本文提出了一种基于LLM的自动化威胁猎杀框架，将Agentic AI与Splunk SIEM深度集成，构建了7层流水线系统。核心创新在于结合自编码器异常检测、DRL初步分类和LLM多智能体分析，实现了从日志处理到威胁验证的完整闭环。实验表明，该系统在BOTS和模拟数据集上表现优异，特别是Mode B奖励模式下达到最佳平衡（F1-score 0.861）。该框架有效解决了传统方案在新型威胁检测、告警

本文精选了NDSS 2026安全顶会的6篇前沿研究论文，聚焦物联网、工业控制系统等关键领域的安全挑战。主要创新包括：ADGFuzz通过赋值依赖图提升机器人飞行器模糊测试效率；LogicFuzz首次实现PLC固件指令级漏洞检测；ANOTA利用标注机制发现业务逻辑漏洞；NetMasquerade提出黑盒对抗攻击新方法；Bridge检测IoT固件高阶污点漏洞；SmuFuzz实现UEFI固件深度模糊测试。

本文提出大型恶意软件语言模型(LMLM)，将NLP领域的LLM预训练范式迁移到PE二进制静态分析。通过三种输入表示(EXE原始字节/DIS反汇编/DEC反编译)的组合，采用BPE分词和Mamba/HRRFormer架构，结合MLM/CLM预训练目标，在检测、家族分类和行为标记三类任务上平均提升1.1%，最高提升28.6%。实验表明预训练对复杂任务尤为关键，但存在计算成本高、对抗样本鲁棒性不足等局限

每周安全论文追踪摘要（2026-03-29） 本期精选NDSS 2026和USENIX Security 2025的7篇前沿安全研究论文： 威胁情报生态系统风险：主动测量揭示CTI平台存在数据污染、延迟传播等系统性风险（Georgia Tech） 恶意软件分析新范式：提出Malware LLM模型，通过语义表征提升分类与家族归因准确率（RIT/Ariel University） 入侵检测标签去噪：

WebCloak：对抗LLM驱动的智能爬虫威胁 WebCloak是一个针对LLM驱动Web爬虫的新型防御系统，研究其作为智能爬虫窃取网页图片的威胁。项目包含三部分核心内容： 威胁验证：通过三种攻击范式（L2S/LNC/LWA）证明LLM爬虫确实构成威胁，实验模块包含多种LLM后端测试和对抗性提示评估。 双层防御机制： Stage1采用动态HTML结构混淆，通过标签替换、属性名随机化、URL编码和蜜

📌 EXHIB基准：打破二进制函数相似性检测的评测幻觉 本文揭示了现有BFSD评测的局限性：标准数据集仅覆盖同一源码的不同编译变体（低级差异），导致模型在真实场景出现严重性能泡沫。作者提出首个全面评估框架： 🔧 三级差异分类体系： 低级：编译器/架构差异 中级：混淆变换 高级：语义等价但实现不同 📊 五大真实数据集： 包含固件、恶意软件、混淆代码及编程竞赛的语义等价函数，覆盖160万+函数对

SkillSieve: 恶意AI Agent技能检测的分层过滤框架 本文提出SkillSieve框架，用于检测AI技能市场中的恶意技能包。针对现有方案无法同时处理代码和自然语言指令的缺陷，SkillSieve采用分层架构：第一层使用静态分析（正则规则、AST特征提取等）快速过滤86%良性技能；第二层通过结构化语义分解(SSD)并行执行4项LLM分析任务（意图对齐、权限合理性、隐蔽行为检测和跨文件一

摘要： 论文《Securing Large Language Model Agents via Structured Graph Abstraction》提出AgentArmor系统，针对LLM Agent面临的三大安全挑战：不可追踪的数据依赖、控制依赖和跨资源数据流模糊。该系统通过构建程序依赖图(PDG)对Agent运行时行为进行结构化抽象，结合控制流图(CFG)和数据流图(DFG)建模执行逻辑

本文提出CoDe-R框架，通过两阶段方法提升反编译代码质量：在训练阶段引入语义推理引导(SCE)，让1.3B小模型理解高层算法意图；在推理阶段采用动态双路径机制(DDPF)，平衡语义恢复与语法稳定性。实验表明，该方法首次使1.3B模型在HumanEval-Decompile基准上突破50%平均可重执行率，峰值达70.73%，接近专家级大模型性能。CoDe-R的创新在于将"直接翻译&quo

摘要（149字）： 论文《IOCRegex-gen》提出基于LLM的自动化方案，将威胁情报（CTI）中的失陷指标（IOC）转化为可部署的正则表达式。通过创新性Group-Aware机制（利用图数据库识别捕获组）和迭代多阶段验证（语法/语义/泛化检查），在3,000+真实CTI报告上实现99.1%命中率和0.8%误报率，较直接LLM生成提升30%+。研究解决了SOC领域IOC→正则的人工瓶颈，但存在