Seebug Paper

作者：Georgios Syros, Evan Rose, Brian Grinstead 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2602.09222v1 摘要 基于大语言模型（LLM）的网络智能体正被广泛部署，通过直接与网站交互并代表用户执行操作，实现复杂在线任务的自动化。这类智能体虽具备强大能力，但其设计使其易受嵌入在不可信网络内容中的...

作者：Nanda Rani, Kimberly Milner, Minghao Shao等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2602.08023v2 摘要 真实世界的攻击性安全操作具有本质上的开放性：攻击者探索未知的攻击面、在不确定的情况下修正假设，且操作无成功保证。现有基于大语言模型的攻击性智能体评估依赖于预设目标和二元成功判定标准...

作者：ZHOU XUAN, XIANGZHE XU, MINGWEI ZHENG, LOUIS ZHENG-HUA TAN等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2602.06325v1 理解恶意软件二进制文件中的战术、技术与流程（TTPs）是安全分析和威胁情报工作的核心需求，但在实际应用中仍面临诸多挑战。真实场景中的恶意软件二进制文件通...

作者：JIAQI GAO, ZIJIAN ZHANG, YUQIANG SUN, YE LIU等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2602.03271v1 摘要 业务逻辑漏洞已成为智能合约中最具破坏性但最难以理解的漏洞类型之一。与重入攻击或算术错误等传统漏洞不同，这类漏洞源于缺失或错误执行的业务不变式，且与协议语义紧密耦合。现有静态分...

作者：Haoyun Yang, Ronghong Huang, Yong Fang等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.22770v1 摘要 传输层安全（TLS）是保障在线通信安全的基础，但证书验证过程中的漏洞可能导致中间人（MitM）攻击，这类漏洞在Android应用中仍是普遍威胁。现有检测工具存在用户界面（UI）交互覆盖率...

作者：Narek Maloyan, Dmitry Namiot 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.17549v1 摘要 模型上下文协议（MCP）已成为大型语言模型（LLMs）与外部工具集成的事实标准，但目前尚未有针对该协议规范的正式安全性分析。本文首次对MCP的架构设计进行了严格的安全性分析，识别出三类根本性的协议级漏洞：（1...

作者：Nitin Choudhury, Bikrant Bikram Pratap Maurya, Orchid Chetia Phukan, Arun Balaji Buduru 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.17638v1 摘要 在本研究中，我们提出了FOCA——一种新颖的多模态恶意软件分类框架，该框架联合利用音频和视...

作者：Marcell Szakály, Martin Strohmeier, Ivan Martinovic, Sebastian Köhler 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.15515v1 摘要 电动汽车（EV）的普及正迅速推进。为实现快速、安全的充电，车辆与充电站之间需要进行复杂的通信。在全球广泛使用的联合充电系统（C...

作者：Bingxin Xu, Yuzhang Shang, Binghui Wang, Emilio Ferrara 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.14323v1 摘要 视觉-语言-动作（VLA）模型正日益部署于安全关键型机器人应用中，但其安全漏洞尚未得到充分研究。我们发现现代VLA系统存在一个根本性安全缺陷：动作分块与增...

作者：Isabel Straw、Akhil Polamarasetty、Mustafa Jaafar 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.12593v1 摘要 随着医疗技术的互联性日益增强，依赖植入式或可穿戴医疗设备的人际暴力（IPV）受害者成为一个极易受伤害的群体。尽管医疗技术创新和“居家健康”生态系统发展迅速，但医疗设备网络...

作者：Zhihao Dou、Dongfei Cui、Weida Wang等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.14054v1 摘要：拆分学习（Split Learning, SL）提供了一种协同模型训练框架，允许参与者共享同一数据集同时保留独特的特征集，从而保障数据隐私。然而，拆分学习易受后门攻击的影响——恶意客户端会通过微妙...

作者：Zhiqiang Wang、Yizhong Ding、Zilong Xiao等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.06177v1 摘要 PHP在Web开发中的主导地位受到安全挑战的影响：静态分析缺乏语义深度，导致误报率高；动态分析计算成本高昂；自动漏洞定位存在粒度粗糙、上下文不准确的问题。此外，缺乏大规模PHP漏洞数据集...

作者：Xiaonan Liu、Zhihao Li、Xiao Lan等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.09129v1 摘要 夺旗赛（CTF）在现代网络安全领域占据核心地位，是培养安全人才、评估源于真实漏洞的攻防技术的主要平台。尽管大型语言模型（LLM）近年来取得了显著进展，但现有基于LLM的智能体在高难度密码学CTF挑战中仍...

作者：Ruiqi Li、Zhiqiang Wang、Yunhao Yao、Xiang-Yang Li 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.07395v1 摘要 为了规范基于大型语言模型（LLM）的智能体与其环境之间的交互，模型上下文协议（MCP）应运而生并得到了广泛应用。然而，集成外部工具扩大了攻击面，使智能体面临工具投毒攻击的...

作者：Tianwei Lan, Farid Nait-Abdesselam 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2512.21404v1 摘要 安卓恶意软件在规模和复杂性上的快速增长，推动了机器学习（ML）技术在可扩展、高精度恶意软件检测中的广泛应用。尽管这些模型效果显著，但仍易受对抗攻击——攻击者通过精心设计的特征级扰动，在保留恶意功能...

作者：Yifan Yao, Baojuan Wang, Jinhao Duan等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2512.21371v1 摘要 基于聊天的网络犯罪已成为一种普遍存在的威胁，攻击者利用实时消息平台实施诈骗，这类诈骗依赖于建立信任、欺骗和心理操控。传统的防御机制基于静态规则或浅层内容过滤，难以识别这些对话式威胁——尤其是...

作者：Kiddo 原文链接：https://kiddo-pwn.github.io/blog/2025-11-30/writing-sync-popping-cron 引言 9 月，在为 Pwn2Own Ireland 2025 做准备时，我翻遍了 Synology NAS 的 N-day 漏洞寻找灵感。DEVCORE 传奇团队在 Pwn2Own 2024 上公布的 Synology Bee...

作者：DeepSeek-AI 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/pdf/2501.12948 摘要 通用推理是人工智能领域一项长期且艰巨的挑战。近年来，以大型语言模型（LLMs）（Brown 等人，2020；OpenAI，2023）和思维链提示（Wei 等人，2022b）为代表的突破性进展，在基础推理任务上取得了显著成功。然而，这种成功高度依赖大...

作者：陈广 原文链接：https://blog.chain0x0.com/blog/%E6%B5%8F%E8%A7%88%E5%99%A8%E5%AE%89%E5%85%A8%E7%AE%80%E5%8D%95%E8%AE%B0%E5%BD%95 序言 在src漏洞挖掘中总是遇到高版本chrome浏览器的问题，网上经常看到poc或者exp，但是无法在本地实现复现，本文将记录学习过程，探讨在不...

作者：Lichao Wu, Sasha Behrouzi, Mohamadreza Rostami等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2512.21008v2 摘要 混合专家（Mixture-of-Experts, MoE）架构通过对每个输入仅激活参数的稀疏子集，在降低计算成本的同时实现了最先进的性能，推动了大语言模型（Large L...