IEEE S&P 2022 云端报道（4）

让人最最担心的事情，终于还是发生了。凌晨三点的上海，刚刚结束报告的我，走在空无一人的小区，忽然手机传来邮件的通知铃声。打开邮箱，一封措辞温和的邮件，字字却扎在心上。同为研究人员，我们为身处旧金山、在安全研究领域最杰出的科学家、工程师祈祷，希望他们能够把domain isolation policy、data sanitization、code diversity和anomaly detection等各种defense方案充分应用，坚持动态清零不动摇，祝大家平安

带着满身的疲惫和满足，结束了我们在本届Oakland的两个报告之后，今天我们来为大家回顾大会主议程最后一天的精彩内容。今天的论文报告里面很多内容都已经在我们以前的公众号推荐中发表过，小编今天可以不用疯狂加班，给大家精挑细选几篇好文共赏！

随着艾美奖获奖动画选集《爱、死亡 & 机器人》第三部强势回归，拿到各种好评，本届Oakland也为这部动画带来了echo，在这篇普渡大学研究人员完成的论文中，作者对机器人程序中的逻辑错误开展了自动化检测和修复工作，他们设计的PGPatch自动化修复工具能够发现机器人程序中的逻辑错误，并修复其中86%的问题~ 作者还提供了一个很全的policy list，大家可以去看看：

https://raw.githubusercontent.com/purseclab/PGPatch/main/policy_list.pdf

记得今年一月这么一则新闻，讲的是开源软件作者往自家的代码里面添加恶意功能，对现实世界产生了严重的影响

今年Oakland会议上，研究人员也对这个问题进行了深入的讨论，小编在这里首先强烈推荐大家去听听作者的teaser video，居然可以做得这么艺术（内卷），以至于一开始小编怀疑自己打开的是人人视频？

https://www.youtube.com/watch?v=w6zmAaNhR8o&list=PL0pRF4xvoD0kDG7jJ6-muUa_Mj8wH-7kp&index=126

这篇论文也是对去年Oakland引起争议的hypocrite commits论文的回应——既然山不到穆罕穆德这边来，穆罕穆德就去找山。研究人员主动去采访了27位开源社区的贡献者，对如下一些方面进行了深入调研，同时也记录了开源社区的开发者在面对安全攻击、安全漏洞以及安全研究人员可能的一些“冒犯”举动的态度，非常值得大家一读。

还记得我们去年11月的第一篇论文推荐吗？来自剑桥大学的研究人员介绍了一种称为 Trojan-Source 的攻击方法，利用不同字符编码中的微妙之处，构造人眼难以分辨差异，但对编译器来说逻辑编码顺序和显示顺序不同的攻击代码。在今年Oakland上，作者再接再厉，把这种攻击方法扩展到针对NLP系统中去（完了，我们的Goshawk系统看来也会受到影响）。这篇论文对我们的启发是，即使是一个细小的错误，你是否可以仔细思考，不断扩展这个问题影响的范围？

Trojan Source

G.O.S.S.I.P，公众号：安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2021-11-01

在我们的论文Goshawk的同一个session中，来自日本的两位作者（实名羡慕人家能去现场参会）给大家介绍了他们关于正则表达式自动修复的研究工作。这项工作使用了一个很有趣的技术Programming-By-Example来实现修复，在深夜听报告的小编也学到了新的知识，顶会的研究中充满了值得学习的细节。

在另一篇软件安全类的研究论文中，美国和韩国的研究人员一起调查了USB生态系统中经常被忽视的一环——USB Gadget Stack，也就是电脑和外设通过USB连接时，外设（例如智能手机、iPad）一侧的USB服务代码（提供充电管理、数据访问等功能）。小编比较喜欢这种类型的fuzzing，即关爱一类特殊对象，而不是想办法在mutation上玩什么花活

在Oakland上关于measurement study的论文质量也挺不错，来自Wichita State University（无知的小编还以为这是一所年轻的大学，结果不查不知道，一查吓一跳，它比中国的MIT还早成立一年！）的作者为大家展示了一套非常成熟的、基于动态/静态分析和自然语言处理的调查方法，能够检查当用户删除账号之后，移动应用的服务器是否保留了用户的信息。这个工作很有意思，小编也想在国内的移动应用上重现一下

最后让我们用一篇标题吸引眼球的论文结束今年Oakland的主会论文推荐，在这篇论文中，作者调研了超过200篇相关参考文献，发现技术的使用在某种程度上加剧了sexual abuse，而反过来，作者也指出，通过对技术的正确使用，能够保护受害者，例如帮助受害者更快报警或更有效预防abuse的发生。总体来说，技术本身是中立的， 这类看起来不是那么“硬核”的研究反而是技术社区更需要的，更好的人文关怀也许才是我们能够技术向善的关键！