LLM 二进制分析首次揭示：99,563 步推理中的四种隐式模式

导语：arXiv 最新论文呈现首个大规模追踪研究，揭示 LLM 在二进制漏洞分析中的隐式推理模式。通过分析 521 个二进制文件、99,563 步推理，研究团队发现四种稳定出现的 token 级模式——早期剪枝、路径锁定、针对性回溯和知识引导优先级，为构建更可靠的 LLM 安全分析系统奠定基础。

核心内容

二进制漏洞分析正日益由 LLM 驱动的 Agent 以迭代、多轮方式执行，模型作为核心决策者。然而，由于上下文窗口限制和 token 级隐式行为，这类系统如何在数百步推理中组织探索仍知之甚少。

研究团队进行了首个大规模追踪级实证研究，分析来自 ARM 和 MIPS 架构的 521 个真实二进制文件，涵盖 99,563 步推理。研究聚焦于 LLM Agent 如何在长程分析会话中组织二进制执行路径探索。

四种隐式模式从推理追踪中被识别出来，这些模式从 token 级序列推理中隐式涌现，而非由提示词或程序逻辑外部规定：

模式一：早期剪枝（Early Pruning）。在分析早期阶段，Agent 会快速淘汰看似不太可能产生可利用行为的候选路径。一旦剪枝发生，后续推理步骤很少重新访问被丢弃的路径，即使后续获得更多上下文。该模式在 83.5% 的会话中出现，主要作用是高效缩减大型搜索空间。

模式二：路径依赖锁定（Path-dependent Lock-in）。推理在选定路径上保持专注，形成深度分析的上下文连贯性。该模式在 97.6% 的会话中出现，主导早期分析阶段，确保 Agent 不会频繁切换目标导致上下文丢失。

模式三：针对性回溯（Targeted Backtracking）。当当前路径分析不完整或无成效时，Agent 会重新访问先前延期的候选路径。该模式在 93.8% 的会话中出现，集中在分析后期阶段，用于从无效路径中恢复。

模式四：知识引导优先级（Knowledge-Guided Prioritization）。Agent 基于先验知识和结构线索对候选路径进行排序，快速确定分析方向。该模式在 97.6% 的会话中出现，与路径锁定形成互补动态。

模式关系研究发现这些模式形成结构化系统而非独立运作。路径锁定与早期剪枝形成双向循环，占模式转换的 79.4%；锁定与优先级呈现互补动态。各模式具有不同的时间角色：锁定主导早期，剪枝出现在中期，回溯集中在后期。

技术贡献论文提出了迭代视角，将二进制分析重新框架化为序列决策过程，与传统静态分析的"一次性"范式形成对比。研究首次将 token 级隐式模式作为 LLM 推理的抽象，揭示了探索控制如何通过隐式决策调节路径选择、承诺和修订。

技术/行业洞察

这项研究反映了 AI 安全分析领域的一个关键趋势：从结果评估向过程理解演进。现有 LLM 安全工具主要关注"是否找到漏洞"的结果指标，而忽视了"如何找到"的过程机制。这项研究表明，理解 LLM 的推理组织方式对于构建可靠系统至关重要。

隐式 vs 显式的对比揭示了 LLM Agent 与传统分析系统的根本差异。传统静态分析中，优先级、剪枝、回溯等行为是显式的——优先队列、分支剪枝、栈式回溯都是一等公民操作。而在 LLM Agent 中，这些行为变为隐式，从 token 流和工具调用序列中涌现，没有显式的数据结构来管理活跃路径或延期候选。

迭代范式的价值在于更贴近人类专家的实际工作方式。传统自动化分析采用"一次性"管道：二进制→静态分析→表示→切片→推理。而人类专家会反复调用静态分析：检查一个函数，根据结果决定下一步检查什么，再检查另一个区域。LLM Agent 自动化了这一迭代工作流，但此前缺乏系统性研究。

模式稳定性的意义在于为系统优化提供了具体抓手。如果 LLM 的探索行为是完全随机的，那么改进将无从下手。但研究发现模式在 83.5%-97.6% 的会话中稳定出现，且具有可测量的行为特征（路径长度、分支行为、回溯动态），这意味着可以针对性地优化特定模式。

上下文管理的挑战在长程分析中尤为突出。会话通常跨越 130-300 步，超出单上下文窗口限制。研究采用上下文重置策略：每次重置时压缩 prior 分析状态并初始化新 LLM 实例。这引发了一个开放问题——上下文压缩是否会导致关键信息丢失，进而影响模式行为？

从行业应用角度看，这项研究对自动化安全审计、漏洞挖掘平台、代码审查工具等场景都有直接价值。理解 LLM 如何组织探索可以帮助设计更有效的 Agent 架构，例如显式实现路径锁定机制以避免上下文漂移，或优化回溯触发条件以提高覆盖率。

然而，该研究也面临局限。首先，分析集中在 taint 风格漏洞（命令注入、路径遍历），其他漏洞类型（如内存破坏）的模式可能不同。其次，研究仅观察行为模式，未评估模式与漏洞发现成功率的关系。此外，四模型（DeepSeek-V3、GPT-5、Claude 3.5、Gemini 3.0）的模式差异未深入分析。

应用场景

对安全研究团队：研究提供的模式分类可作为分析 LLM Agent 行为的诊断工具。通过追踪会话中的模式转换，可识别 Agent 何时陷入无效路径、何时需要触发回溯，进而优化提示策略或工具接口设计。

对漏洞挖掘平台：可将四种模式作为启发式规则嵌入 Agent 设计。例如，显式实现早期剪枝的阈值控制，避免过度保守导致漏报；或设计基于模式转换的终止条件，在剪枝 - 锁定循环陷入局部最优时主动触发全局回溯。

对代码审查工具：框架可扩展到其他代码分析场景，如智能合约审计、开源组件漏洞扫描等。模式抽象不依赖特定工具链，可迁移到任何 LLM 驱动的迭代分析任务。

对 LLM 可解释性研究：论文提供的追踪分析方法可作为研究 LLM 长程推理的模板。通过从 token 级行为中提取结构化模式，可在不访问模型内部状态的情况下理解其决策机制，这对黑盒 API 模型尤为重要。

延伸阅读

• arXiv 论文：Implicit Patterns in LLM-Based Binary Analysis
• PDF 下载：arXiv:2603.19138.pdf
• 相关研究：LLM 二进制分析与漏洞检测研究
• radare2 工具：rada.re
• Ghidra 逆向工程：ghidra-sre.org

论文作者：Qiang Li 等

提交时间：2026 年 3 月 19 日

论文编号：arXiv:2603.19138 [cs.AI, cs.CR, cs.SE]

数据规模：521 个二进制文件，99,563 步推理，4 个 LLM

核心发现：四种 token 级隐式模式——早期剪枝、路径锁定、针对性回溯、知识引导优先级

模式覆盖率：路径锁定 97.6%、知识优先级 97.6%、回溯 93.8%、剪枝 83.5%

关键词：LLM Agent、二进制漏洞分析、推理模式、隐式行为、迭代分析、AI 安全