2026-03-03 03:46:58 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档是“漏洞战争”公众号发布的NDSS2026国际安全顶会部分论文清单及摘要。内容涵盖了16篇前沿安全研究论文，涉及软件供应链、人工智能、物联网、区块链、操作系统内核等多个热点领域。这些研究通过构建新型分析工具、提出创新攻击方法、系统化分析现有机制漏洞、设计新型安全架构等方式，揭示了当前复杂系统（如LLM推理、DNS解析、SIP通信、车辆网络、机密计算等）中存在的深刻安全风险与防护短板，并提供了相应的解决方案与缓解措施，对推动安全社区认知与实践具有重要价值。 综合评分： 86 文章分类： 漏洞分析,二进制安全,AI安全,IoT安全,车联网安全

cover_image

NDSS 2026论文清单及摘要（下）

漏洞战争漏洞战争

漏洞战争

2026年3月1日 14:04 广东

201、RTrace: Towards Better Visibility of Shared Library Execution

软件供应链安全近年来已成为一个关键问题。现代软件系统越来越多地依赖第三方依赖项来加速开发。共享库是现代软件系统中软件共享的主要形式，因此也是第三方依赖的主要形式。随着越来越多的攻击针对软件供应链，理解这些依赖项的行为对于识别漏洞和恶意代码至关重要。因此，准确追踪共享库内的函数调用对于有效的软件安全分析至关重要。然而，现有的库函数追踪工具往往无法满足这一需求。正如我们在本文中所展示的，最先进的库函数追踪工具在有效性和可扩展性方面存在局限，遗漏了大量函数调用，并且在处理更复杂的工作负载时失败，导致对运行时行为的不完整或误导性视图。在本文中，我们提出了RTrace，一个旨在解决现有解决方案局限性的追踪工具。我们分析了广泛使用的追踪工具遗漏函数调用的根本原因，并确定了常见陷阱，如依赖不正确的符号信息以及无法监控早期或间接的函数调用。RTrace通过结合全面的运行时监控、函数边界检测以及对隐式和非传统函数调用的支持，克服了这些挑战。我们将RTrace与四种最先进的追踪工具（即ltrace、drltrace、ldaudit和IntelPT）进行了比较。我们在21个应用程序和92个共享库上的评估表明，RTrace在检测函数调用方面显著优于现有工具。RTrace在所有基准测试中至少达到0.92的F1分数，而最好的现有追踪工具仅达到0.74，从而提供了对共享库运行时行为的更准确可见性。最后，我们展示了如何通过提供更完整的共享库函数使用视图，利用RTrace辅助检测恶意包和进行漏洞分析。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1243-paper.pdf

202、SACK: Systematic Generation of Function Substitution Attacks Against Control-Flow Integrity

控制流完整性（CFI）是一种广泛采用的防御控制流劫持攻击的技术，旨在限制间接控制传输到一组合法目标。然而，即使在精确的静态CFI策略下，攻击者仍然可以通过函数替换攻击（Sub攻击）来劫持控制流，即用一个仍然允许集合内的有效目标替换另一个有效目标。尽管先前的研究已经通过手动构建证明了此类攻击的可行性，但没有一种方法能够系统化、可扩展地端到端地构建这些攻击。在这项工作中，我们提出了SACK，这是第一个用于大规模自动构建Sub攻击的系统框架。SACK从良性执行中收集触发的间接调用目标，并在大型语言模型的协助下合成安全预言机。然后，它自动执行目标替换，并利用安全预言机检测安全违规，同时确保执行严格遵循精确的CFI策略。我们将SACK应用于七种广泛使用的应用程序，成功构建了419个危及关键安全功能的Sub攻击。我们进一步基于SQLite3、V8和Nginx中的历史漏洞开发了五个端到端漏洞利用程序，实现了任意命令执行或身份验证绕过。我们的研究结果表明，SACK提供了一个可扩展且自动化的管道，能够在不同应用程序中发现大量端到端攻击。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2317-paper.pdf

203、SAGA: A Security Architecture for Governing AI Agentic Systems

基于大型语言模型(LLM)的代理日益自主地相互交互、协作和委派任务，且与人类的互动最小化。代理系统治理的行业指南强调用户需要对其代理保持全面控制，以减轻恶意代理可能造成的潜在损害。多项提出的代理系统设计解决了代理身份、授权和委派问题，但仍停留在纯理论层面，缺乏具体实现和评估。最重要的是，它们不提供用户控制的代理管理。为解决这一差距，我们提出了SAGA，即可扩展的代理系统安全治理架构，使用户能够监督其代理的整个生命周期。在我们的设计中，用户向中央实体(提供者)注册其代理，该实体维护代理的联系信息、用户定义的访问控制策略，并帮助代理在代理间通信中执行这些策略。我们引入了一种用于派生访问控制令牌的密码学机制，可对代理与其他代理的交互进行细粒度控制，并提供正式的安全保证。我们在多个代理任务上评估了SAGA，使用位于不同地理位置的代理以及多种设备端和云端LLM，结果表明在广泛条件下，系统性能开销最小，且不影响底层任务效用。我们的架构实现了自主代理的安全可信部署，促进了该技术在敏感环境中的负责任应用。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s869-paper.pdf

204、Scalable Off-chain Auction

区块链拍卖在数字资产（如NFT）的价格发现中发挥着重要作用。然而，尽管其重要性显著，但在以太坊等区块链上直接实施拍卖会面临可扩展性问题。具体而言，链上交易的数量随竞标者数量增加而急剧下降，导致网络拥堵、交易费用上升和交易确认时间延长。这种可扩展性的缺失严重限制了系统处理当今经济中常见的大规模、高速拍卖的能力。在本工作中，我们构建了一个协议，使得拍卖商可以完全在链下进行密封投标拍卖，当各方行为诚实时；如果在n方拍卖协议中有k个竞标者偏离（例如，不公开其密封投标），则链上复杂度仅为O(k)。这优于现有解决方案，即使只有一个竞标者偏离协议，现有解决方案也需要O(n)的链上复杂度。在拍卖商恶意的情况下，我们的协议仍能确保拍卖成功终止。我们实现了该协议，并证明与现有链上解决方案相比，它提供了显著的效率提升。我们使用零知识简洁非交互知识论证（zkSnark）来实现可扩展性，这也确保了链上合约和其他参与者无法获取竞标者身份及其各自投标的信息，除了获胜者和中标金额。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s410-paper.pdf

205、SECV: Securing Connected Vehicles with Hardware Trust Anchors

现代车辆将车外网络（EVN）与车内网络（IVN）集成，以支持导航、诊断和空中更新。这种融合引入了EVN平台作为IVN网关处控制消息的新来源，打破了网关仅过滤来自简单、孤立且隐式信任的遗留ECU流量的传统假设。相反，EVN平台托管了一个具有完整操作系统和多个应用程序的复杂EVN管理器，大大扩大了攻击面：被攻破的操作系统或应用程序可以伪造规避网关过滤的控制消息。我们提出了SECV，一种运行时安全机制，使IVN网关能够准确验证源自EVN的控制消息，即使EVN管理器被攻破。sys在可信执行环境（TEE）内调解所有EVN到IVN的流量，执行每应用程序验证，并附加密码学证明。这些证明由IVN网关使用硬件安全模块（HSM）进行验证，提供低开销的可靠消息认证。SECV解决了TEE-HSM信任建立、实时调解和妥协情况下的稳健归属等实际挑战。在配备ARM TrustZone和符合EVIT标准的HSM的汽车SoC上实现，SECV仅提供6.5%的传输几何平均开销和极端通信突发期间的1.5%额外消息丢失，强制执行强大的安全保证，有效缓解源自EVN的攻击，同时满足实时约束。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f106-paper.pdf

206、Select-Then-Compute: Encrypted Label Selection and Analytics over Distributed Datasets using FHE

私有集合交集（PSI）协议允许查询者确定数据集中是否存在某项，而无需揭示查询内容或暴露不匹配的记录。它在欺诈检测、合规监控、健康分析和跨分布式数据源的安全协作等领域有广泛应用。在这些情况下，通过PSI获得的结果可能是敏感的，甚至在向查询者揭示结果之前，需要对相关数据进行某种形式的下游计算，这些计算可能涉及浮点运算，例如机器学习模型的推理。尽管已经提出了许多此类协议，其中一些甚至支持在分布式加密集合上进行安全查询，但它们未能解决上述现实世界的复杂问题。在这项工作中，我们首次提出了”加密标签选择和分析”协议构建，它允许查询者安全地检索不仅限于标识符之间的交集结果，还包括与相交标识符相关联的数据/标签的下游函数结果。为此，我们构建了一种基于近似CKKS全同态加密的新颖协议，支持对实值数据进行高效的标签检索和下游计算。此外，我们引入了几种技术来处理大域中的标识符（例如64位或128位），同时确保下游计算的高精度。最后，我们实现了并基准测试了我们的协议，将其与最先进的方法进行比较，并在真实世界的欺诈数据集上进行了评估，展示了其在大规模用例场景中的可扩展性和效率。我们的结果显示比先前方法快1.4倍至6.8倍，能够在65秒内对真实数据集上的加密标签进行选择和分析，使我们的协议在实际部署中具有实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f207-paper.pdf

207、Shadow in the Cache: Unveiling and Mitigating Privacy Risks of KV-cache in LLM Inference

键值（KV）缓存通过存储中间注意力计算（键值对）以避免冗余计算，是加速大语言模型（LLM）推理的基本机制。然而，这种效率优化引入了显著但尚未充分探索的隐私风险。本文首次对这些漏洞进行了全面分析，证明攻击者可以直接从KV缓存中重建敏感的用户输入。我们设计并实现了三种不同的攻击向量：直接逆向攻击、适用范围更广且更强大的碰撞攻击，以及基于语义的注入攻击。这些方法证明了KV缓存隐私泄露问题的实际性和严重性。为缓解这一问题，我们提出了KV-Cloak，一种新颖、轻量且高效的防御机制。KV-Cloak使用基于可逆矩阵的混淆方案，结合算子融合，来保护KV缓存。我们的广泛实验表明，KV-Cloak有效阻止了所有提出的攻击，将重建质量降低到随机噪声水平。重要的是，它在几乎不损害模型准确性的情况下实现了这种强大的安全性，且性能开销极小，为可信LLM部署提供了实用的解决方案。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f258-paper.pdf

208、Should I Trust You? Rethinking the Principle of Zone-Based Isolation DNS Bailiwick Checking

DNS缓存投毒攻击通过向解析器中注入伪造的资源记录来秘密劫持域名访问。为应对此类攻击，解析器采用辖区检查（bailiwick checking）这一关键防御机制，旨在过滤DNS响应中可能存在的恶意记录。然而，在第三方服务背景下，域名所有权与传统自上而下的区域授权模型之间的不匹配，对辖区检查的有效性构成了重大挑战。本文对辖区检查的设计与实现进行了系统性分析，证明主流解析器普遍采用保守原则：它们会缓存任何满足最低约束的资源记录，而不管其与原始查询的直接相关性如何。基于这一发现，我们提出了一种新型缓存投毒攻击（称为”布谷鸟域名”）：攻击者通过控制单个子域名，可危害其父域名或兄弟域名。测试结果表明，包括BIND9和Microsoft DNS在内的七种主要DNS解析器实现存在漏洞。通过大规模测量研究，我们确认44.64%的开放解析器和21家主要公共DNS服务提供商也面临风险。此外，我们发现No-IP、ClouDNS和Akamai等7家提供商提供的超过百万个子域名可能易受此类攻击劫持。我们已进行了负责任的披露，向受影响的软件供应商和服务提供商报告了相关问题。BIND9、Unbound、PowerDNS和Technitium已确认我们的报告并分配了3个CVE编号。我们呼吁社区和软件厂商共同应对现代服务生态系统对辖区检查有效性提出的新挑战。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f330-paper.pdf

209、Side-channel Inference of User Activities in AR/VR Using GPU Profiling

过去十年，AR/VR设备彻底改变了我们与数字世界的交互方式。用户经常在这些设备上安装的第三方应用中分享敏感信息，如位置、浏览历史，甚至是财务数据，并假设这些信息受到恶意行为者的保护，处于安全环境中。最近的研究表明，恶意应用可以利用这些功能监控良性应用，通过跟踪用户活动，利用性能计数器API等细粒度分析工具。然而，并非所有AR/VR设备（如Meta Quest）都支持应用间监控，因为它们禁用了并发独立应用执行。在本文中，我们提出了OVRWatcher，一种面向AR/VR设备的新型侧通道原语，它通过后台脚本监控低分辨率（1Hz）的GPU使用情况来推断用户活动，这与依赖高分辨率分析的前期工作不同。OVRWatcher能够捕捉不同速度、距离和渲染场景下GPU指标与3D对象交互之间的相关性，无需并发应用执行、应用数据访问或额外SDK安装。我们证明了OVRWatcher在识别独立AR/VR和WebXR应用方面的有效性。OVRWatcher还能区分虚拟对象，例如沉浸式购物应用中真实用户选择的产品以及虚拟会议的参与者数量，从而揭示用户的产品偏好并可能暴露会议中的机密信息。OVRWatcher在应用识别方面实现了超过99%的准确率，在对象级推断方面实现了超过98%的准确率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1302-paper.pdf

210、SIPConfusion: Exploiting SIP Semantic Ambiguities for Caller ID and SMS Spoofing

会话初始化协议（SIP）是现代实时通信系统的基石，为VoIP、VoLTE和RCS等服务中的语音通话、文本消息和多媒体会话提供支持。尽管SIP提供了身份验证和身份声明的机制，但其固有的灵活性可能导致不同实现之间存在语义歧义，从而被攻击者利用。在本文中，我们提出了SIPChimera，一种新颖的黑盒模糊测试框架，旨在系统性地识别SIP实现中基于身份歧义的身份欺骗漏洞。我们对六种广泛使用的开源SIP服务器（包括Asterisk和OpenSIPS）和九种流行的用户代理进行了SIPChimera评估，发现攻击者可以通过操纵身份头信息来欺骗身份并绕过身份验证。我们通过评估五种VoIP设备、七种商业SIP部署和三种运营商级基于RCS的短信平台，展示了这些漏洞的现实影响。我们的实验表明，攻击者可以利用这些漏洞在VoIP通话中进行来电显示欺骗，并通过RCS发送欺骗性短信，冒充任意用户或服务。我们已向相关供应商负责任地披露了我们的发现，并收到了积极确认。最后，我们提出了缓解这些问题的解决方案。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s116-paper.pdf

211、Small Cell, Big Risk: A Security Assessment of 4G LTE Femtocells in the Wild

femtocell是小型、由运营商部署的基站，旨在扩展移动网络覆盖范围，但它们与运营商移动基础设施的整合引入了显著的新攻击面。虽然5G femtocell标准最近才最终确定，但4G LTE femtocell已经标准化并广泛实施。在这项工作中，我们基于真实商业设备和大规模互联网测量，对4G LTE femtocell进行了首次系统性安全评估。我们系统分析了4款商业femtocell设备的软件和硬件，确定了5个关键且普遍存在的漏洞，这些漏洞可导致本地或远程系统被攻破。我们的全球互联网测量发现了86,108个疑似femtocell部署，其中许多容易受到远程攻击。此外，我们在真实运营商网络中实验验证了单个被攻破的femtocell可作为攻击移动核心网络及其订阅者的有力入口点。我们的研究结果表明，在现有4G LTE网络中，femtocell安全仍然是一个紧迫的关切问题。我们将研究结果报告给了全球移动通信系统协会（GSMA）和第三代合作伙伴计划（3GPP）服务与系统方面工作组3（SA3）。3GPP SA3随后批准了一项进一步强化5G femtocell安全的研究项目，以及一项定义5G femtocell安全保证规范（SCAS）的工作项目。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1968-paper.pdf

212、SNPeek: Side-Channel Analysis for Privacy Applications on Confidential VMs

基于可信执行环境（TEEs）的机密虚拟机（CVMs）能够实现新的隐私保护解决方案。然而，它们将侧信道泄漏排除在其威胁模型之外，将缓解此类攻击的责任转移给开发者。但是，这些缓解措施要么不够通用，要么在实际应用中速度太慢，而且开发者目前缺乏一种系统、高效的方法来测量和比较实际部署中的泄漏情况。在本文中，我们提出了SNPeek，一个开源工具包，它可在生产级AMD SEV-SNP硬件上提供可配置的侧信道跟踪原语，并结合基于统计和机器学习的分析流程，实现自动化的泄漏估计。我们将SNPeek应用于三个部署在CVM上以增强用户隐私的代表性工作负载——私有信息检索、私有频繁项和Wasm用户定义函数，并发现了先前未被注意到的泄漏，包括一个以497 kbit/s速率泄露数据的隐蔽信道。结果表明，SNPeek能够精确定位漏洞，并指导基于 oblivious memory 和差分隐私的低开销缓解措施，为从业者提供了一条具有实际意义的部署具有实质性保密保证的CVMs的路径。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f699-paper.pdf

213、SoK: Analysis of Accelerator TEE Designs

加速器可信执行环境（TEE）是一种流行技术，为加速器中的敏感数据/代码提供强大的机密性、完整性和隔离保护。然而，大多数研究针对特定CPU或加速器设计，因此缺乏通用性。最近的TEE调查部分总结了加速器计算中的威胁和保护措施，但尚未提供构建加速器TEE的指南，也未比较其安全解决方案的优缺点。本文多年来对加速器TEE进行了全面分析。我们总结了构建加速器TEE的典型框架，并归纳了从软件到物理攻击的广泛使用的攻击向量。此外，我们对加速器TEE的三大安全机制进行了系统化：(1)访问控制，(2)内存加密/解密，(3)认证。对于每个方面，我们比较了现有研究中不同的安全解决方案并总结了它们的见解。最后，我们分析了影响TEE在实际平台部署的因素，特别是关于可信计算基（TCB）和兼容性问题。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1424-paper.pdf

214、SoK: Cryptographic Authenticated Dictionaries

我们对认证字典（ADs）的研究进行了系统化整理——这是一种密码学数据结构，能够支持密钥透明度、二进制透明度、可验证键值存储以及完整性保留文件系统等应用。首先，我们提出了一个统一框架，概括了五种常见部署场景背后的信任和威胁假设。其次，我们提炼并调和了文献中分散的各种安全定义，明确了它们提供的保证以及各自的适用场景。第三，我们构建了AD结构的分类法，并分析了它们的渐近成本，揭示了一个明显的二元对立：所有已知方案要么在查找和更新操作上都需O(log n)时间，要么仅通过使另一操作付出O(n)的代价来实现某一操作的O(1)时间复杂度。令人惊讶的是，即使引入更强的信任假设，这一障碍仍然存在，这削弱了”更多信任换取效率”的直观认识。最后，我们提出了应用驱动的研究问题，包括现实的审计模型以及在当前完全不提供可验证完整性的系统中促进采用的激励机制。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1465-paper.pdf

215、SoK: Take a Deep Step into Linux Kernel Hardening Effectiveness from the Offensive-Defensive Perspective

尽管人们已付出巨大努力来加固Linux内核——这一支撑众多广泛使用的发行版（如Ubuntu、Debian、Fedora）的基础——但它仍然持续面临复杂且顽固的内存安全漏洞。在本研究中，我们引入了一个新颖的系统性框架，从攻击者的角度将内核利用分解为三个不同阶段。通过对2015年以来121个公开记录的漏洞利用进行综合分析，我们识别并分类了64个反复出现的攻击向量。利用这种结构化方法，我们对51个现有的内核防御机制进行了深入评估，清晰地映射了它们的覆盖范围、局限性、冗余性和相互依赖性。我们的研究结果揭示了显著的保护缺口：23个攻击向量完全没有得到保护，31个现有防御机制可以被绕过或已过时。此外，我们还发现流行下游发行版在理论有效性与实际部署之间存在显著差异，突显了四个主要发行版中4个未被充分利用的加固措施和配置错误。通过阐明这些关键缺口并提供可行的见解，我们的工作指导内核开发者和安全实践者加强防御策略并完善未来安全设计。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1725-paper.pdf

216、SoK: Understanding the Fundamentals and Implications of Sensor Out-of-band Vulnerabilities

传感器是信息物理系统(CPS)的基础，通过将物理刺激转换为数字测量值，实现感知和控制。然而，尽管对传感器物理攻击的研究日益增多，由于该领域的临时性特点，我们对传感器硬件漏洞的理解仍然零散。此外，无限的攻击信号空间进一步威胁抽象和防御复杂化。为解决这一差距，我们提出了一个系统化框架，称为传感器带外(OOB)漏洞，首次基于底层物理原理为传感器攻击面提供了全面抽象。我们采用自底向上的系统化方法，分析三个层面的OOB漏洞。在组件层面，我们确定导致OOB漏洞的物理原理和局限性。在传感器层面，我们对已知攻击进行分类并评估其实用性。在系统层面，我们分析传感器融合、闭环控制和智能感知等CPS特性如何影响OOB威胁的暴露和缓解。我们的研究结果为传感器硬件安全提供了基础理解，并为旨在构建更安全传感器和CPS的传感器设计师、安全研究人员和系统开发者提供了指导及未来方向。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s450-paper.pdf

217、STIP: Three-Party Privacy-Preserving and Lossless Inference for Large Transformers in Production

模型参数和用户数据的隐私对于基于Transformer的云服务（如在线聊天机器人）至关重要。虽然最近在安全多方计算和同态加密方面的进展提供了强大的密码学保证，但其计算开销使得它们对于大规模Transformer模型的实时推理变得不可行。在这项工作中，我们提出了一种实用的替代方案，在实际部署中平衡隐私和效率。我们引入了一个三方威胁模型，涉及模型开发者、云模型服务器和数据所有者，捕捉了实际AI服务的信任假设和部署条件。在该框架内，我们设计了一种基于半对称置换的保护机制，并提出了STIP，这是首个可在商用硬件上部署的大规模Transformer三方隐私保护推理系统。STIP在保持无损推理准确性的同时，正式限制了隐私泄露。为进一步保护模型参数，STIP集成了可信执行环境以抵御模型提取和微调攻击。我们在六种代表性的Transformer模型家族（包括多达700亿参数的模型）和三种部署设置下评估了STIP。STIP的效率与无保护的全云推理相当，例如，STIP在LLaMA2-7B模型上实现了31.7毫秒的延迟。STIP还表现出对用户数据和模型参数各种攻击的有效抵抗力。STIP已在我们专有的70B模型的生产环境中部署。在为期三个月的在线测试中，STIP仅带来12%的额外延迟，且未报告任何隐私事件，证明了其在生产规模AI系统中的实用性和稳健性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s35-paper.pdf

218、Strategic Games and Zero-Shot Attacks on Heavy-Hitter Network Flow Monitoring

高频检测是线级DDoS缓解和速率限制的基础，然而其针对自适应攻击者的鲁棒性在很大程度上尚未被探索。我们构建了一个端到端评估框架，将高频检测逻辑嵌入到交换级模拟器中，并使用强化学习自动调整其参数，以对网络中的大象流进行速率限制。随后，我们将该保护系统与一个自适应攻击者对抗，该攻击者学习在规避检测的同时最大化吞吐量，并展示其能够将配置的带宽上限提高高达299%，暴露了系统性的盲点。为了加强监控系统，我们采用了一种联合对抗训练形式：检测器与攻击者共同进化，达到一种攻防纳什均衡，其中攻击者利用网络带宽的能力降低了2.2倍。最后，我们证明可以使用机器学习创建智能数据包合成器，能够在9个测试系统中的8个上执行带宽利用，而无需针对检测系统的任何先验知识。我们将其称为零次攻击，因为它不需要了解目标高频检测系统即可执行其功能。我们的开源框架有助于量化未被充分照亮的攻击面，并为对抗鲁棒的数据平面流监控提供了一种建设性方法。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1301-paper.pdf

219、Success Rates Doubled with Only One Character: Mask Password Guessing

虽然传统的全密码猜测攻击已被广泛研究，但很少有研究探索掩码密码猜测，即攻击者通过利用各种侧信道攻击（如肩窥、指纹和按键音频反馈）以某种方式获得了目标受害者的密码的部分信息（如长度和/或某些字符）。为了评估具有不同能力的掩码攻击者构成的威胁，我们研究了四种主要的掩码猜测场景，每种场景基于攻击者利用的不同类型的信息（例如，受害者密码的长度和某些字符）。我们首次通过提出两种密码模型（基于神经网络的PassSeq和基于概率统计的Kneser-Ney），系统地全面地描述了结合侧信道先验、可识别个人信息（PII）和先前泄露的（姐妹）密码的掩码猜测的影响。我们使用最大似然估计技术，提出了一种新的猜测次数估计方法，以准确高效地估计在给定密码模型下针对目标密码所需的猜测次数。在15个大规模数据集上的广泛实验证明了PassSeq和Kneser-Ney的有效性。特别是在十次猜测内：（1）当拖网攻击者知道受害者4位PIN码的字符组成（无顺序）时，成功率提高152%（从14%增至35%）；（2）当基于PII的定向攻击者知道受害者密码的长度时，成功率提高47%-82%；（3）如果该定向攻击者还知道受害者密码的一个字符（除长度外），成功率通常翻倍，达到7%-29%（而对于能够利用受害者姐妹密码的定向攻击者，这些数字将达到33%-73%）。为了进一步验证我们掩码猜测模型的实用性，我们从11种流行键盘（如苹果、戴尔、联想）收集了真实的按键音频数据，并复制了通过声学侧信道推断部分密码信息的攻击。实验表明，我们的PassSeq显著提高了现有按键推断攻击的成功率，在10次猜测内实现了额外5.6%-166.7%的改进。这项工作强调掩码密码猜测是一种值得更多关注的破坏性威胁。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1059-paper.pdf

220、SVDefense: Effective Defense against Gradient Inversion Attacks via Singular Value Decomposition

联邦学习（FL）能够在不共享原始数据的情况下实现协作模型训练，但容易受到梯度反转攻击（GIA），即攻击者通过共享的梯度重建私有数据。现有防御方法要么对嵌入式平台造成不切实际的计算开销，要么无法同时实现隐私保护和良好的模型效用。此外，许多防御方法可以被已获取防御细节的自适应攻击者轻易绕过。为解决这些局限性，我们提出了SVDefense，一种针对GIA的新型防御框架，利用截断奇异值分解（SVD）来模糊梯度更新。SVDefense引入了三项关键创新：自适应能量阈值，能够适应客户端的脆弱性；通道加权近似，选择性保留有效模型训练所需的关键梯度信息，同时增强隐私保护；以及层加权聚合，用于处理类别不平衡情况下的有效模型聚合。我们的广泛评估表明，在图像分类、人体活动识别和关键词识别等多个应用中，SVDefense通过提供强大的隐私保护且对模型精度影响最小，优于现有防御方法。此外，SVDefense适用于部署在各种资源受限的嵌入式平台上。论文接受后，我们将公开我们的代码。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s114-paper.pdf

221、SYSYPHUZZ: the Pressure of More Coverage

内核模糊测试能有效发现漏洞。虽然现有的内核模糊测试器主要专注于最大化代码覆盖率，但仅靠覆盖率并不能保证彻底的探索。此外，旨在最大化覆盖率的现有模糊测试器已进入平台期。这一紧迫情况凸显了需要一个新的方向：面向代码频率的内核模糊测试。然而，增加对低频内核代码的探索面临两个关键挑战：(1)资源限制使得在不导致任务爆炸的情况下难以调度足够的任务来探索低频区域。(2)随机突变常常会破坏针对低频区域的系统调用上下文依赖，降低模糊测试的有效性。在我们的论文中，我们首先通过评估Syzkaller在Linux内核中的表现，对不平衡代码覆盖率进行了细粒度研究，并作为回应，提出了SYSYPHUZZ，一个旨在增强对测试不足代码区域探索的内核模糊测试器。SYSYPHUZZ引入了选择性任务调度，以动态优先排序和管理探索任务，避免任务爆炸。它还采用上下文保持突变策略，降低破坏重要执行上下文的风险。我们将SYSYPHUZZ与最先进的(SOTA)内核模糊测试器Syzkaller和SyzGPT进行了比较评估。我们的结果表明，SYSYPHUZZ显著减少了探索不足的代码区域数量，发现了Syzkaller遗漏的31个独特漏洞和SyzGPT遗漏的27个漏洞。此外，SYSYPHUZZ还发现了Syzbot遗漏的5个漏洞，Syzbot在数百台虚拟机上持续运行，这证明了SYSYPHUZZ的有效性。为了评估SYSYPHUZZ对最先进模糊测试器的增强效果，我们将它与SyzGPT集成，产生了SyzGPTsysy，它发现了多33%的独有漏洞，凸显了SYSYPHUZZ的潜力。所有发现的漏洞都已负责任地披露给Linux维护者。我们在https://github.com/HexHive/Sysyphuzz上发布了SYSYPHUZZ的源代码，并正在尝试将其合并到Syzkaller中。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s921-paper.pdf

222、Targeted Password Guessing Using k-Nearest Neighbors

随着用户密码账户数量的不断增加，用户越来越倾向于重复使用密码。最近，已有大量研究致力于构建针对性的密码猜测模型来表征用户的密码重复使用行为。然而，现有研究主要专注于通过仅训练相似的密码对（例如，textnormal{texttt{Shark0301} → texttt{shark03}}）来表征微小的修改行为。这导致了过拟合问题，使得现有模型忽视了用户的大幅度修改行为（例如，textnormal{texttt{Shark0301} → texttt{Bear03}}）。为填补这一空白，本文引入了一种名为 emph{k}-最近邻针对性密码猜测（KNN-TPG）的新非参数方法。KNN-TPG构建了一个数据存储，保留了所有源密码的上下文向量以及目标密码的前缀。在生成新密码的过程中，KNN-TPG从数据存储中检索 emph{k} 个最近邻向量，以确保生成的密码更好地符合真实的密码分布。通过创造性地将KNN-TPG与我们提出的基于Transformer的密码模型相结合，我们提出了一个新的针对性密码猜测模型，即KNNGuess。在生成新密码的每一步，KNNGuess预测并利用三种不同的分布，旨在全面建模用户的密码重复使用行为。我们通过大量实验验证了KNNGuess模型和KNN-TPG方法的有效性，这些实验包括12个大规模真实世界密码数据集，包含48亿个密码。更具体地说，当用户在网站A的密码（即$pw_A$）被泄露时，在100次猜测内，KNNGuess猜测其在网站B的密码（即$pw_B$，且$pw_B$$neq$$pw_A$）的成功率对于普通用户为25.40%，对于安全意识较强的用户为10.26%，比其主要竞争对手高出8.52%-119.0%（平均55.33%）。与最先进的密码模型（即Pass2Edit和PointerGuess）相比，这一数值高出8.52%-27.66%（平均18.09%）。我们的研究结果表明，密码篡改攻击的威胁比用户预期的要高。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s2077-paper.pdf

223、Targeted Physical Evasion Attacks in the Near-Infrared Domain

多种攻击依赖于红外光源或吸热材料，以在各种图像识别应用中不可察觉地欺骗系统，使其错误解读视觉输入。然而，几乎所有现有方法只能发起无目标攻击，并且由于用例特定约束（如位置和形状）而需要大量优化。本文提出了一种新颖、隐蔽且经济高效的攻击方法，能够生成有目标和无目标的对抗性红外扰动。通过使用现成的红外手电筒将透明薄膜上的投影投射到目标物体上，我们的方法首次能够在红外领域可靠地发起无激光有目标攻击。在数字和物理领域交通标志上的大量实验表明，与先前工作相比，我们的方法在各种攻击场景中（包括不同光照条件、距离和角度）具有更强的鲁棒性，并能取得更高的攻击成功率。同样重要的是，我们的攻击方法成本极低，部署成本不到50美元，仅需几十秒。最后，我们提出了一种基于分割的新型检测方法，能够有效抵御我们的攻击，F1分数高达99%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1568-paper.pdf

224、TBTrackerX: Fantastic Trigger Bots and Where to Find Malicious Campaigns on X

在线社交网络（OSNs）中的恶意行为者使用脚本控制的社会机器人，通过回复或评论与用户互动。这些机器人被编程为仅在帖子中出现特定触发关键词时才激活。我们将这类先进的上下文感知活动者称为触发机器人（TB）代理，其目的是欺骗用户为非法产品付款或泄露敏感的金融凭证。本文对TB代理的检测和特征进行了系统性和数据驱动的研究。我们介绍了TBTrackerX，这是一个为收集和分析TB活动而设计的新框架。使用该系统，我们从2,647个独特的TB代理中捕获了4,452个TB代理回复，这些回复针对我们的蜜罐账户，并揭示了与X平台上超过84K用户的互动。我们的研究结果表明，TB代理通过使用上下文相似的回复（相似度高达0.97）、表现出间歇性发布模式（爆发时间从15秒到5分钟不等）以及在活动高峰期后采用休眠行为来规避检测。此外，我们还识别出一个协调的TB生态系统，其特征是虚假的TB关注者和共享的TB主控者。这项研究强调了迫切需要更好的审核和检测机制来对抗这些复杂的社会媒体操纵形式。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1239-paper.pdf

225、The Dark Side of Flexibility: Detecting Risky Permission Chaining Attacks in Serverless Applications

现代无服务器平台通过将基础设施与函数级开发解耦，实现了应用的快速演进。然而，这种灵活性导致无服务器应用的去中心化函数级权限配置与集中式云访问控制系统之间存在根本性不匹配。我们观察到，这种不匹配通常会导致无服务器应用中的函数存在风险权限，攻击者可以利用这些风险权限链接多个函数来提升权限、接管账户，甚至横向移动以入侵其他账户。我们将此类攻击称为”风险权限链接攻击”。在本工作中，我们提出了一种自动化推理系统，能够检测可用于链接攻击的风险权限。首先，我们基于以攻击者为中心的模式抽象方法，明确捕获了来自不同函数和账户的独立权限如何合并为实际的攻击链。基于这种抽象，我们构建了一个模式引导的检测工具，用于发现现实世界无服务器应用中的可利用权限链。我们通过分析来自AWS和阿里云官方生产级应用仓库的无服务器应用，评估了我们的方法。结果表明，我们的分析发现了28个存在漏洞的应用，包括5个已确认的CVE、6个负责任的漏洞认可和1个安全赏金。这些发现表明，风险权限链接攻击不仅是理论风险，也是已经存在于商业无服务器部署中的结构性且可利用的威胁，其根源在于去中心化无服务器应用与集中式访问控制模型之间的根本性不匹配。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s819-paper.pdf

226、The Heat is On: Understanding and Mitigating Vulnerabilities of Thermal Image Perception in Autonomous Systems

热成像相机日益被视为自主系统中确保低能见度条件下感知能力的可行解决方案。自动驾驶汽车、机器人和无人机的热感知集成管线中集成了专业光学元件和先进信号处理技术，能够捕捉相对温度变化，并在传统可见光相机难以应对的场景（如夜间、雾天或大雨）中检测生物和物体。然而，热感知系统的安全性和可信度是否与传统相机相当，目前尚不清楚。我们的研究揭示了热图像处理中存在的三种新型漏洞，这些漏洞存在于热相机固有的均衡化、校准和透镜机制中。这些漏洞可由环境中自然存在或恶意放置的热源触发，改变感知到的相对温度，或产生时间控制的人工制品，从而阻碍障碍物避让功能的正常运行。我们系统分析了三种自主系统用热相机（FLIR Boson、InfiRay T2S、FPV XK-C130）中的漏洞，评估了它们对三种微调热物体检测器和两种可见光-热融合自动驾驶模型的影响。研究结果显示，由于均衡化过程中的缺陷，行人检测的平均精度下降了50%，融合模型下降了45%。最高时速40公里的真实道路测试显示，行人误检率高达100%，且能以91%的成功率制造虚假障碍物，这些影响在攻击结束后仍会持续数分钟。为解决这些问题，我们提出了并评估了三种新型威胁感知信号处理算法，能够动态检测并抑制攻击者引入的人工制品。我们的研究结果揭示了热感知过程的可靠性，旨在提高人们对该技术用于障碍物避避时局限性的认识。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s330-paper.pdf

227、The Role of Privacy Guarantees in Voluntary Donation of Private Health Data for Altruistic Goals

出于利他目的自愿捐赠私人健康信息，例如支持研究进展，是一种常见做法。然而，对数据滥用和泄露的担忧可能会阻碍人们捐赠其信息。隐私增强技术（PETs）旨在缓解这些担忧，从而实现安全私密的数据共享。本研究通过在Prolific平台招募参与者进行了一项情景调查（N=494），考察了美国人在四种PETs提供的通用保障下，为开发新治疗而捐赠医疗数据的意愿：数据过期、匿名化、目的限制和访问控制。研究探讨了验证这些保障的两种机制：自我审计和专家审计，并控制了混杂因素的影响，包括人口统计特征以及两种类型的数据收集机构：营利性和非营利性机构。我们的研究结果表明，受访者对非营利实体事先抱有极高的隐私期望，因此明确列出隐私保护措施对其整体感知影响甚微。相比之下，提供隐私保障提升了受访者对营利实体的隐私期望，使其与非营利组织的期望几乎持平。此外，尽管技术界建议将审计作为增加对PET保障信任的机制，但我们观察到关于此类审计透明度的效果有限。我们强调了这些发现相关的风险，并强调了未来跨学科研究工作的迫切需要，以弥合技术界与终端用户之间在审计PETs有效性认知方面的差距。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s518-paper.pdf

228、There is No War in Ba Sing Se: A Global Analysis of Content Moderation in Large Language Models

大型语言模型（LLMs）被广泛用于信息获取，但其内容审核行为在不同地理和语言背景下差异显著。本文对来自15个领先LLMs的70多万条回复进行了首次全面分析，这些回复从12个地点使用1,118个涵盖五个类别的敏感查询（涉及13种语言）进行评估。我们发现存在显著的地理差异，审核率在不同地点间相对差异高达60%——例如，软审核（如回避性回复）在德语语境中出现率为14.3%，而在祖鲁语语境中为24.9%。按类别分析，其他（通常不安全）、仇恨言论和性内容比政治或宗教内容受到更严格的审核，其中政治内容显示出最大的地理变异性。我们还观察到在线和离线模型版本之间的差异，例如DeepSeek本地部署时的软审核率比通过API调用时高出15.2%。回复长度（和时间）分析显示，审核过的回复平均比未审核的回复短约50%。这些发现对AI公平性和数字平等具有重要意义，因为不同地点的用户获得的信息访问不一致。我们首次提供了LLM内容审核中地理跨语言偏差的系统证据，并展示了模型选择如何极大影响用户体验。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f593-paper.pdf

229、ThinkTrap: Denial-of-Service Attacks against Black-box LLM Services via Infinite Thinking

大型语言模型（LLMs）已成为广泛应用的基础组件，包括自然语言理解与生成、具身智能和科学发现。随着其计算需求的持续增长，这些模型越来越多地被部署为云服务，使用户能够通过互联网访问强大的LLMs。然而，这种部署模式引入了一类新的威胁：通过无限推理的拒绝服务（DoS）攻击，攻击者精心设计输入，导致模型进入过长的或无限生成循环。这些攻击会耗尽后端计算资源，降低或拒绝向合法用户提供服务。为缓解此类风险，许多LLM提供商采用闭源、黑盒设置来隐藏模型内部结构。在本文中，我们提出了ThinkTrap，一种针对LLM服务的DoS攻击的新型输入空间优化框架，即使在黑盒环境中也能实施。ThinkTrap的核心思想是将离散令牌映射到连续嵌入空间，然后在利用输入稀疏性的低维子空间中进行高效的黑盒优化。此优化的目标是识别能够诱导先进LLMs进行延长或非终止生成的对抗性提示，以实现最小的令牌开销的DoS攻击。我们在多个商业闭源LLM服务上评估了所提出的攻击。结果表明，即使在远低于这些平台通常实施的限制性请求频率限制（通常每分钟10次请求，10 RPM）的情况下，该攻击仍可将服务吞吐量降低至原始容量的1%，在某些情况下甚至导致完全服务失效。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f639-paper.pdf

230、Through the Authentication Maze: Detecting Authentication Bypass Vulnerabilities in Firmware Binaries

嵌入式Web服务已广泛应用于路由器和网关等网络设备中。这些服务通常暴露在公共网络上，使其成为身份验证绕过攻击的诱人目标。此类漏洞允许攻击者无需有效凭据即可获得特权访问，对设备完整性和网络安全构成严重威胁。现有的检测技术主要依赖手动分析或刚性启发式方法，在面对多样化且不断发展的身份验证方案时效果不佳。我们提出了AuthSpark，一种用于检测固件二进制文件中身份验证绕过漏洞的新型动态分析框架。AuthSpark利用成功和失败身份验证尝试之间的执行轨迹相似性来定位凭据检查点，然后跟踪身份验证相关变量的传播以识别身份验证成功逻辑，最后采用具有特定任务能力调度和变异策略的自定义灰盒模糊测试器来探索绕过路径。我们在32个包含14个已知漏洞的真实设备固件上评估了AuthSpark。AuthSpark成功识别出44个凭据检查中的42个，并检测到所有14个已知漏洞。更重要的是，当应用于最新版本的固件时，AuthSpark发现了6个零日身份验证绕过漏洞，其中4个已获得官方编号（3个CVE和1个PSV）。这些结果凸显了AuthSpark的有效性及其发现真实系统中关键安全漏洞的潜力。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2757-paper.pdf

231、Tickets to Hide: An Inside Look into the Anti-Abuse Ecosystem through Internal Abuse Data

各种治理工具旨在打击互联网滥用行为——从删除受版权保护内容的立法到阻止垃圾邮件的屏蔽列表。反过来，这些工具依赖于行业标准来处理滥用行为：向网络所有者报告滥用情况并请求缓解措施。尽管许多托管服务提供商迅速采取行动以保持互联网环境的清洁，但有些则没有。这就引发了一个问题：哪种类型的滥用会得到后续处理，以及决定采取缓解措施或忽略所报告滥用的理由是什么。通过与荷兰执法部门的独特合作，我们获得了进入一家以滥用行为闻名的托管服务提供商运营后端的权限。对其内部滥用处理机制的罕见一瞥使我们能够研究影响反滥用行动的反滥用生态系统中的机制。我们发现，客户通知率高度依赖于报告者和滥用类别。与儿童性虐待材料(CSAM)和垃圾邮件相关的滥用报告会导致采取缓解措施，而关于版权侵权和端口扫描的报告则经常被忽视。诸如屏蔽、解除对等连接和执法部门查询等可能直接影响业务连续性的治理工具会影响客户通知，而个人滥用报告则容易被忽视。我们希望这项研究能够为政策制定者提供参考，使治理工具包与实际的滥用处理实践保持一致。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f468-paper.pdf

232、Time and Time Again: Leveraging TCP Timestamps to Improve Remote Timing Attacks

最著名的侧信道攻击之一是通过执行特定操作所需的时间来推断秘密信息。许多系统已被证明容易受到此类攻击，范围从加密算法、Web应用程序到微架构实现。通过网络连接利用这些侧信道泄露已被证明具有挑战性，这是由于往返时间的变化，即网络抖动。随着处理器速度变快导致时间差异变小，系统变得更复杂使得收集一致测量更加困难，以及网络拥塞加剧网络抖动，时序攻击已变得尤其具有挑战性。在这项工作中，我们引入了新的远程时序攻击方法，这些方法完全不受网络路径上的抖动影响，使其比基于往返时间的时序攻击效率提高数倍，并且能够检测到更小的时间差异。更具体地说，执行时间是从服务器在确认请求和发送响应时生成的TCP时间戳值推断出来的。此外，我们展示了如何利用对传入请求的顺序处理来扩展与秘密相关的操作时间，从而实现更准确的攻击。最后，通过广泛的测量和实际案例研究，我们证明了本文介绍的技术与其他时序攻击方法相比具有多种优势：需要更少的前提条件，任何基于TCP的协议都容易受到这些攻击，并且这些攻击可以分布式执行。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s893-paper.pdf

233、Time will Tell: Large-scale De-anonymization of Hidden I2P Services via Live Behavior Alignment

I2P（隐形互联网项目）是一种流行的匿名通信网络。尽管现有的I2P去匿名化方法专注于在大量网络流量中识别目标隐藏服务的潜在流量模式，但它们往往无法有效地扩展到由众多路由器组成的大型且多样化的I2P网络。在本文中，我们介绍了一种名为I2PERCEPTION的低成本方法，用于揭示I2P隐藏服务的IP地址。在I2PERCEPTION中，攻击者部署floodfill路由器来被动监控I2P路由器并收集其RouterInfo。我们分析了路由器信息发布机制，以准确识别路由器的加入（即开启）和离开（即关闭）行为，从而实现对I2P网络细粒度的实时行为推断。通过主动探测获取托管在I2P路由器之一上的目标隐藏服务的实时行为（即开启-关闭模式）。通过关联目标隐藏服务和I2P路由器的实时行为，我们缩小了与隐藏服务行为匹配的路由器集合，从而揭示隐藏服务的真实网络身份以实现去匿名化。通过在八个月内仅部署15个floodfill路由器，我们通过大量真实实验验证了我们方法的精确性和有效性。结果表明，I2PERCEPTION成功地去匿名化了所有受控的隐藏服务。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f114-paper.pdf

234、TIPSO-GAN: Malicious Network Traffic Detection Using a Novel Optimized Generative Adversarial Network

检测高级网络威胁，特别是零日漏洞，在网络安全中构成重大挑战。本文提出了TIPSO-GAN，一种用于检测恶意流量的优化生成对抗网络（GAN）。TIPSO-GAN通过将GAN训练构建为群体优化问题，利用集体智能进行复杂优化，解决了基于GAN的入侵检测系统（IDS）的常见问题，如训练不稳定性和模式崩溃。为了增强粒子群优化（PSO），TIPSO-GAN采用了三种策略：（1）自适应惯性权重以平衡探索与开发，（2）多样性保持策略以防止过早收敛，（3）反馈循环以重新初始化停滞粒子。TIPSO-GAN将迁移学习与时间衰减多头自注意力机制相结合，以优先考虑近期特征，有助于检测未见过的恶意流量。目标函数中结合重构损失和焦点损失，进一步确保正常样本的真实性，同时关注具有挑战性的恶意样本。在CIC-IDS2018、CICAPT-IIoT2024和CIC-DDoS2019数据集上，TIPSO-GAN分别实现了99.1±0.1、98.9±0.1和98.7±0.1的F1值，比最强基线模型高出0.2-1.0 F1，并超过了transformer IDS模型。在CICAPT-IIoT2024上，它达到了0.999±0.002的宏观PR-AUC，领先于次优方法（0.960±0.005）。在严格的零日评估中，TIPSO-GAN在LOFO测试中达到92.3 F1，在跨数据集实验中达到79-83 F1，同时保持召回率高于0.80。尽管经过PSO增强训练，TIPSO-GAN仍保持0.42毫秒延迟、约2400流/秒吞吐量和2.1 GB内存占用，性能稳定至10^8流。我们的代码可在https://github.com/osampas27/tipsoganmod获取。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f3241-paper.pdf

235、To Shuffle or not to Shuffle: Auditing DP-SGD with Shuffling

差分随机梯度下降（DP-SGD）算法支持以形式化差分隐私（DP）保证训练机器学习（ML）模型。传统上，DP-SGD使用泊松子采样在每个迭代中选择批次来处理训练数据。最近，由于更好的兼容性和更低的计算开销，洗牌已成为一种常见替代方案。然而，在洗牌下计算严格的理论DP保证仍然是一个开放问题。因此，使用洗牌训练的模型通常被评估为好像使用了泊松子采样，这可能导致不正确的隐私保证。这提出了一个引人入胜的研究问题：我们能否验证使用洗牌的最先进模型所报告的理论DP保证与其实际泄漏之间是否存在差距？为此，我们定义了新的DP审计程序来分析使用洗牌的DP-SGD，并衡量它们在不同批次大小、隐私预算和威胁模型下紧密估计隐私泄漏的能力。总体而言，我们证明使用这种方法训练的DP模型大大高估了其隐私保证（高达4倍）。然而，我们也发现理论泊松DP保证与洗牌实际隐私泄漏之间的差距并非在所有参数设置和威胁模型中都是一致的。最后，我们研究了洗牌过程的两种常见变体，这些变体会导致进一步的隐私泄漏（高达10倍）。总体而言，我们的工作强调了在没有严格分析方法的情况下使用洗牌而非泊松子采样的风险。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f597-paper.pdf

236、Token Time Bomb: Evaluating JWT Implementations for Vulnerability Discovery

JSON Web令牌（JWT）已成为现代分布式Web应用中安全信息交换的广泛采用标准，特别是在身份验证和授权场景中。然而，JWT的实现引入了各种漏洞，例如签名验证绕过、令牌欺骗和拒绝服务攻击。尽管先前研究已报告了此类个别漏洞，但缺乏对JWT实现的系统性研究。在本文中，我们提出了JWTFuzz，一种新颖的测试方法，用于有效发现JWT实现中的漏洞。我们对10种流行编程语言中的43个JWT实现进行了JWTFuzz评估，发现了31个先前未知的安全漏洞，其中20个已被分配CVE编号。我们展示了这些漏洞的安全影响，例如在Kubernetes中实现身份验证绕过和对Apache James的拒绝服务攻击。我们进一步将这些漏洞分为五类，并提出了几种缓解策略。我们与国际互联网工程任务组（IETF）讨论了我们的缓解策略，他们已认可我们的发现，并建议在新RFC文档中采用我们的缓解措施。我们还向相关提供商报告了已识别的漏洞，并收到了Apache、Connect2id、Kubernetes、Let’s Encrypt和RedHat的确认和漏洞赏金奖励。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f697-paper.pdf

237、Towards Effective Prompt Stealing Attack against Text-to-Image Diffusion Models

以DALL·E和Midjourney为代表的文本到图像（T2I）模型因能创建逼真的图像而广受欢迎。这些图像的质量依赖于精心设计的提示词，这些提示词已成为宝贵的知识产权。虽然熟练的提示词创作者在市场上展示其AI生成的艺术作品以吸引买家，但这种业务无意使他们面临”提示词窃取攻击”。现有的最先进攻击技术通过针对特定模型的训练，从固定的修饰符集合（即风格描述）中重建提示词，这些技术在适应不同展示作品（即目标图像）和扩散模型方面表现出有限的适应性和有效性。为缓解这些限制，我们提出了Prometheus，一种无需训练、包含中间代理、基于搜索的提示词窃取攻击方法，通过与本地代理模型交互来逆向工程展示作品中的宝贵提示词。该方法包含三项创新设计。首先，我们引入了动态修饰符，作为先前工作中使用的静态修饰符的补充。这些动态修饰符提供了更多与展示作品相关的具体细节，我们利用自然语言处理分析即时生成它们。其次，我们设计了一种上下文匹配算法，用于对动态和静态修饰符进行排序。这一离线过程有助于减少后续步骤的搜索空间。第三，我们与本地代理模型交互，使用贪心搜索算法逆向提示词。基于反馈指导，我们优化提示词以实现更高的保真度。评估结果显示，Prometheus成功地从PromptBase和AIFrog等流行平台提取提示词，针对Midjourney、Leonardo.ai和DALL·E等多样化的受害者模型，实现了25.0%的攻击成功率提升。我们还验证了Prometheus能够抵抗广泛的潜在防御措施，进一步突显了其在实践中的严重性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1899-paper.pdf

238、TranSPArent: Taint-style Vulnerability Detection in Generic Single Page Applications through Automated Framework Abstraction

单页应用（SPA）框架允许开发者使用高级组件（如搜索框）在单个HTML页面中构建复杂的Web应用程序。SPAs面临的一个研究问题是如何检测污点式漏洞，因为SPA框架以新形式重新引入了不安全的DOM API，例如将SPA组件参数作为污点汇点。尽管先前的研究已致力于改进SPAs中的漏洞检测，但据我们所知，这些方法严重依赖硬编码的污点汇点，这不仅需要针对不同的SPA框架进行手动维护，还可能遗漏某些不安全的SPA API，从而导致检测到的漏洞出现漏报。在本文中，我们提出了TranSPArent，一个SPA漏洞检测工具，它通过结合静态分析和动态分析自动抽象SPA框架，以揭示框架特定的汇点，从而促进端到端的静态漏洞检测。TranSPArent首先从不安全的DOM API列表执行反向污点分析，直到框架接口，以揭示接口的哪些部分可能污染DOM API。这种自动框架抽象每个SPA框架只需执行一次。然后，TranSPArent检测发现的SPA汇点与攻击者可控源之间的数据流路径，以检测每个应用程序中的污点式漏洞。我们在GitHub仓库数据库上评估了TranSPArent，发现了11个零日漏洞，包括一个拥有24k+ GitHub星标和每月3000万请求的仓库。迄今为止，其中四个零日漏洞已被开发者修复和/或确认。在我们的评估过程中，TranSPArent从三种最广泛使用的SPA框架（Vue、React和Angular）中总共发现了19个中间SPA汇点。其中14个新发现的汇点未在CodeQL标准库（最先进的静态分析工具）中列出。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1721-paper.pdf

239、Trust Me, I Know This Function: Hijacking LLM Static Analysis using Bias

大型语言模型(LLMs)越来越多地被用于执行大规模的自动化代码审查和静态分析，支持漏洞检测、代码摘要和重构等任务。在本文中，我们识别并利用了基于LLM的代码分析中的一个关键漏洞：一种抽象偏差，导致模型过度泛化熟悉的编程模式而忽略微小但有意义的错误。攻击者可以利用这个盲点，通过最小程度的修改来劫持LLM的解释控制流，同时不影响实际的运行时行为。我们将这种攻击称为熟悉模式攻击(FPA)。我们开发了一个全自动的黑盒算法，用于发现并向目标代码中注入FPA。我们的评估表明，FPA不仅对基础模型和推理模型有效，而且可以在不同模型家族(OpenAI、Anthropic、Google)之间迁移，并且在多种编程语言(Python、C、Rust、Go)中具有通用性。此外，即使模型通过强大的系统提示被明确警告了这种攻击，FPA仍然有效。最后，我们探讨了FPA的积极防御用途，并讨论了它们对面向代码的LLM可靠性和安全的更广泛影响。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2066-paper.pdf

240、UIEE: Secure and Efficient User-space Isolated Execution Environment for Embedded TEE Systems

可信执行环境（TEE）已被广泛探索用于增强嵌入式系统的安全性。现有的嵌入式TEE系统运行时占用较小的内存空间，仅提供安全关键功能，以保持最小的可信计算基（TCB）。不幸的是，这种设计选择导致这些TEE系统软件资源不足，难以在嵌入式TEE内执行具有大型代码库的复杂应用程序。在本文中，我们提出了一种用户空间隔离执行环境（UIEE），通过在TEE内直接运行未经修改的数据处理应用程序来增强TEE功能，同时不增加TCB大小。UIEE通过为应用程序动态分配足够的内存区域来构建沙箱环境，并将其与丰富执行环境（REE）和TEE隔离，从而保护UIEE免受REE攻击，同时保护TEE免受潜在受损的UIEE应用程序的侵害。此外，我们提出了一种基于库操作系统（即Linux内核库，LKL）的UIEE运行时环境，可为UIEE应用程序提供标准C运行时API。为了解决LKL的并发问题，我们提出了一种LKL线程同步机制，在具有单线程执行模型的UIEE内运行多线程LKL。此外，我们还设计了一种新颖的按需线程迁移机制，以实现在UIEE内的LKL上下文切换。我们在NXP IMX6Q SABRE-SD评估板上实现并部署了一个UIEE原型，成功在UIEE内运行了8个未经修改的真实世界基于libc的应用程序。实验结果表明，UIEE带来的性能开销可以忽略不计。我们是第一个提出面向TrustZone的LibOS并评估其可行性和安全特性的研究。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s208-paper.pdf

241、Understanding the Status and Strategies of the Code Signing Abuse Ecosystem

使用数字证书对软件签名是其可信性和完整性的重要保障。然而，攻击者可以滥用这一机制为恶意样本获取签名，从而促进恶意软件的传播。尽管已有工作揭示了代码签名滥用的实例，但这一问题仍然存在且不断升级。理解生态系统的演变和滥用者的策略对于改进防御机制至关重要。在本工作中，我们对代码签名滥用进行了大规模测量，使用了从野外收集的3,216,113个已签名的恶意PE文件。通过细粒度分类，我们识别出43,286个被滥用的证书，并将其分为五种滥用类型，创建了迄今为止最大的标记数据集。我们的分析表明，滥用仍然普遍存在，涉及来自114个国家、由46个证书颁发机构（CA）发行的证书。我们还观察到了滥用者技术的演变，并识别了证书撤销方面的当前局限性。此外，我们表征了滥用者的行为和策略，揭示了五种规避检测、降低成本和增强滥用影响的策略。值得注意的是，我们发现了3,484个多态证书集群，并首次记录了恶意软件利用多态技术规避撤销检查的实际案例。我们的研究结果揭示了当前代码签名实践中的关键缺陷，预计将提高社区对滥用威胁的认识。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2857-paper.pdf

242、Understanding the Stealthy BGP Hijacking Risk in the ROV Era

路由源验证（ROV）的部分部署带来了一种意外的安全威胁，称为隐蔽的BGP劫持，即一种特别难以察觉的BGP劫持形式，其中恶意路由可以在不到达（从而提醒）受害者的情况下转移流量。这一风险在很大程度上仍未被探索，既没有记录在案的现实世界事件，也没有系统性的特征描述。为了填补这一空白，我们形式化了隐蔽的BGP劫持，并提出了启发式方法，通过路由表差异来发现潜在实例。我们进行了首次实证研究，以跟踪和描述现实世界中的隐蔽BGP劫持，贡献了一个精选的现实世界事件数据集和一个长期监控服务。受实证见解的启发，我们进一步进行了分析研究，以全面评估风险。这需要准确的ROV部署数据、完整的全球互联网路由以及定制的分析模型。为了应对这些挑战，我们开发了SHAMAN，一个专门用于评估隐蔽BGP劫持风险的BGP路由推断框架。SHAMAN整合多种来源构建准确的ROV部署视图，通过高效的基于矩阵的方法推断完整的全球互联网路由，并通过”受害者-目标-劫持者”三元组模型促进统计风险分析。SHAMAN将生成互联网规模路由的时间从三个月以上缩短到仅5.22小时，使得在现实ROV部署下能够对83亿条生成路由进行系统性风险评估。我们的研究结果显示隐蔽BGP劫持的总体成功概率为14.1%，而在特定情况下，有针对性的攻击成功率高达99.5%。与我们现实世界数据集的验证显示，事件级别的准确度高达95.9%，证明了我们分析结果的真实性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s97-paper.pdf

243、Unknown Target: Uncovering and Detecting Novel In-Flight Attacks to Collision Avoidance (TCAS)

是防止空中碰撞的强制性最后安全保障。尽管该系统具有关键的安全作用，但其未经认证和加密的通信协议长期以来一直被确认为安全风险。尽管研究人员先前已经展示了实际的注入攻击，但官方评估认为这些漏洞仅限于实验室环境，并指出目前尚无缓解措施。在本文中，我们对这两种说法提出质疑。我们提供了有力证据表明，针对TCAS的飞行中网络攻击已经发生。通过对一系列涉及多架飞机的异常事件的公开飞行和通信数据进行详细分析，我们确定了一种与幽灵飞机注入攻击一致的独特特征。我们详细说明了这种新型攻击如何利用传统协议特性，并描述了三种复杂度递增的攻击策略；其中最具攻击性的策略可以将目标的感知距离减少3.5公里以上，足以从远距离触发受害飞机的防撞警报。我们实现了与观察到的事件最一致的攻击策略，并进行了实验评估，实现了1.9公里的欺骗性距离减少，证实了其可行性。此外，为应对此类威胁提供基础，我们提出了一种新颖的、向后兼容的方法，通过重新利用受害者广播的TCAS警报数据来地理定位此类攻击的来源。在最可能的攻击变体模拟场景中，我们的方法实现了855米的中位数定位精度。将此技术应用于真实事件数据，我们能够识别出异常现象以及观察到的幽灵飞机注入攻击的可能来源。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1806-paper.pdf

244、Unshaken by Weak Embedding: Robust Probabilistic Watermarking for Dataset Copyright Protection

在现代数据即服务（DaaS）生态系统中，数据策展商（如数据经纪公司）从众多贡献者处聚合高质量数据，并为深度学习模型提供商将其变现。然而，恶意策展商可能出售有价值的数据却不告知其原始贡献者，这违反了个人利益和法律。侵入式水印是保护数据版权的最先进技术之一，它能检测可疑模型是否携带预定义模式。然而，这些方法面临诸多限制：在低水印注入率（≤1.0%）下难以工作；性能下降；误报；对水印清洗缺乏鲁棒性。

本文提出了一种创新的侵入式水印方法，称为DIP（数据智能概率水印），以支持数据集所有权验证，同时解决上述局限性。它应用了感知分布的样本选择算法，嵌入带水印样本与多个输出之间的概率关联，并采用双重验证框架，同时利用推理结果及其分布作为水印信号。在4个图像和5个文本数据集上的广泛实验表明，DIP保持了模型性能，并在1%的注入预算下实现了89.4%的平均水印成功率。我们进一步验证了DIP与各种水印数据设计正交，并能无缝整合其优势。此外，DIP在多种模态（图像和文本）和任务（回归）上证明有效，在大语言模型的生成任务上也表现出色。DIP对各种对抗环境具有鲁棒性，包括3种基于数据增强、3种基于数据清洗、4种基于鲁棒训练和3种基于合谋的水印移除方法，而现有的最先进方法则无法应对。源代码已发布于https://github.com/SixLab6/DIP。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1356-paper.pdf

245、Unveiling BYOVD Threats: Malware’s Use and Abuse of Kernel Drivers

“自带漏洞驱动程序”（BYOVD）攻击利用合法的、经过数字签名的Windows驱动程序中隐藏的缺陷，使攻击者能够进入内核空间，禁用安全控制，并执行从勒索软件到国家支持的网络间谍活动的隐蔽行动。由于大多数公共沙箱仅检查用户模式活动，这种内核级别的滥用通常难以被发现。在这项工作中，我们首先介绍了首个BYOVD行为的动态分类法。该分类法基于对实际事件的手动调查和细粒度内核跟踪分析综合而成，将每次攻击映射到连续的阶段，并列举了每个步骤中被滥用的关键API。然后，我们提出了一种基于虚拟化的沙箱，它跟踪驱动程序执行路径的每一步，从最初的用户模式请求到最低级别的内核指令，而无需重新签名驱动程序或修改主机。最后，沙箱自动为每个观察到的动作添加相应的分类注释，生成一份分阶段报告，突出显示样本表现出可疑行为的位置和方式。针对当前的BYOVD技术环境进行测试，我们分析了8,779个加载了773个不同签名驱动程序的恶意软件样本。该沙箱标记了48个驱动程序的可疑行为，随后的手动验证导致向微软、其供应商和公共威胁情报平台披露了七个先前未知的漏洞驱动程序。我们的结果表明，对内核控制流的深入、透明跟踪可以揭示传统分析流程无法发现的BYOVD滥用行为，丰富了社区对驱动程序利用的知识，并促进了Windows防御的主动加固。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1491-paper.pdf

246、User-Space Dependency-Aware Rehosting for Linux-Based Firmware Binaries

固件重托管是一种基础仿真技术，能够大规模地对固件二进制文件进行动态分析。成功重托管基于Linux的固件服务需要正确模拟系统级功能（如设备接口）和用户空间依赖项（如配置文件、进程间通信）。然而，现有解决方案未能充分利用用户空间知识。作为第一个用户空间进程的初始化例程负责设置操作环境，但往往执行不完整，导致初始化不完整。此外，所有仿真故障都被统一处理，无法区分系统级仿真问题及其对用户空间依赖项的间接影响。为填补这一空白，我们开发了FIRMWELL框架，该框架首先将固件重托管建模为目标二进制文件及其用户空间依赖项的协同仿真。它首先重托管初始化例程以构建环境，然后启动目标服务，这一过程通常涉及一百多个进程。当仿真故障发生时，FIRMWELL会识别阻塞进程，分析错误仿真的资源，并应用有针对性的修复。关键策略是通过纠正底层系统级仿真错误来解决用户空间依赖项故障，同时利用程序分析进行精确的资源值推断。在对14,049个固件镜像的评估中，FIRMWELL成功重托管了6,490个服务，比现有最佳方法高出1.6-8倍（FirmAE为3,581个，Greenhouse为3,962个，Pandawan为810个），同时将平均重托管时间减少了1.8-8.4倍（分别为12分钟、22分钟、74分钟和101分钟）。FIRMWELL被应用于对1,043个固件镜像进行模糊测试，发现了67个零日漏洞，其中10个已被分配CVE标识符。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s249-paper.pdf

247、Validity Is Not Enough: Uncovering the Security Pitfall in Chainlink’s Off-Chain Reporting Protocol

区块链预言机在将链外交易所的价格数据传递给智能合约方面发挥着关键作用，从而实现自动化金融服务。作为主导的预言机服务提供商，Chainlink采用去中心化预言机网络(DON)来提供价格数据。在Chainlink的DON中，多个预言机节点独立观察加密货币的价格并运行链下报告(OCR)协议，从它们的观测值中确定一个唯一价格。源自OCR协议的价格偏差将带来安全风险。为防止拜占庭预言机节点引发任意价格偏差，OCR的有效性属性确保确定的价格被诚实观测值所限制。然而，这一界限在实际环境中仍不明确，且拜占庭行为仍能引发多大程度的价格偏差尚不清楚。本文通过实证和理论分析，深入研究了拜占庭行为对OCR协议中确定价格的潜在影响。首先，我们的实证分析显示，在实际环境中，拜占庭行为在OCR协议中仍有足够空间影响确定的价格。随后，我们详细阐述了战略性地影响确定价格的拜占庭行为，并对其影响进行了形式化建模。此外，我们使用Chainlink的真实世界价格数据评估了这些拜占庭行为的影响。实验结果表明，拜占庭行为引发的价格偏差可达ETH价格的8.47%。我们的案例研究进一步表明，被拜占庭行为影响的价格值可能带来下游金融影响，规模可达10^5美元，而此类价格值的累积影响可能达到数百万美元。总之，这项工作揭示出，即使在有效性保证下，拜占庭行为仍可能对OCR协议中的确定价格产生不可忽视的影响。我们已将发现结果向Chainlink进行了道德报告，旨在支持OCR协议的安全性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f458-paper.pdf

248、Vault Raider: Stealthy UI-based Attacks Against Password Managers in Desktop Environments

密码管理器通过生成强大且唯一的密码显著改进了基于密码的身份验证，同时通过自动填充功能简化了实际的身份验证过程。关键的是，在传统浏览环境中使用时，自动填充提供了额外的安全保护，因为它可以轻易地挫败网络钓鱼攻击，因为网站域名信息唾手可得。随着主要网络服务越来越多地部署独立的原生应用程序的趋势，密码管理器也开始为桌面环境提供通用自动填充和其他用户友好的功能。然而，目前尚不清楚密码管理器的安全保护在这些环境中如何运作。在本文中，我们通过首次对流行密码管理器（包括1Password和LastPass）在主要桌面环境（macOS、Windows、Linux）中提供的自动填充相关功能进行系统性实证分析，填补了这一空白。我们通过实验发现，密码管理器采用不同的策略与桌面应用程序交互，并采用不同级别的针对基于用户界面攻击的保护措施。例如，在macOS上，我们发现可以利用操作系统提供的API和检查实现高级别的安全性，而在Windows上，我们识别出缺乏适当的安全检查，这主要是由于操作系统的限制。在每种情况下，我们都展示了概念验证攻击，这些攻击允许其他应用程序绕过现有的安全检查，并通过不可见的模拟按键 stealthily 窃取用户的凭据、一次性密码和保险库密钥。因此，我们提出了一系列可以缓解我们攻击的对策。由于我们攻击的严重性，我们向被分析的密码管理器供应商披露了我们的发现和建议的对策，这已经促使某些供应商开始修复过程，并获得了错误赏金。最后，我们将分享我们的代码，以促进加强密码管理器的额外研究。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1067-paper.pdf

249、VDORAM: Towards a Random Access Machine with Both Public Verifiability and Distributed Obliviousness

可验证随机访问机（vRAM）作为一种基础模型，能够表达具有可证明安全保证的复杂计算，应用于安全电子投票、金融审计和隐私保护智能合约等领域。然而，现有的vRAM均未提供分布式 obliviousness，这在多个证明者希望防止彼此之间以及与验证者之间信息泄露的场景中是一个关键需求，因为现有解决方案难以解决MPC与ZKP之间的范式不匹配问题，这限制了实际多证明者ZKP前端的发展。这一差距的出现是因为MPC协议针对最小计算进行了优化，而ZKPs需要完整的计算轨迹用于证明。此外，调整RAM设计也面临挑战，因为vRAM并非为盲目执行的高成本而设计，且现有的DORAM缺乏公开可验证性。为应对这些挑战，我们引入了CompatCircuit，据我们所知，这是首个多证明者ZKP前端实现，旨在弥合这一差距。CompatCircuit将协作zkSNARKs与新型MPC协议相结合，将计算和验证统一为单个兼容的电路范式。基于CompatCircuit，我们提出了VDORAM，这是首个公开可验证的分布式 oblivious RAM。VDORAM平衡了在线MPC的高通信延迟与离线证明生成的复杂性，形成了一种能够兼顾这些竞争性需求的RAM设计。我们用约15,000行代码实现了CompatCircuit和VDORAM，通过微基准测试、比较分析和程序示例等大量实验证明了它们的实际可行性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s16-paper.pdf

250、VeriLoRA: Fine-Tuning Large Language Models with Verifiable Security via Zero-Knowledge Proofs

微调大型语言模型（LLMs）对于使其适应特定任务至关重要，但这仍然计算密集，并且在不可信环境中引发了正确性和隐私方面的担忧。尽管像低秩适应（LoRA）这样的参数高效方法显著降低了资源需求，但在零知识约束下确保微调的安全性和可验证性仍然是一个未解决的挑战。为此，我们提出了VeriLoRA，这是第一个将LoRA微调与零知识证明（ZKPs）相结合的框架，实现了可证明的安全性和正确性。VeriLoRA采用先进的密码学技术——如查找参数、求和协议和多项式承诺——来验证基于Transformer架构中的算术和非算术操作。该框架为LoRA微调过程中的前向传播、反向传播和参数更新提供端到端的可验证性，同时保护模型参数和训练数据的隐私。基于GPU的实现，VeriLoRA在开源LLMs（如LLaMA）上的实验验证中展示了其实用性和效率，可扩展至130亿参数。通过将参数高效微调与ZKPs相结合，VeriLo弥合了一个关键差距，使LLMs能够在敏感或不可信环境中安全可信地部署。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2361-paper.pdf

251、VICTOR: Dataset Copyright Auditing in Video Recognition Systems

视频识别系统正日益应用于日常生活，如内容推荐和安全监控。为促进视频识别的发展，许多机构已发布了高质量的开源许可公共数据集，用于训练先进模型。同时，这些数据集也容易被滥用和侵权。数据集版权审核是识别此类未经授权使用的有效解决方案。然而，现有的数据集版权解决方案主要关注图像领域；视频数据的复杂性使得视频领域的数据集版权审核尚未得到探索。具体而言，视频数据引入了额外的时间维度，这对现有方法的有效性和隐蔽性构成了重大挑战。在本文中，我们提出了VICTOR，这是首个面向视频识别系统的数据集版权审核方法。我们开发了一种通用且隐蔽的样本修改策略，能够增强目标模型的输出差异。通过仅修改少量样本（例如1%），VICTOR放大了已发布修改样本对目标模型预测行为的影响。然后，模型对已发布修改样本和未发布原始样本的行为差异可作为数据集审核的关键依据。在多个模型和数据集上的广泛实验凸显了VICTOR的优越性。最后，我们证明了在面对针对训练视频或目标模型的多种干扰机制时，VICTOR具有鲁棒性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f746-paper.pdf

252、ViGText: Deepfake Image Detection with Vision-Language Model Explanations and Graph Neural Networks

深度伪造技术的迅速崛起产生了逼真但虚假的数字内容，威胁着媒体的真实性。深度伪造技术操纵视频、图像和音频，传播错误信息，模糊真实与虚假的界限，凸显了对有效检测方法的需求。传统的深度伪造检测方法往往难以应对复杂、定制的深度伪造内容，特别是在泛化能力和对抗恶意攻击的鲁棒性方面。本文介绍了ViGText，一种创新方法，它将图像与基于视觉的大语言模型(VLLM)文本解释在基于图的框架中集成，以改进深度伪造检测。ViGText的创新之处在于它将详细解释与视觉数据相结合，提供了比通常缺乏特异性且无法揭示细微不一致性的字幕更具上下文感知能力的分析。ViGText系统地将图像分割为块，构建图像和文本图，并利用图神经网络(GNN)进行集成分析以识别深度伪造。通过在空间和频域进行多级特征提取，ViGText捕捉了增强其鲁棒性和准确性的细节，能够检测复杂的深度伪造内容。大量实验表明，ViGText显著提高了泛化能力，并在检测用户定制的深度伪造内容时取得了显著的性能提升。具体而言，在泛化评估中，平均F1分数从72.45%上升到98.32%，反映了该模型对未见过的、经过微调的稳定扩散模型变体的优越泛化能力。在鲁棒性方面，ViGText与其他深度伪造检测方法相比，在面对最先进的基础模型对抗攻击时，召回率提高了11.1%。ViGText在面对利用其图架构的针对性攻击时，将分类性能的降低限制在4%以内，同时略微增加了执行成本。ViGText将细粒度的视觉分析与文本解释相结合，为深度伪造检测建立了新的基准，并为保护媒体真实性和信息完整性提供了更可靠的框架。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s303-paper.pdf

253、vSim: Semantics-Aware Value Extraction for Efficient Binary Code Similarity Analysis

二进制代码相似性分析（BCSA）在许多安全任务中发挥着至关重要的作用，包括恶意软件分析、漏洞检测和软件供应链安全。尽管过去十年提出了许多BCSA技术，但很少有利用寄存器和内存值的语义进行比较的，尽管初步结果很有前景。现有的基于值的方法通常仅关注在编译设置中保持不变的值，从而忽略了更广泛的语义丰富信息。在本文中，我们确定了限制基于值的BCSA有效性的三个核心挑战：值提取的可扩展性不足、缺乏噪声过滤以及值比较效率低下。这些缺点既限制了语义覆盖范围，也影响了可扩展性。为了充分释放基于值的BCSA的潜力，我们提出了vSim，这是一个新颖的框架，能够系统性地捕获所有寄存器和内存操作的值，过滤掉语义无关的值（例如全局地址），并对剩余值进行归一化和传播，以实现健壮且可扩展的相似性分析。广泛的评估表明，vSim在准确性、鲁棒性和可扩展性方面 consistently优于最先进的BCSA系统。它在不同架构和工具链上具有良好的泛化能力，能够在多样化的数据集上产生可靠的结果。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f213-paper.pdf

254、VulSCA: A Community-Level SCA Approach for Accurate C/C++ Supply Chain Vulnerability Analysis

随着第三方库（TPLs）在C/C++开发中的广泛采用，软件供应链安全变得至关重要。现有的C/C++供应链漏洞分析方法存在显著局限性。一些方法仅专注于依赖识别，导致误报（FPs），而另一些方法强调漏洞检测却忽略依赖关系，需要耗时的完整仓库扫描，从而阻碍了对供应链漏洞的快速响应。为此，我们探讨了准确依赖构建和漏洞检测的适当粒度。我们提出了一种社区级的软件成分分析（SCA）方法，将项目的调用图建模为社会网络并应用社区检测。然后通过社区相似性建立项目与TPLs之间的依赖关系。对于漏洞检测，我们在依赖社区内执行基于克隆的检测以验证漏洞的存在，并引入两阶段可达性分析以确定这些漏洞是否可以传播到目标项目。我们实现了VulSCA，这是首个集成漏洞检测和可达性分析的C/C++ SCA框架。实验结果表明，在SCA方面，VulSCA的性能优于CENTRIS和OSSFP，F1-score提高了4-12%。在供应链漏洞检测方面，其F1-score比基于版本的方法高44-48%，比基于代码的方法高17-23%。在效率方面，VulSCA的整体开销低于所有基于代码的方法。此外，VulSCA在广泛使用的开源项目中识别出32个先前未被修复的供应链漏洞，这些漏洞已报告给相应的供应商。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s613-paper.pdf

255、Was My Data Used for Training? Membership Inference in Open-Source LLMs via Neural Activations

随着大型语言模型（LLMs）的快速发展，其应用已扩展到日常生活的各个方面。开源LLMs因其可访问性而广受欢迎，导致广泛下载和再分发。LLMs的强大能力源于对大规模且通常未公开的数据集的训练，这引发了关于是否包含版权或个人数据等敏感内容的问题，这被称为成员推断问题。现有方法主要依赖模型输出，而忽略了丰富的内部表示。内部数据的有限访问导致次优结果，揭示了开源白盒LLMs中成员推断的研究空白。在本文中，我们解决了检测开源LLMs训练数据的挑战。为支持这项研究，我们引入了三个动态基准：WikiTection、NewsTection和ArXivTection。随后，我们提出了一种通过分析LLMs的神经激活来进行训练数据检测的白盒方法。我们的关键见解是，LLMs所有层的神经元激活反映了输入数据在LLM内部的知识表示，能够有效区分LLM的训练数据和非训练数据。在这些基准上的广泛实验证明了我们方法的有效性。例如，在WikiTection基准上，我们的方法在五个LLMs（GPT2-xl、LLaMA2-7B、LLaMA3-8B、Mistral-7B和LLaMA2-13B）上均实现了约0.98的AUC。此外，我们对模型大小、输入长度和文本改写等因素进行了深入分析，进一步验证了我们方法的鲁棒性和适应性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f474-paper.pdf

256、WBSLT: A Framework for White-Box Encryption Based on Substitution-Linear Transformation Ciphers

加密算法面临各种密钥提取攻击，促使在不同威胁模型下产生多种防御工作。其中，白盒威胁模型具有最强的对抗场景，攻击者可以完全访问和控制密码学实现及其执行环境。然而，先前的白盒加密设计主要保护单个密钥相关表，使得白盒和侧信道攻击能够恢复密钥。基于我们的观察，对这些表的边界进行模糊化可以使攻击无效。因此，我们提出了WBSLT，一种用于替换-线性变换（SLT）密码表格式白盒实现的新型设计框架。WBSLT通过线性和非线性变换保护嵌入密钥的表，并部分将每个组件的计算留给下一个组件，以减轻单个密钥相关表泄露。为进一步防御差分计算分析和差分故障分析，该框架集成了掩码、随机化和外部编码。理论分析表明其对各种攻击具有免疫性。实验结果验证了WBSLT在多个计算平台上的实用性，显示出高效的加密性能和合理的内存消耗。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2492-paper.pdf

257、WCDCAnalyzer: Scalable Security Analysis of Wi-Fi Certified Device Connectivity Protocols

Wi-Fi联盟已开发了多种设备连接协议，如Wi-Fi Direct、Wi-Fi EasyConnect和Wi-Fi EasyMesh，这些协议在全球数十亿设备中发挥着关键作用。鉴于其广泛采用，确保这些协议的安全性和隐私性至关重要。然而，现有研究尚未全面审视这些协议设计的安全性和隐私性方面。为填补这一空白，我们推出了WCDCAnalyzer（Wi-Fi认证设备连接分析器），这是一个正式分析框架，旨在评估这些广泛使用的Wi-Fi认证设备连接协议的安全性和隐私性。在形式化验证Wi-Fi Direct协议时，一个重大挑战是由协议规模大、复杂性高导致的状态爆炸问题所引起的可扩展性问题，这会导致内存使用呈指数级增长。为应对这一挑战，我们开发了一种遵循组合推理范式的系统分解方法，并将其整合到WCDCAnalyzer中。这使得WCDCAnalyzer能够自动将给定协议分解为多个子协议，分别验证每个子协议，然后合并结果。我们的设计是基于严格基础的组合推理的实际应用，我们提供了详细算法，展示了如何将这种推理方法应用于密码协议验证。使用WCDCAnalyzer，我们分析了这些协议并发现了10个漏洞，包括身份验证绕过、隐私泄露和拒绝服务攻击。这些漏洞及相关实际攻击已在商业设备上得到验证，并获得了Wi-Fi联盟的认可。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1049-paper.pdf

258、What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs

开源软件项目是现代软件生态系统的基础，Linux内核因其普遍性和复杂性而成为关键典范。尽管安全补丁持续集成到Linux主线内核中，但下游维护者常常延迟采用这些补丁，从而造成漏洞窗口。这种滞后的一个关键原因是难以识别安全关键补丁，特别是那些处理可利用漏洞的补丁，如越界（OOB）访问和使用后释放（UAF）错误。由于故意静默的bug修复、不完整或缺失的CVE分配、CVE发布延迟以及最近Linux内核CVE分配标准的变更，这一挑战进一步加剧。以往的工作如GraphSPD提出了二元分类器来区分安全补丁与非安全补丁。然而，这些方法不能提供漏洞类型的细粒度分类，这对于优先修复OOB和UAF等高影响错误至关重要。我们的工作旨在将这些粗略标记的安全补丁分类为细粒度类别，即OOB、UAF或非OOB-UAF类型。尽管细粒度补丁分类方法已经存在，但它们在覆盖范围和准确性方面都存在局限性。在这项工作中，我们确定了以前未被探索的机会，可以显著改进细粒度补丁分类。具体而言，通过利用提交标题/消息和差异的线索以及适当的代码上下文，我们开发了DUALLM，这是一个双方法流水线，集成了基于大型语言模型（LLM）和微调小型语言模型的两种方法。DUALLM实现了87.4%的准确率和0.875的F1分数，显著优于先前解决方案。值得注意的是，DUALLM成功地将5,140个最近的Linux内核补丁中的111个识别为处理OOB或UAF漏洞，其中90个真阳性通过手动验证确认（许多在补丁描述中没有明确指示）。此外，我们为两个已识别的错误（一个UAF和一个OOB）构建了概念验证，包括一个用于执行先前未知的控制流劫持的漏洞，进一步证明了分类的正确性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s328-paper.pdf

259、When Cache Poisoning Meets LLM Systems: Semantic Cache Poisoning and Its Countermeasures

大型语言模型（LLM）的出现催生了广泛应用，包括代码生成、聊天机器人和AI智能体。然而，部署这些应用在成本和效率方面面临重大挑战。应对这些挑战的一种重要优化是语义缓存，它基于语义相似性跨用户重用查询-响应对。这种机制在学术界和工业界都获得了广泛关注，并已被集成到Azure、AWS和阿里巴巴等云服务提供商的LLM服务基础设施中。本文首次证明语义缓存容易受到缓存投毒攻击，即攻击者注入精心设计的缓存条目，导致其他用户接收到攻击者定义的响应。我们在多种场景下演示了语义缓存投毒攻击，并确认其在三大主要公有云中的实用性。基于这些攻击，我们评估了现有的对抗性提示防御方法，发现它们对语义缓存投毒无效，促使我们提出了一种新的防御机制，相比现有方法显示出更好的保护效果，尽管完全缓解仍然具有挑战性。我们的研究表明，缓存投毒这一长期存在的安全问题在LLM系统中重新出现。虽然我们的分析聚焦于语义缓存，但潜在风险可能延伸至LLM系统中使用的其他类型的缓存机制。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f200-paper.pdf

260、When Focus Enhances Utility: Target Range LDP Frequency Estimation and Unknown Item Discovery

局部差分隐私（LDP）协议能够收集随机化的客户端消息用于数据分析，而无需可信的数据管理员。此类协议已被谷歌、苹果和微软等大型科技公司成功应用于实际场景。在本文中，我们提出了一种广义计数均值草图（GCMS）协议，该协议涵盖了多种现有的频率估计协议。我们的方法显著改善了通信、隐私和准确性之间的三向权衡。我们还引入了一种通用效用分析框架，能够优化参数设计。基于此，我们提出了一种最优计数均值草图（OCMS）框架，用于最小化收集具有目标频率项目的方差。此外，我们提出了一种用于收集未知领域数据的新协议，因为我们的频率估计协议仅对已知数据领域有效。利用基于稳定性的直方图技术与加密-打乱-分析（ESA）框架相结合，我们的方法采用辅助服务器构建直方图，而无需访问原始数据消息。该协议实现了与中心DP模型相当的准确性，同时提供了类本地隐私保证，并显著降低了计算成本。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1397-paper.pdf

261、When Mixnets Fail: Evaluating, Quantifying, and Mitigating the Impact of Adversarial Nodes in Mix Networks

混合网络（mixnets）通过将数据包独立地随机经过选定的跳节点（mixnodes）传输，为客户端提供针对强大网络对手的通信匿名性，从而破坏数据包的可链接性。尽管这种方法在Nym系统中实现，能够最大化对网络对手的混淆效果，但它允许攻击者通过控制部分mixnodes（节点总数的10%/5%）来完全消除通信量与其目的地超过特定阈值（4MB/30MB）的所有客户端的匿名性。为缓解此类漏洞，本研究开发了一系列新颖的路径选择技术，实现了对网络对手的抵抗力与对受损mixnodes的弹性之间的平衡。鉴于现有的匿名性度量不足以量化混合网络中的 adversarial 风险，我们额外引入了有效的基于实证和模拟的度量指标。通过理论、实证和基于模拟的评估，我们全面评估了所提出的方案，证明这些方法可将对受损节点的脆弱性降低高达80%，同时为网络对手带来的有限优势。我们的分析进一步揭示，最先进的匿名性度量指标与我们所提出的度量指标相比，会产生误导性结果，这些结果影响了Nym系统中的某些设计决策。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2384-paper.pdf

262、WhiteCloak: How to Hold Anonymous Malicious Clients Accountable in Secure Aggregation?

随着人工智能的进步和各行业数字化程度的不断提高，个人数据收集和分析的规模持续增长，导致对个人数据和身份隐私保护的需求日益增加。然而，现有的安全聚合方法（如ACORN (USENIX 2023)）在确保输入数据的隐私和合规性方面表现良好，却无法满足客户端匿名性的要求。简单地应用匿名凭证允许先前已识别的恶意客户端（例如使用不合规数据的客户端）通过更新其凭证重新进入聚合轮次，从而逃避责任。为解决这一问题，我们提出了WhiteCloak，这是首个在客户端匿名性下确保责任归属的安全聚合解决方案。WhiteCloak要求每个客户端i使用匿名凭证$\tilde{i}_{\tau}$参与第$\tau$轮。参与前，每个客户端必须提交一个零知识证明，验证自己未被列入黑名单，从而防止恶意客户端通过更改凭证逃避责任。WhiteCloak可以无缝集成到现有框架中。在SHAKESPEARE数据集的联邦学习实验中，WhiteCloak仅增加了1.77秒的额外处理时间和35.68KB的通信开销，分别占ACORN总开销的0.34%和0.1%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s142-paper.pdf

263、WiFinger: Fingerprinting Noisy IoT Event Traffic Using Packet-level Sequence Matching

智能家居等物联网环境容易受到隐私推断攻击，攻击者可以通过分析加密网络流量模式来推断设备状态甚至人的活动。虽然大多数现有攻击利用机器学习技术来发现此类流量模式，但由于无线流量（尤其是Wi-Fi）的高噪声性和数据包丢失问题，它们在无线流量上的表现不佳。此外，这些方法通常针对区分分块的物联网事件流量样本，无法有效同时跟踪多个事件。在这项工作中，我们提出了WiFinger，一种针对噪声流量的细粒度多物联网事件指纹识别方法。WiFinger将流量模式分类任务转化为子序列匹配问题，并引入了新技术来处理高时间复杂度，同时保持高准确性。此外，它对训练样本量的依赖减少了未来指纹更新的工作量。实验表明，在实际威胁模型下，WiFinger的性能优于现有方法，平均召回率达到89%（相比之下，分别为49%和46%），且对于各种物联网事件的误报率几乎为零。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1083-paper.pdf

264、XR Devices Send WiFi Packets When They Should Not: Cross-Building Keylogging Attacks via Non-Cooperative Wireless Sensing

随着扩展现实(XR)技术不断融入各个领域，各种安全漏洞——如按键推断(键盘记录)——已成为日益增长的担忧。几种键盘记录攻击证明了利用语音和视觉等多种模态利用此漏洞的可行性。然而，这些攻击通常需要视线(LoS)和/或近距离(<10米)的限制。我们提出了一种针对XR设备的新型键盘记录攻击，利用WiFi无线传感。与先前方法不同，我们的攻击不需要视线，并且在各种场景中均有效，包括远距离、跨建筑物设置(最远30米)。我们的攻击仅需一个廉价、口袋大小的接收装置即可收集受害者的WiFi数据包。与利用WiFi的先前键盘记录攻击相比，我们的方法首次消除了对独立发射器和接收器或虚假热点的需求。因此，与先前方法不同，我们的攻击即使在远距离也有效。核心思想在于利用WiFi芯片组中的安全漏洞。此漏洞允许攻击者向受害者设备发送一个虚假的未加密数据包，作为响应，受害者设备会不由自主地自动传输一个确认(ACK)数据包。通过利用此机制，我们可以持续强制头显的WiFi芯片组传输数据包，从而从受害者的头显中收集大量信道状态信息(CSI)数据。随后，我们开发了一种新颖的无监督信号处理算法，利用CSI数据进行姿态估计，定位受害者的手和手指，最终实现按键推断。我们在Meta Quest 2和Meta Quest 3头显上评估了我们的攻击，测试条件多样，包括距离从1米到30米，角度从-90°到+90°，多用户场景，以及穿墙场景，证明了其在广泛环境中的鲁棒性和有效性。我们的攻击在建筑物内实现了78.6%的top-25准确率，可推断长达15个字符的密码。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f926-paper.pdf

265、ZKSL: Verifiable and Efficient Split Federated Learning via Asynchronous Zero-Knowledge Proofs

在垂直联邦学习(VFL)中，先前的工作主要侧重于保护数据隐私，而忽视了参与者可能操纵本地模型执行以实施完整性攻击的风险。将零知识证明(ZKPs)整合到训练过程中可以确保各方计算的可验证性，同时不泄露私有数据。然而，由于以下原因，将深度模型训练直接编码为整体ZKP电路是不切实际的：(i)复杂的电路设计和频繁参数承诺带来的高开销，(ii)嵌入层(跨方信息接口)的证明生成成本高昂，以及(iii)同步证明生成会阻塞迭代训练轮次。为应对这些挑战，我们提出了ZKSL，这是一个高效且异步的VFL框架，在恶意威胁模型下实现可验证训练。ZKSL将深度神经网络划分为分层电路并并行生成其证明，通过”隐私承诺PLONK”(PC-PLONK)确保输入-输出一致性，这是一种轻量级扩展，支持低成本、逐次迭代的参数承诺。对于嵌入层，ZKSL采用概率验证技术，将证明复杂度从${O(Nnd)}$降低到${O(nd)}$。此外，ZKSL集成了异步计算-证明调度机制，将证明生成与训练迭代解耦，有效缓解了流水线停滞问题。在DeepFM和CNN模型上的实验结果表明，ZKSL将证明生成时间最多减少73%，同时保持99.4%的准确率，展示了其在实际联邦学习中的卓越可扩展性和实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2008-paper.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：漏洞战争漏洞战争漏洞战争《NDSS 2026论文清单及摘要（下）》