2026-06-02 04:03:59 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 复旦大学系统软件与安全实验室研究揭示了小程序复制粘贴式模板化开发带来的安全隐忧。该模式虽便利，但也让恶意代码能大规模传播。研究团队开发了自动化检测工具Mateminer，分析发现近8万个小程序存在恶意行为，主要包括模板内置恶意数据收集和被恶意滥用于仿冒服务等。此项研究成果已发表于网络安全顶级国际会议IEEES&P2026。 综合评分： 90 文章分类： 移动安全,应用安全,漏洞分析,威胁情报,安全建设

cover_image

研究分享 | 小程序“复制粘贴”式开发背后的安全隐忧

原创

复旦白泽战队复旦白泽战队

复旦白泽战队

2026年6月1日 17:42 上海

在小说阅读器读本章

去阅读

微信、支付宝等超级应用中，大量商户借助第三方服务商提供的模板来快速搭建小程序，这让没有开发能力的商户也能快速拥有自己的小程序。然而，这种“一套模板、批量复制”的便利，也让恶意代码获得了前所未有的传播效率。

近期，复旦大学系统软件与安全实验室对小程序模板化开发带来的安全风险进行了系统性研究，揭示了恶意行为借助模板大规模传播的现象，并开发了自动化检测工具加以识别。该研究成果已发表于网络安全顶级国际会议IEEE S&P 2026。

01 / 研究背景

在小程序生态快速扩张的今天，小程序已覆盖购物、餐饮、政务、教育等各类功能场景。许多中小商户自身缺乏独立开发能力，通常依赖第三方服务商代开发小程序；而服务商则基于预先搭建好的模板，为不同商户批量生成功能相近的小程序。然而，这种高效的“模板化”生产模式缩短了小程序的上线周期，却也让恶意行为具备了批量扩散的能力。

例如，研究团队发现一个冒充政府社保服务的小程序，通过异形化名称“豫亊办”和相似图标吸引用户。进一步分析显示，其背后的服务商还运营着 12 个恶意小程序，且均出自同一套模板。

02 / 安全威胁

我们的研究发现，模板化开发模式主要带来两类风险：

模板内置恶意行为：部分服务商会在模板中预置隐蔽逻辑，例如在用户不知情的情况下收集并回传地理位置、浏览记录等数据。一旦商户使用该模板，生成的小程序也可能继承同样的风险。
模板被恶意滥用：攻击者可以借助现成模板，低成本、快速地仿冒知名品牌或官方服务，也可以批量生成用于传播不当内容、窃取用户数据的小程序。即使问题小程序被平台下架，也能迅速复制、换壳并重新上线。

03 / 工具设计

为了系统分析模板化开发中的安全隐患，我们研发了自动化分析工具 MateMiner，其工作流程主要分为以下三个阶段：

聚类分析：基于同一模板生成的小程序，往往在页面结构、函数逻辑和调用关系上高度相似。MateMiner 会从这些维度逐层比对，将可能来自同一模板的小程序归为一组。
差分提取：在同一组小程序中，不同商户通常会加入各自的定制化内容，但底层代码骨架往往保持一致。MateMiner 会对比组内小程序的代码差异，逐步剥离这些个性化部分，从而还原出它们共享的模板代码。
行为检测：MateMiner 进一步检测是否存在仿冒、诱导、不当内容传播和数据窃取等恶意行为。它结合小程序名称、描述、行为语义等信息，识别冒充官方服务、诱导用户分享或违规收集个人信息等问题。

04 / 研究发现

研究团队对真实世界中的 228 万余个微信小程序进行了自动化分析，多项发现令人警醒：

恶意行为存在普遍：MateMiner 识别出 4642 个含有恶意行为的模板，并且有近 8 万个模板化小程序被检出恶意行为。
数据收集“悄无声息”：在各类恶意行为中，数据窃取现象最为常见。大量小程序未向用户披露其数据收集行为，用户的位置信息、通讯录等隐私可能在不知情的情况下被获取。
威胁跨平台蔓延：部分恶意小程序已同步出现在支付宝、百度等平台上，这些恶意小程序同名同款、同一套路，显示出这一安全威胁并不局限于单一生态。

05 / 作者介绍

杨哲慜，复旦大学计算与智能创新学院副教授。研究方向为软件安全攻防技术，在网络安全顶级国际会议上发表论文 20 余篇，多项成果获网络空间安全顶级国际会议焦点论文、杰出论文奖等荣誉。曾获评新耀东方风采人物、上海市技术发明奖一等奖、中国计算机学会科学技术奖二等奖、上海市计算机学会科学技术奖一等奖。带领团队发现六万余项安全漏洞，发现并上报数十个国家级平台重大安全隐患。相关成果影响谷歌、华为、三星、百度、阿里、腾讯、抖音、小米、高通等国内外知名企业及全球数十亿用户，获得国家互联网应急中心”2021年最具价值漏洞奖”，华为安全奖励计划特别贡献奖等奖项。

个人主页：https://yangzhemin.github.io/

联系方式：[email protected]

史一哲，复旦大学计算与智能创新学院博士研究生，本科毕业于复旦大学计算机科学与技术专业。主要研究方向为小程序与移动应用的隐私安全与漏洞挖掘等，在NDSS、IEEE S&P等网络空间安全国际顶会上发表过学术论文，已累计获得上百个CVE和CNVD编号。

素材、供稿：史一哲

排版：崔璐凯、杨萧屹

责编：董佳仪

审核：洪赓、张琬琪

复旦白泽战队

一个有情怀的安全团队

还没有关注复旦白泽战队？

公众号、小红书搜索：复旦白泽战队也能找到我们哦~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：复旦白泽战队复旦白泽战队复旦白泽战队《研究分享 | 小程序“复制粘贴”式开发背后的安全隐忧》