《大模型供应链安全的熵增效应：风险挖掘与熵减策略》由vivo大模型安全工程师戎誉、凡浩撰写，从信息论“熵”概念切入，系统分析了大模型供应链因规模扩张、依赖复杂和攻击面扩大所带来的安全风险。文章结合真实漏洞案例（如Megatron-LM、ms-swift等），揭示了训练数据投毒、模型恶意植入、推理框架漏洞等关键威胁，并提出AI-BOM资产管理、动静结合检测、社区协同响应等熵减策略，呼吁构建安全可控的

《利用大模型辅助自动化挖掘BYOVD驱动漏洞》由阿里云安全研究员张艺璇撰写，聚焦于BYOVD（自带漏洞驱动）攻击的自动化挖掘。文章提出融合大模型、IDA Pro与MCP协议的智能分析框架，通过风险驱动筛选、派遣函数识别与修复、PoC自动生成等步骤，实现高效、低依赖的漏洞挖掘。该方法已成功发现多个CVE漏洞，展现出大模型在二进制安全分析中的实用价值与自动化潜力。

《仿真驱动的侧信道攻击新范式：让CPU消耗成为密码学安全的X光机》探索了一种创新的侧信道攻击思路：尝试利用CPU使用率这一软件指标来替代传统硬件功耗轨迹，以破解加密算法。研究构建了完整的仿真环境，涵盖多种加密算法与攻击模型，并通过大量实验验证了不同中间值与CPU使用率的相关性。结果显示，尽管在小样本下出现强相关性，但随着轨迹数增加，相关性急剧下降，证明CPU使用率难以稳定反映密钥相关的微架构状态。

《危险游戏：智能驾驶一线攻防实战》系统揭示了智能汽车面临的多层次安全威胁。报告从硬件获取、域控架构入手，分析了T-Box、网关、自动驾驶控制器等组件的网络攻击面，并通过实际案例展示了如何通过零部件漏洞（如Secure OAD密钥未更新）实现从车身CAN网络到动力域的权限提升与远程控车。研究还深入智驾模型加密机制、TensorRT仿真难点及芯片TEE安全，并剖析了V2X协议中的消息泄露与欺骗风险，全

《你尽力了吗 - 25年后的再追问》以系统架构师、软件工程师、质量保障专家和安全研究员的多重身份，复盘了作者在苹果系统安全领域的深度研究。报告通过IOMobileFrameBuffer、IOBluetooth、AppleBCMWLAN等系列内核漏洞（如CVE-2020-9928、CVE-2022-26762）的案例分析，揭示了并发竞争、边界检查缺失、用户输入未校验等根因，并展示了漏洞组合利用的完整