我的研究历程
自动化扫描与协议分析
在奇安信技术研究院实习期间,于导师应凌云指导下专注于密码学安全,开发了自动化密码误用扫描工具。通过改进扫描原理与收集误用规则,在测试集上取得SOTA成绩,并发现了微信、支付宝及百度系小程序等多个产品的安全隐患。
AI基础设施安全
研究重心扩展至AI基础设施的缓存与完整性安全。深入分析并发现了vLLM的前缀缓存投毒、vLLM多模态缓存投毒以及SGLang多模态投毒(暂未公开)等多个关键漏洞。
LLM辅助的复杂度分析
系统化地利用大型语言模型(LLM)分析和检测时间复杂度相关的DoS漏洞。此项工作取得了显著进展,成功发现了CPython的21处DoS缺陷和JDK的多处缺陷(已披露4个)。
vLLM 专项研究
我对vLLM项目倾注了大量精力,主动参与其威胁模型设计并深入挖掘潜在漏洞。
10+
累计发现漏洞
7个已公开, 1个涉vllm/aibrix, 2个修复中