近日，USENIX安全研讨会（Usenix Security Symposium, USENIX Security 2025）录用结果揭晓，实验室2021级博士生胡祎伟（导师邹德清教授）和2024级硕士生张亿恒（导师文明副教授）的两篇论文均被录用。

胡祎伟的论文题目为“SoK: Automated Vulnerability Repair: Methods, Tools, and Assessments”。随着软件复杂度的不断提升，软件中的漏洞数量也在持续增长。然而，传统的人工修复漏洞的方式过于依赖专家经验，存在人力成本高、耗时长等问题，这使自动化漏洞修复（Automated Vulnerability Remediation，AVR）技术的重要性日益凸显。文章明确区分了AVR和自动程序修复（Automated Program Repair‌‌，APR）的差异，并通过深入分析AVR工作流程的三个关键环节，漏洞分析、补丁生成与补丁验证，对现有的AVR方法进行了系统化梳理。鉴于现有C/C++程序AVR工具的评测数据集各不相同且规模有限，文章构建了首个C/C++漏洞修复基准数据集Vul4C，包含144个漏洞及其漏洞利用代码与补丁。基于Vul4C和现有的第三方的Java数据集Vul4J，文章重点评估7个针对C/C++程序的AVR工具和2个针对Java程序的AVR工具，分析了不同类别的AVR工具各自的优缺点，并探讨了自动化漏洞修复未来的研究方向。

张亿恒的论文题目是“Precise and Effective Gadget Chain Mining through Deserialization Guided Call Graph Construction”。反序列化漏洞利用链是触发Java反序列化漏洞的重要因素，会对应用造成严重的安全威胁。然而，现有的检测手段通常基于不精确的调用图。一方面一些方法仅基于类层级结构分析（Class Hierarchy Analysis，CHA）构建调用图会带来较多的误报调用边，另一方面他们忽视了如动态代理、反射等特性的处理从而使调用图缺失一些调用边，因此造成不精确的检测结果。为此，论文基于需求驱动的指针分析算法提出一种反序列化指导调用图构建方法Flash。Flash首先分析变量是否可以在反序列化过程中被还原（即可以被攻击者控制），随后采用hybrid dispatch的方式求解调用目标。如果调用点变量是可控，则Flash采用更全面的方式（如CHA, proxy dispatch）进行求解。反之，Flash基于其指向的结果进行求解。Flash也会添加反射以及动态代理的跳转边从而补充调用图缺失边。实验结果表明，与现有方法相比Flash有更低的漏报率（30.8%）和误报率（25.9%），且共检测出90个新的反序列化漏洞利用链。

USENIX Security是安全领域最重要的国际会议之一，也是中国计算机学会（CCF）推荐的A类会议，近年录用率约为18%。

（通讯员：胡祎伟、张亿恒）