万条用户帖子的大规模分析，探究用户对对话式AI平台的安全隐私顾虑与态度。定性分析表明，用户对数据生命周期的每个阶段（即收集、使用与留存）均存在担忧，他们寻求安全漏洞的缓解措施、隐私法规的合规性以及数据处理过程中更高的透明度与控制权。研究还发现，用户在与平台互动时表现出差异化的行为与偏好：部分用户主动保护数据并调整隐私设置，另一些则优先考虑便利性而非隐私风险，或为获取服务效益而忽视隐私问题，甚至对不可避免的数据共享表现出无奈。通过定性内容与回归分析，我们发现用户的担忧会随AI生态演变而动态变化，并受到技术发展与重大事件的影响。基于研究结果，我们为用户、平台、企业和政策制定者提供建议，以增强透明度、完善数据控制机制，从而提升用户信任度与采纳意愿。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a298/26EkEQ4fgmA

247、Unveiling Security Vulnerabilities in Git Large File Storage Protocol

作为Git版本控制系统的扩展，Git大文件存储（LFS）通过优化大文件和二进制内容的处理机制，已被几乎所有Git平台广泛采用。尽管Git LFS显著提升了大型文件的管理效率，但其引入的安全隐患至今尚未得到充分研究。本文首次对Git LFS进行全面安全分析，提炼出LFS服务器必须保障的11项关键安全属性。基于对这些属性破坏行为的分析，我们提出四种新型攻击向量：私有LFS文件泄露、LFS文件替换、基于配额的拒绝服务（DoS）以及配额逃逸。这些攻击利用实际LFS服务器实现中的缺陷，可能造成严重后果，包括敏感文件未授权访问、恶意代码注入、影响所有公共仓库的服务中断以及资源滥用。为评估LFS实现方案的安全性，我们开发了半自动化黑盒测试工具，并对14个主流Git平台进行测试，发现36个此前未知的漏洞。这些漏洞已通过负责任披露流程提交至各平台维护方，获得积极回应并累计收取超1800美元漏洞赏金。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a431/26hiTItEsYU

248、VITARIT: Paying for Threshold Services on Bitcoin and Friends

近年来，区块链服务呈现快速增长态势。许多此类服务采用去中心化架构并设定对抗阈值，以消除单点故障并缓解密钥托管问题。虽然在支持智能合约的系统中向这类服务支付款项较为直接，但在比特币等采用UTXO模型且脚本功能受限的系统中实现公平性仍面临挑战。这一难题在缺乏智能合约时尤为突出——我们期望仅向提供服务的n个服务器中的t+1个阈值节点支付报酬，同时确保任何服务器无法重复申领报酬。本文提出VITARIT，一种专为比特币等UTXO系统中阈值密码服务设计的新型支付方案。该方案在保障可证明强安全性的同时支持实际部署，重点针对具有特定属性（如近期备受关注的阈值BLS签名）的n选t分布式可验证随机函数（VRF）服务。我们的协议允许客户端向阈值服务请求可验证随机函数（VRF）值，同时触发对分布式阈值VRF服务中至多t+1个服务器的支付。该高效设计方案基于签名验证脚本的简单交易，可直接应用于类比特币系统。我们在密码学层和交易层均引入了创新工具与技术，包括针对标准构造的新型签名-VRF交换协议（该协议可能具有独立研究价值）。此外，我们的交易流设计能阻止恶意服务器重复申领报酬，对去中心化支付系统具有更广泛的启示意义。原型系统测试表明，在双方交互中客户端耗时126.4毫秒，服务器耗时204毫秒，证实了该系统的实用性与可部署性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b870/26hiUAx6lKE

249、Warning! The Timeout T Cannot Protect You From Losing Coins     PipeSwap: Forcing the Timely Release of a Secret for Atomic Cross-Chain Swaps

原子跨链交换技术有效缓解了现有加密货币面临的互操作性挑战，从而促进了互不信任用户之间的跨币种兑换与交易。尽管目前已有大量基于哈希时间锁定合约的原子交换协议被部署应用，但由于其本质上依赖于底层区块链支持的丰富脚本语言，这些协议远未实现普适性。近期提出的通用原子交换协议[IEEE S&P'22]通过巧妙地将脚本功能委托给密码学锁定机制（特别是适配器签名和定时承诺方案），在无脚本跨链交换领域取得了重大突破。然而，我们发现了一种新型的双重提款攻击，该攻击利用这些无脚本功能以高概率破坏原子性。这种攻击内生于现有无脚本跨链交换协议及支付通道网络的设计之中。我们基于主流去中心化交易所处理的真实交易数据量化了该攻击的严重性，揭示了设计通用原子交换协议面临的关键挑战。为在保障安全性和实际普适性的同时抵御双重提款攻击，我们提出名为PipeSwap的跨链交换协议。该协议通过创新的流水线式代币流动范式（采用两跳交换与两跳退款技术），有效防止冻结代币被双重提款。除在通用可组合框架下进行全面的安全性分析外，我们还基于Schnorr/ECDSA签名开发了PipeSwap的概念验证实现，并通过大量实验评估其性能开销。实验结果表明，PipeSwap可在商用设备上以低于1.7秒的时延完成交换，同时保持不超过7kb的通信开销。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b566/26EkFFS2v8A

250、What We Talk About When We Talk About Logs: Understanding the Effects of Dataset Quality on Endpoint Threat Detection Research

终端威胁检测研究依赖于优质评估基准的可用性，但实验人员对基准数据集内容的理解往往有限。通常，研究者仅关注攻击行为的真实性（这类数据仅占数据集审计日志的极小比例），而数据的其他特征则晦涩难解且鲜为人知。针对"讨论日志（即数据集）时应探讨哪些问题"，我们提出了一套新框架：数据集中包含哪些活动？我们引入了一种创新可视化方法，通过绘制溯源图邻域在时间序列中的出现情况，以简洁方式呈现超过100GB数据集的全貌。背景活动的合成程度如何？我们对训练集划分中的溯源邻域进行自相关分析，以识别测试集划分中按固定间隔出现的进程行为。最后，恶意活动的显著程度如何？我们量化了攻击行为在训练集中被视为良性邻域的比例，并与先前未见的攻击邻域进行对比。随后，我们通过分析前沿入侵检测系统（R-CAID、FLASH、KAIROS、GNN）在多个公共基准数据集（DARPA透明计算与OpTC、ATLAS、ATLASv2）上的分类性能来验证这些问题。所有分类器的实验结果均表明：合成背景活动会显著虚增真阴性率，而显眼的恶意活动则会人为拔高真阳性率。进一步地，通过明确控制这些因素，我们提供了更全面的分类器性能评估。这项工作将提升威胁检测数据集相关讨论的深度，并增强威胁检测实验的严谨性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600a112/26hiTvlQv3W

251、WireWatch: Measuring the security of proprietary network encryption in the global Android ecosystem

我们推出WireWatch，一个用于评估安卓应用网络安全的大规模测量框架。该工具能检测应用是否使用明文网络流量及非标准私有加密协议。测量发现，小米应用商店头部应用中47.6%采用无额外加密措施的私有协议，而谷歌Play商店该比例仅为3.51%。我们对WireWatch识别的18种主流协议（分属9个协议族）展开深度分析，这些协议来自阿里巴巴、爱奇艺、快手和腾讯等企业的加密方案。研究发现其中8个协议族的网络请求存在可被窃听者解密的风险，暴露浏览数据与设备元数据等问题，其他漏洞还包括协议可降级、TLS证书未验证、RSA未采用OAEP填充等。这些漏洞影响小米商店26.9%的受测应用，累计下载量达1300亿次。WireWatch最终揭示：大量流行应用正通过不安全的私有网络协议加密敏感用户数据。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d916/26hiVQjbZqE

252、Your Cable, My Antenna: Eavesdropping Serial Communication via Backscatter Signals

本文提出了一种新型反向散射侧信道攻击方法——线缆反向散射攻击（BTC），该技术能够以低成本实现高效的串行数据窃取。BTC攻击利用串行端口在传输不同比特位（'0'和'1'）时产生的阻抗变化，导致反向散射信号幅度发生波动，从而使敏感串行数据通过反向散射侧信道发生泄漏。串行线缆作为非预期天线，使得攻击者能够远程截获该信号。BTC攻击具有显著的低门槛特性：既无需修改目标设备的硬件或软件，也不要求预先掌握目标设备信息或串行通信配置。实验验证表明，在视距（LOS）环境下最远可实现14.5米的数据窃取，在非视距（NLOS）场景下即使存在两道墙体阻隔仍能达到4.5米的有效距离。该攻击可适应高速数据传输（1Mbps及以上速率），且适用于各类线缆类型（最短4厘米线缆仍有效）。为深入理解其作用机理并优化攻击参数，研究进一步建立了全波模型，用于分析目标设备线缆长度和载波频率对攻击效果的影响。仿真结果表明，BTC攻击在1厘米极短线缆条件下仍能保持有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d710/26EkH5QQ1Ko

253、ZHE: Efficient Zero-Knowledge Proofs for HE Evaluations

同态加密（HE）允许在不解密的情况下对加密数据进行计算。当用户信息需由不可信服务器处理时，该技术能发挥作用，已成为隐私保护应用中的热门选择。然而，为获得有意义的结果，我们不得不假设服务器是诚实但好奇的——即它会严格遵循指令执行操作。若服务器存在恶意行为，则无法保证计算结果的正确性。可验证同态加密（vHE）概念的提出正是为了检测恶意服务器的行为，但现有vHE方案要么比基础HE操作慢四个数量级以上（Atapoor等人，CIC 2024），要么虽快却无法兼容服务器端隐私输入（Chatel等人，CCS 2024）。本文提出新型vHE框架ZHE：通过高效零知识证明（ZKPs）在保护服务器隐私输入的同时验证HE计算的正确执行。具体而言，我们首先针对HE计算的两项基础操作——模运算与（逆）数论变换（NTT）——设计了两种新型高效ZKP协议。继而构建了可扩展、证明速度快且具备非交互式在线阶段的定制化HE计算ZKP方案。该方案适用于所有基于环LWE的HE方案（如BGV和CKKS）。最后，我们为BGV和CKKS实现了协议，并在多种HE工作负载上开展大量实验。相比最先进方案，我们的证明时间和验证时间均有提升：尤其证明成本仅为基础HE操作的27-36倍，比现有最优方案降低两到三个数量级。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600d087/26hiVj5yzCw

254、“It’s almost like Frankenstein”: Investigating the Complexities of Scientific Collaboration and Privilege Management within Research Computing Infrastructures

研究计算基础设施（RCI）集成了高性能计算、先进数据存储解决方案与复杂网络协议，通过连接人员、数据与计算资源，在当今数据驱动型世界中促进科研协作。在此类高度协作的环境中，访问控制对防止资源滥用、保障数据完整性及优化资源分配至关重要，从而确保不同用户间安全可信的交互。然而，要通过有效的访问控制充分释放RCI的协作研究潜力，仅靠技术探索远远不够——更需要从人本视角深入理解系统操作者与使用者的真实需求。本文首次开展质性研究，通过12所研究机构中24位关键利益相关方（包括研究人员与系统管理员）的深度访谈，探究RCI交互中的人因维度，重点剖析以访问控制为核心的协作实践、挑战与需求。研究发现运营复杂性及基于项目需求与信任关系的资源共享动态，揭示了安全性与可用性之间的深层矛盾。基于这些发现，我们提出以利益相关方为导向的适应性访问控制设计建议与需求，为推进RCI中人本安全实践奠定基础。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600c995/26hiVfWPKog

256、“Sorry for bugging you so much.” Exploring Developers’ Behavior Towards Privacy-Compliant Implementation

尽管保护用户数据至关重要，但软件开发人员往往难以满足隐私要求。然而，他们为何在实现隐私合规方面举步维艰，其原因尚不明确——究竟是知识储备不足，还是支持体系缺位？为探究这一领域的基础性问题，我们开展了一项为期5小时的定性编程研究，邀请30名专业开发者完成3项基于GDPR合规要求设计的隐私敏感型编程任务。为观察开发者实现隐私要求的方式与程度，参与者被分为三组：对照组、隐私提示组和隐私专家支持组。任务完成后，我们进行了后续访谈。

令人警醒的是，近九成提交方案（79/90）不符合GDPR要求。具体而言，三项任务中没有任何一项被全部30名参与者合规完成，其中无提示组合规尝试数最低（3/30）。隐私提示和专家支持仅略微改善提交质量，合规尝试数分别为6/30和8/30。事实上，所有参与者都报告在应对目的限定、用户同意、数据最小化等常见隐私要求时存在严重障碍。反常的是，尽管多数开发者对自身方案信心不足，却极少寻求在线帮助或咨询专家——专家支持组中仅4/10明确请求合规确认。参与者更倾向于依赖现有实现方案，并优先聚焦功能与安全性的实现。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2025/223600b159/26hiU9ymces