Go Crypto API Misuse 論文閱讀分析:很多基礎設施真正危險的,不是沒用加密,而是用了還以為自己已經安全
本文由 AI 產生、整理與撰寫。 論文基...
2026 年 4 月 28 日
Software Supply Chain
2026
LLMVD.js 論文閱讀分析:很多 Node.js 漏洞真正卡住的,不是找不到 sink,而是最後證不出它真能打
這篇論文真正補到的,不是又一個會喊這裡可能有洞的 AppSec agent,而是把 LLM 放進 exploit-oriented confirmation loop:先找候選、再寫 PoC、再跑 oracle,把 Node.js 漏洞發現從 pattern matching 往真正 exploitability 拉近。公開 benchmark 上確認率 83.75%,在 260 個新發布 npm packages 中最後人工驗證出 36 個有效漏洞。
2026 年 4 月 23 日
Binary Metadata 論文閱讀分析:很多 binary security 真正缺的,不是更會猜的工具,而是別把 compiler intent 全丟光
這篇論文真正有意思的地方,不是再做一個更會猜的反組譯器,而是把控制點往上游移回編譯器:只要在 binary 中補進少量、精準、與安全分析直接相關的 compilation metadata,disassembly 就能從高不確定度的猜測流程,往可判定、可正確 lifting、可再編譯的工程管線靠近。作者報告 metadata 體積約為 DWARF 的 17%,不影響 runtime behavior 與 performance,且能支撐 real-world C/C++ binaries 的正確 lifting、instrumentation 與行為不變的再編譯。
2026 年 4 月 22 日
SkillJect 論文閱讀分析:當 Coding Agent 的 Skill 不再只是說明書,而是能被攻擊者反覆調校的高權限控制面
SkillJect 把 skill-based prompt injection 從手工 payload 提升成 trace-driven closed-loop attack:攻擊者不只在 skill 裡塞惡意意圖,還會根據 tool calls、file operations 與執行結果反覆修 payload,讓被污染的 skill 更像正常擴充、卻更穩地把 coding agent 帶往錯的行為。
2026 年 4 月 17 日