2024年InForSec网络空间安全大学生夏令营“导师面对面”专题学术活动成功召开

7月15-16日， 2024年InForSec网络空间安全大学生夏令营“导师面对面”专题学术活动在中国科学技术大学高新校区成功召开。线上线下共计200余名师生参加了本次专题学术活动。

本次专题学术活动邀请了美国加州大学河滨分校、中国科学技术大学、南开大学、西安交通大学、浙江大学、清华大学、复旦大学、中科院计算所、奇安信技术研究院、路易斯安那大学拉法叶分校、北京邮电大学等来自学术界、工业界的知名教授、学者，分享了网络安全前沿技术的发展及现状，同时介绍他们在研究过程中的心得体会和经验。

加州大学河滨分校教授钱志云发表题为《From Bugs to Exploits: A Linux Kernel Pipeline》的报告。随着持续模糊测试不断发现大量Linux内核漏洞，针对这些漏洞的诊断和可利用性评估变得极为重要。他在报告中介绍了将模糊测试发现的原始漏洞报告转化为可操作的安全问题所需的关键技术。

中国科学技术大学网络空间安全学院执行院长俞能海发表题为《大模型数据合规技术进展》的报告。人工智能技术展现出“从量变到质变”的“能力涌现”，引起全球高度关注。在报告中，他介绍了生成式人工智能合规需求和相关管理办法，然后分享生成式人工智能从数据采集与标注到模型训练与测试等重要环节的合规技术。

南开大学教授，国家优青获得者汪定发表题为《定向口令猜测》的报告。他指出，定向口令猜测面临的核心难题是如何以最少的猜测次数，猜测出目标系统的口令，避免因为猜测次数过多而被锁定。他们团队探索了如何改造深度学习技术，设计定向口令猜测算法PointerGuess来测量口令的抗猜测性。

西安交通大学网络空间安全学院副院长，教授刘烃发表题为《新型电力系统信息物理综合安全》的报告。他针对新型电力系统在数据安全、网络安全、设备安全面临的新问题，回顾和分析信息物理综合安全威胁的演化过程，讨论物理特性、业务特征与网络安全监控技术的结合方式等。

浙江大学教授、博导、国家优青获得者冀晓宇发表题为《生而隐私：智联网时代数据安全及自源保护》的报告。他重点介绍一种名为“privacy by birth”的主动隐私保护概念，强调在传感器内部从源头上保护数据。同时还指出了这一概念的挑战以及它为AIoT研究带来的未来趋势。

清华大学网研院副教授、博士生导师陈建军发表题为《互联网基础协议新型漏洞发现》的报告。在报告中，他展示了一系列他们发现的影响全网的网络基础协议漏洞研究，这些漏洞可以导致攻击者利用商业 CDN 系统发起大规模拒绝服务攻击，污染大量网络缓存以劫持流行Web网站，以及绕过电子邮件认证机制以伪造发件人身份等。

复旦大学教授，白泽战队指导教师张源发表题为《重现漏洞检测》的报告。他分享重现漏洞检测领域的最新进展，通过更好的利用已知漏洞的语义信息，可以实现对漏洞逻辑的深入理解和对未知漏洞的精准检测，在真实软件中发现大量安全漏洞（目前已获得200余个CVE编号）。

中国科学院计算所副研究员王喆发表题为《HIVE：一种AArch64架构下面向eBPF的硬件辅助隔离执行环境》的报告。当前的eBPF验证器设计无法满足当前需求，面临着复杂性问题和安全性问题。在报告中，他从新的角度审视eBPF，认为BPF程序应当被视为一种新型的内核态应用，而不是内核代码的一部分，安全应当通过隔离而非验证的方法确保。

奇安信集团星图实验室负责人应凌云发表题为《持续攻击：持续集成服务的安全问题》的报告。他指出，CI系统的安全性对于确保软件开发过程安全、避免供应链攻击等安全风险至关重要。他对当前7个主流的CI系统进行了深入分析，包括三个代码托管平台自带的CI服务以及4个独立的CI服务，从中发现了多种安全风险，并基于这些风险提出了多个新的攻击向量。

路易斯安那大学拉法叶分校教授黑霞丽、路易斯安那大学拉法叶分校博士生Xingli Zhang发表题为《From Virtual Touch to Tesla Command: Unlocking Unauthenticated Control Chains From Smart Glasses for Vehicle Takeover》的报告。她们在报告中讨论了可穿戴设备和自动控制系统结合过程中的漏洞，同时强调在将可穿戴技术与更广泛的自动化框架集成时，迫切需要采取更鲁棒的安全措施。