清华大学软件系统安全保障小组一项研究成果被 USENIX Security 2026 接收

USENIX Security Symposium 是网络与系统安全领域的重要国际学术会议之一，长期关注系统安全、软件安全、硬件安全、网络攻防、隐私保护与自动化漏洞检测等方向的前沿研究。2026 年，清华大学软件系统安全保障小组共有 1 项研究成果被 USENIX Security 2026 接收。

该成果是 “DRVFuzz: Data-Sensitive RISC-V CPU Fuzzing”。该工作面向 RISC-V CPU 实现中的数据敏感型硬件缺陷检测问题，提出了一套基于敏感数据建模与状态转移引导的自动化测试框架 DRVFuzz，在 BOOM-V3、BOOM-V4、Rocket、CVA6、Kronos 和 Srv32 等 6 个真实开源 RISC-V CPU 中发现了 22 个此前未知的缺陷，其中包括 19 个新的 CVE。实验结果表明，DRVFuzz 相较现有代表性处理器模糊测试工具 Cascade 和 DiveFuzz，能够发现更多隐藏在数据敏感执行路径中的硬件缺陷，并在分支覆盖率、信号翻转覆盖率和数据敏感状态转移覆盖方面取得更好效果。该工作由清华大学博士生喻泽弘、中国人民大学讲师陈元亮、清华大学硕士生颜臻、清华大学硕士生张旭东、清华大学硕士生冼震声等人参与完成，中国人民大学讲师陈元亮和清华大学姜宇副教授等人共同指导。

该工作的核心发现是：在 RISC-V CPU 中，操作数数据并不只是参与计算的普通输入，而往往决定处理器是否进入特定的微体系结构执行路径；许多深层硬件缺陷只有在敏感数据与特定指令序列共同作用时才会暴露。针对这一点，DRVFuzz 显式建模 RISC-V 指令中的数据敏感语义，并利用状态转移反馈引导测试过程，主动探索更容易触发硬件缺陷的脆弱执行条件。DRVFuzz 的主要流程包含两个核心阶段：Sensitive Data Model Construction 和 Transition-Guided Fuzzing。

敏感数据模型构建（Sensitive Data Model Construction）： 为了系统性刻画 RISC-V 指令中的数据敏感语义，DRVFuzz 解析 RISC-V UnifiedDB 和目标 CPU 配置信息，提取指令类别、操作数字段、位宽约束、特权模式和内存范围等信息。在此基础上，DRVFuzz 构建敏感数据模型，将边界值、浮点特殊值、异常地址、非法 CSR 访问等数据敏感条件抽象为谓词，并生成对应的操作数合成模板。通过该模型，DRVFuzz 能够有针对性地生成触发特殊硬件行为的数据，而不是依赖随机操作数偶然命中缺陷。

状态转移引导模糊测试（Transition-Guided Fuzzing）： 由于许多硬件缺陷并不由单个敏感操作数触发，而是隐藏在多个数据敏感状态连续切换的过程中，DRVFuzz 将每条动态指令的执行状态定义为“指令操作码 + 满足的数据敏感谓词集合”。相邻两条指令执行状态之间的有向变化即为状态转移，例如从普通执行路径进入异常访存、浮点特殊值处理或特权检查路径。DRVFuzz 将此前未见过的状态转移作为反馈信号，优先保留并变异相关测试用例，从而更有效地探索多条指令之间的脆弱交互，发现隐藏在数据敏感执行路径中的处理器缺陷。