小组两项研究成果被第63届ACM/IEEE DAC 2026接收
Design Automation Conference(DAC)是芯片设计自动化、电子系统设计与验证领域的顶级国际会议之一,每年汇集来自学术界和工业界的大量研究人员和从业人员,重点关注设计自动化、设计验证、系统优化和工具链创新。2026年DAC接收率为22.3%。本次小组共有2项研究成果被DAC 2026接收。
第一项成果是 “RISCSmith: Finding RISC-V CPU Bugs via Rich Instruction Construction and On-the-fly Differential Analysis” 。该工作面向RISC-V处理器实现中的缺陷检测,提出了一套自动化检测框架RISCSmith,在6个真实RISC-V CPU实现上发现18个缺陷。相较Cascade与RISCV-DV,RISCSmith的理论缺陷发现数量分别达到3.5x与2.6x,分支覆盖提升37\%与61\%。本工作由清华大学硕士张旭东同学完成,清华大学博士陈元亮、清华大学姜宇副教授等人共同指导。
研究成果概要:
处理器是现代计算系统的核心基础设施,但其RTL实现与微架构前端逻辑复杂,缺陷很难完全避免。现有RISC-V模糊测试方法通常依赖人工维护指令模型,生成程序的指令丰富性和相关性有限;在差分检测上,要么采用逐指令停顿比较导致开销较高,要么仅比较程序终态而难以定位首个分歧点,且对内存差异监测较粗粒度。
因此,本文提出了RISCSmith,一个融合“丰富指令构造”和“准在线差分分析”的CPU缺陷检测框架。RISCSmith自动解析RISC-V UnifiedDB并构建强类型指令模型,生成具备寄存器/内存上下文初始化与跨指令依赖的测试程序;同时通过低开销日志采集记录逐指令寄存器写回、内存更新与异常事件,在执行中进行差分分析,定位首个分歧并自动最小化复现用例。
RISCSmith的主要流程如下图所示,包含三个重要组件:Rich RISC-V Instruction Construction、On-the-fly Differential Analysis 以及 On-the-fly Bug Analysis。
1. Rich RISC-V Instruction Construction:RISCSmith首先解析RISC-V UnifiedDB,提取指令编码、操作数、立即数与访问语义,随后进行命名差异消解与一致性修复,构建包含操作数角色、类型约束和运行时语义的强类型指令模型。在此基础上,生成器自动完成寄存器与内存上下文准备,嵌入跨指令依赖,并加入异常carry-on模板,以提升测试输入质量与可执行性。
2. On-the-fly Differential Analysis:RISCSmith在RISC-V实现源码中插入轻量日志钩子,并在Verilator执行过程中采集逐指令内存更新、寄存器写回和异常信息。系统对日志进行后处理,重建统一指令上下文,并与参考模型进行细粒度比较,从而快速定位首个行为分歧。
3. On-the-fly Bug Analysis:当检测到差异后,RISCSmith自动记录重现日志并进行确定性重放,通过最小化算法收敛触发序列,生成稳定复现样例。
第二项成果是 “ARES: Finding Behavior Bugs in IoT Messaging Protocols with Automated Oracle Generation and Monitoring”。该工作针对物联网消息协议实现中潜在的行为缺陷进行深入分析,提出了测试工具ARES,旨在检测协议实现中违反规范的行为错误和传统方法难以发现的隐蔽缺陷。ARES利用协议规范(RFC)中的自然语言描述,自动构建行为判定依据(behavior oracle),并通过实时监测网络通信过程中的协议行为来检测异常,从而激活协议实现中复杂且深层的执行逻辑。实验结果表明,ARES在6个主流IoT协议实现中检测到了25个缺陷,其中包括21个行为错误,并显著提升了现有测试工具的缺陷检测能力。本工作由硕士生杜青芃等人参与完成,清华大学姜宇副教授和新加坡国立大学博士后罗正雄等人共同指导。
研究成果概要:
物联网消息协议是连接设备通信与资源管理的核心基础组件,其正确性直接关系到系统的安全性与可靠性。然而,这类协议通常具有复杂的状态依赖、多角色交互以及细粒度控制字段,使得其实现极易引入行为错误。与传统崩溃类漏洞不同,这类错误往往不会导致程序异常终止,而是表现为违反协议规范的错误行为,例如错误的数据发送、权限绕过或隐式信息泄露,从而带来严重的安全风险。现有测试工具通常依赖崩溃或内存错误作为判定依据,缺乏对协议语义的理解能力,难以系统性地检测此类行为缺陷。为此,该工作提出了ARES,一个面向IoT协议行为验证的自动化测试框架。ARES的核心思想是,通过分析协议规范中的行为描述,自动构建可执行的行为判定规则,并结合实时网络流量监测,对协议实现进行动态验证,从而精准识别违反规范的行为错误。
ARES 的主要流程包含两个核心组件:
1. 行为判定规则自动构建:ARES首先对协议规范进行结构化解析,利用大语言模型从自然语言中提取行为相关的规范描述,并通过上下文分析补全隐含条件,最终生成形式化的行为判定规则。每个oracle由触发条件和行为断言组成,用于描述在特定通信场景下系统应满足的行为要求。
2. 场景感知的实时监测:ARES在测试过程中实时捕获协议通信流量,并将其与已生成的oracle进行匹配。当多个oracle同时被触发时,系统通过场景识别机制自动选择最符合当前场景的判定规则,从而避免误判并提高检测精度。