报告时间：5月21日10:00

报告地点：中北校区理科大楼B211

报告一名称：浏览器内核缺陷检测

报告摘要:

浏览器是用户访问互联网资源的最主要工具。由于浏览器形态多样和功能复杂，极大地增加了代码复杂性，使其安全性和可靠性难以得到保证。浏览器内核存在输入语义复杂、状态空间庞大、渲染行为难验证等特点，使得传统的模糊测试技术难以对其构建高质量输入文法、生成有效测试用例、检测功能性缺陷。本报告将围绕上述三个方面介绍相关研究成果，以及研究成果在主流浏览器上进行的落地验证。

报告人简介:

周炽金将在2025年6月于清华大学获得博士学位，导师姜宇副教授。此前，他分别于北京理工大学获得学士学位、于清华大学获得硕士学位。其研究兴趣主要集中在系统安全和软件测试领域。第一作者研究成果发表在IEEE S&P、OOPSLA、ICSE、ESEC/FSE、ASE等国际高水平会议上，其中一篇研究成果获ESEC/FSE 2022杰出论文奖。其研究工具已发现了100余个高影响的软件缺陷，涵盖浏览器内核、深度学习编译器等关键软件。上报的浏览器内核漏洞累计18次在苹果产品的安全更新中获得实名致谢。

报告二名称：基于权限控制的软件系统防护技术研究

报告摘要:

随着软件系统规模和复杂性的不断增长，系统中往往潜藏大量高风险漏洞，一旦被攻击者利用，极易引发严重的安全事件。权限控制作为防御漏洞利用的基础手段之一，已被广泛部署于各类软件系统中。其核心思想是通过约束系统的冗余权限，确保程序在最小必要权限集下运行，从而有效阻断漏洞利用。然而，由于现代软件系统权限使用场景复杂，执行路径多样，现有权限控制技术高度依赖安全专家的手工配置，严重制约了权限控制技术的适用性和安全性。本报告深入探讨如何利用程序分析技术实现权限控制策略的自动化构建，以提升软件系统的安全性和可靠性。

报告人简介:

张泉，清华大学软件学院博士研究生，预计于2025年6月获得博士学位，师从孙家广院士和姜宇副教授。本科于2020年毕业于北京邮电大学。研究方向聚焦于软件系统安全与人工智能系统安全，致力于通过静态分析、权限控制与沙箱机制等手段实现系统的安全增强。相关研究成果以第一作者身份发表于NDSS、OOPSLA、FSE、ASE等网络安全与软件工程领域的国际顶级学术会议。