编程小栈

二进制与源代码匹配（尤其是函数级匹配）在计算机安全领域至关重要。，定位其对应源代码可提升逆向工程的准确性与效率；，检索关联的二进制代码则有助于确认已知漏洞。然而，由于源代码与二进制代码之间存在显著差异，相关研究仍较为有限。已有方法通常提取代码字面量（如字符串、整数等），再结合匈牙利算法等传统匹配策略实现代码关联，但这些方法在函数级场景中存在明显局限：其忽视了代码潜在的语义特征，且多数代码缺乏充足的字面量。此外，这些方法依赖专家经验进行特征识别与特征工程，过程耗时且成本高昂。

Embedding是机器学习中将复杂、高维数据（如文本、代码、图像）映射到低维连续向量空间的技术。这些向量能捕捉数据间的语义关系，使得相似对象在向量空间中距离更近。简言之，它是数据的“数学指纹”，用于量化抽象关系。该算法通过地址连续性与函数调用图（FCG），从embedding检索的Top-k相似源函数中筛选出最可能正确匹配的二进制-源码函数对。误匹配消除：排除孤立函数对（如跨文件的偶然相似函数）。版本干扰抑制：通过连续区间覆盖区分同一源文件的不同版本（如旧版函数片段混入新版）。编译优化鲁棒性。

软件安全漏洞在现代系统中呈现泛在化趋势，其引发的社会影响日益显著。尽管已有多种防御技术被提出，基于深度学习（DL）的方法因能规避传统技术瓶颈而备受关注，但面临两大核心挑战：任务专用标注数据集的规模质量不足，以及面向未知现实场景的泛化能力欠缺。最新研究表明，大语言模型（LLMs）通过思维链（CoT）提示机制展现出突破性潜力。本文创新性地将LLMs与CoT技术融合，系统解决软件漏洞分析三大核心任务：特定类型漏洞识别、泛型漏洞发现及漏洞修复。

在本研究中，作者评估了大型语言模型（LLMs），特别是OpenAI的GPT-4在检测软件漏洞方面的能力，并将其性能与Snyk、Fortify等传统静态代码分析工具进行对比。我们的分析覆盖了包括美国国家航空航天局（NASA）和国防部在内的多个代码仓库。结果显示，GPT-4发现的漏洞数量约为传统工具的4倍，且对每个漏洞均能提供可行的修复方案，同时展现出较低的误报率。实验测试了涵盖8种编程语言的129个代码样本，其中PHP和JavaScript代码的漏洞率最高。

APPATCH —— 一种基于语义推理引导的自适应提示框架，用于自动化LLM漏洞修补。该框架包含以下四个核心设计要素

本文收集了信息安全顶会中有关Android方面的论文1. Mobile-Sandbox:Having a Deeper Look into Android Applications文章语言：英文文章的摘要：[摘要]随着Android平台上恶意代码的激增，为了使安全工作者能够提高对恶意代码的分析效率，文章介绍了一个自动化的分析工具——Mobile SandBo

信息安全领域有四大会议，分别为Oakland，CCS，USENIX，NDSS。Oakland：今年录用率13%。全称IEEE Symposium on Security & Privacy，今年第一次不再Oakland召开。之所以不简称S&P，是为了跟一个magazine----IEEE Security & Privacy区分开来。被认为是计算机安全的最高会议，比ACM的CCS更

SmartDroid: an Automatic System for RevealingUI-based Trigger Conditions in Android Applications文章语言：英文文章来源：2nd Annual ACM CCS Workshop on Security and Privacy inSmartphones and Mobile Devices (SP