文章总结： 本文档推荐IEEESecurity&Privacy期刊文章，探讨小程序生态崛起带来的安全挑战。文章分析小程序技术栈及与普通APP的区别，指出小程序本质是运行在超级应用上的网站。作者团队在小程序安全研究领域领先，文中回顾了技术栈演变及过往研究成果。 综合评分： 75 文章分类： 移动安全,应用安全,漏洞分析

G.O.S.S.I.P 阅读推荐 2026-02-03 崛起（却不安全）的小程序

原创

G.O.S.S.I.P G.O.S.S.I.P

安全研究GoSSIP

2026年2月3日 20:25 上海

如果说2010年开始的10年是属于移动终端上的应用（APP）的10年，而即将到来的5年大概率是属于AI的，那么过去的10年时间，小程序肯定是从无到有，再到飞入千万人的手机，成为了又一个巨大的生态系统。今天我们要给大家介绍的是G.O.S.S.I.P的老朋友们的一篇IEEE Security & Privacy期刊文章（一作二作都曾经在G.O.S.S.I.P实习，而林志强教授更是跟我们老早就认识）The Rise of Miniapps: A New Frotier with Security Challenges in Mobile Apps：

关于小程序的发展史，可以追溯到10多年前（虽然大家最熟悉的微信小程序是2016年才开始推广的），时至今日，国内外许许多多的平台（也就是本文所说的“super-app”）都引入了这项技术，把Google和Apple的“应用市场”这种中心化的~~糟粕~~思想~~变本加厉~~发扬光大：

其实小程序的技术栈并没有那么复杂，而且现在很多AI编程助手都喜欢宣传什么“零基础5分钟开发一个小程序”，总体来说就是把很多基本的框架给你封装好了，开发者只需要去构建一些基本的信息就能很快写（错）一个小程序~

小程序和普通的Android/iOS应用的区别是什么呢，也许下面这张表格能清晰地告诉你？我们的观点是：小程序更像是一个高度依赖服务器的“网站”，只不过这个“网站”只能运行在“super-app”这个浏览器上~

文章中也很贴心地给大家展示了相关的技术栈的演变，特别是所谓的“Miniapp runtime”，不禁让人想到了经典的VB6 runtime：技术圈和时尚圈果然是相似的轮回演变啊！

在小程序安全方面，文章的作者所在的研究团队应该是全世界首屈一指的：在我们公众号过去的相关推荐中也有许多来自他们的研究成果，我们就不再展开介绍了，大家可以阅读原文或者点击下面的链接去温习一下：

• G.O.S.S.I.P 阅读推荐 2023-06-21 微信小程序安全分析之APIDIFF
• 小程序大世界：揭秘十亿用户背后的安全挑战

文章：https://ieeexplore.ieee.org/abstract/document/11362975

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全研究GoSSIP G.O.S.S.I.P G.O.S.S.I.P《G.O.S.S.I.P 阅读推荐 2026-02-03 崛起（却不安全）的小程序》