吴祥凡 (Xiangfan Wu)
专注于密码学、缓存与完整性、拒绝服务安全领域的研究与实践。通过自动化工具开发与系统化漏洞分析,致力于发现并解决复杂系统中的核心安全问题。
教育背景
中国海洋大学
硕士, 计算机专业 (2023/09 - 2026/06)
研究方向:强化学习, 高性能计算等。
海南大学
本科, 密码学专业 (2019/09 - 2023/06)
研究方向:密码分析, 密码协议分析, 数字水印等。
工具开发与发表
密码学误用静态检测器
在奇安信技术研究院实习期间,基于CodeQL开发了密码学误用静态分析检测器。通过分析误报原因并结合密码学概念,在识别率和误报率方面取得了SOTA的效果。
学术发表
AI Infra缓存投毒已撰写成文,投递至NDSS(正在审稿中)。
我的研究历程
自动化扫描与协议分析
在奇安信技术研究院实习期间,于导师应凌云指导下专注于密码学安全,开发了自动化密码误用扫描工具。通过改进扫描原理,引入交叉熵的概念与收集误用规则,在测试集上取得SOTA成绩,并发现了微信、支付宝及百度系小程序等多个产品的安全隐患。
AI基础设施安全
研究重心扩展至AI基础设施的缓存与完整性安全。深入分析并发现了vLLM的前缀缓存投毒、vLLM多模态缓存投毒以及SGLang多模态投毒等多个关键漏洞,该漏洞首次实现了在不获取权限的前提下完成对他人的LLM会话操纵。
vLLM安全负责人Russell Bryant评价为: Amazing find! Fascinating work.
LLM辅助的复杂度分析
系统化地利用LLM分析和检测时间复杂度相关的DoS漏洞。此项工作取得了显著进展,成功发现了CPython的21处DoS缺陷和JDK的多处缺陷(已披露4个)。
vLLM 专项研究
我对vLLM项目倾注了大量精力,主动参与其威胁模型设计并深入挖掘潜在漏洞。
累计发现漏洞
7个已公开, 1个涉vllm/aibrix, 4个修复中