The Effect of Code Obfuscation on Human Program Comprehension

该研究通过输出预测任务发现，代码混淆总体上增加了理解代码的时间并降低了准确率，且这种影响在不同编程语言（如 JavaScript 和 Python）中表现出非单调的复杂差异，同时揭示了混淆促使开发者从启发式快速推理转向更审慎的深思熟虑过程，且编程经验对性能的影响主要局限于特定语言内部。

要点

这篇论文研究了一个非常有趣的问题：如果把代码“伪装”得面目全非，人类还能看懂它吗？

想象一下，你正在读一本侦探小说。如果作者把主角的名字从“福尔摩斯”改成"X"，把“谋杀案”改成“意外”，甚至把故事的时间线打乱，让你先读结局再读开头，你还能猜出故事讲了什么吗？

这篇论文就是做了这样一个实验：研究人员给程序员们看了一些被“伪装”（混淆）过的代码，让他们预测代码运行后的结果。他们想看看，这种伪装会让程序员变慢多少、犯错多少，以及不同编程语言（Python 和 JavaScript）的人反应有何不同。

以下是用大白话和比喻对论文核心内容的解读：

1. 实验是怎么做的？（给代码穿“马甲”）

研究人员把代码分成了五个等级，就像给代码穿了不同厚度的“隐身衣”：

• L0（原样）： 正常的代码，名字清晰，逻辑顺畅。
• L1（乱起名）： 把变量名从 total_price 改成 x 或 var_123。就像把“苹果”改叫“那个红色的球”，你还能猜出是苹果，但得费劲想。
• L1b（误导性起名）： 这是最狡猾的！把“苹果”改名叫“香蕉”。这会让你产生错觉，以为它是香蕉，结果猜错。
• L2（打乱顺序）： 把代码的执行顺序打乱，就像把侦探小说的章节撕下来随机粘贴。你没法顺着读，得自己拼凑逻辑。
• L3（混合双打）： 既乱起名，又打乱顺序。这是最难的“地狱模式”。

2. 核心发现：大脑的两种模式

研究用了一个心理学概念来解释程序员的行为：系统 1（直觉） 和 系统 2（深思）。

• 系统 1（快思考）： 就像开车时的肌肉记忆。看到熟悉的变量名（如 sum），大脑瞬间反应“哦，这是在求和”。这是直觉。
• 系统 2（慢思考）： 就像解数学题。需要一步步推导，非常累。这是逻辑。

实验发现：

• 伪装会强迫大脑切换模式： 当代码被伪装（特别是名字被乱改或顺序被打乱）时，你的“直觉”（系统 1）失效了。你被迫切换到“慢思考”（系统 2），一步步去追踪代码逻辑。
• 慢思考不一定对： 虽然慢下来能提高准确率，但如果慢得太久（比如盯着代码看了 5 分钟），往往说明你彻底懵了，陷入死胡同，这时候准确率反而下降。

3. 最惊人的发现：Python 和 JavaScript 的反应完全不同

这是论文最有趣的地方，就像两种不同性格的人面对同一场考试：

• JavaScript（老实人）：

  • 表现： 伪装越狠，成绩越差。
  • 原因： JavaScript 程序员非常依赖变量名来理解代码。一旦名字被乱改（L1），他们就像失去了路标，直接迷路。名字越乱，逻辑越乱，成绩直线下降。
  • 比喻： 就像走迷宫，JavaScript 程序员依赖墙上的路标。路标被涂黑或指错方向，他们就彻底晕了。

• Python（叛逆者）：

  • 表现： 有时候，把名字改乱，成绩反而变好了！
  • 原因： 在 Python 中，原本清晰的变量名有时会“骗”人。比如看到一个名字叫 calculate_tax，程序员会想当然地认为它在算税（系统 1 的直觉），结果代码逻辑其实是别的东西。
  • 反转： 当名字被改成乱码（L1）时，Python 程序员被迫放弃“想当然”，不得不老老实实去读代码逻辑（系统 2）。这种“被迫认真”反而让他们少犯错，成绩比看原代码还高！
  • 比喻： Python 程序员就像那些容易“先入为主”的人。有时候把提示牌拿走，他们反而不再瞎猜，开始脚踏实地地看路，结果走得更稳。

4. 经验有用吗？（老手 vs 新手）

• 在本行里： 经验当然有用。Python 老手看 Python 代码就是比新手快。
• 跨行时： 经验会“打架”。如果你精通 Python，突然让你看被混淆的 JavaScript，你的 Python 经验反而可能帮倒忙。因为你会把 Python 的习惯强加给 JavaScript，导致误判。
• 结论： 真正的能力不是“记住了多少语法”，而是“能不能在混乱中冷静地一步步推导”。这种能力是可以通用的，但需要克服语言习惯的干扰。

5. 总结：这对我们意味着什么？

• 对黑客/安全人员： 并不是把代码改得越乱就越安全。有时候，简单的“乱起名”反而会让某些语言的程序员更认真，从而更容易发现漏洞。真正的杀手锏是打乱代码的执行顺序（控制流混淆），这会让所有人的大脑都宕机。
• 对程序员： 别太依赖变量名。有时候名字太“好”听，反而会骗你。遇到看不懂的代码，关掉“直觉”，强迫自己慢下来，一步步推导。
• 对工具开发者： 现在的代码分析工具太看重“复杂度数字”，却忽略了“人脑怎么想”。未来的工具应该能模拟人类的大脑，告诉我们：“这段代码虽然不复杂，但名字太误导人，人看了会晕。”

一句话总结：
代码伪装就像给大脑设下的陷阱。对于依赖直觉的程序员（尤其是 JavaScript），名字乱了就完了；但对于容易“想当然”的程序员（尤其是 Python），名字乱了反而逼他们动真格，结果可能更好。真正的挑战在于打乱逻辑顺序，那会让所有人的大脑都“死机”。

技术摘要

论文技术总结：代码混淆对人类程序理解的影响

论文标题：The Effect of Code Obfuscation on Human Program Comprehension
作者：Anh H. N. Nguyen, Jack Le, Ilse Lahnstein Coronado, Tien N. Nguyen (德克萨斯大学达拉斯分校)
发表日期：2026 年 3 月 (arXiv:2603.07668v1)

---

1. 研究背景与问题 (Problem)

代码混淆（Code Obfuscation）广泛用于保护知识产权和防止逆向工程。现有的评估主要依赖自动化指标（如代码复杂度、反编译成功率）或假设性的攻击者模型，缺乏关于特定混淆机制如何具体影响人类理解代码能力的实证数据。

传统假设认为“混淆强度越高，人类认知难度越大”，且这种关系是单调的。然而，人类认知并非简单的计算过程。混淆技术（如标识符重命名、控制流扁平化）可能通过破坏语义捷径、误导心智模型或打断结构线索来影响理解。本研究旨在通过受控实验，填补这一空白，探究：

1. 不同级别的混淆如何影响代码输出的预测准确率？
2. 混淆如何改变程序员的响应时间（即认知模式）？
3. 代码复杂度、编程语言（Python vs. JavaScript）及开发者经验如何调节上述影响？

2. 方法论 (Methodology)

2.1 实验设计

• 任务：输出预测（Output Prediction）。给定一个函数和具体输入，要求参与者预测输出结果。该任务被视为程序理解的经典代理，因为它需要构建正确的语义心智模型，且具有客观的正确答案。
• 数据集：基于 HumanEval-X 基准，选取 Python 和 JavaScript 子集。
  • 筛选标准：循环复杂度（Cyclomatic Complexity）在 4-8 之间，代码行数 < 15。
  • 样本量：每种语言 10 个片段，共 20 个基础代码片段。
• 混淆层级（Obfuscation Tiers）：
  • L0 (基准)：原始代码。
  • L1 (标识符重命名)：将变量/函数名替换为无意义的短名称（如 var_xxxx），破坏语义线索。
  • L1b (对抗性重命名)：将标识符替换为看似合理但具有误导性的名称（例如将累加器命名为 smoothArea），诱导错误的心智模型。
  • L2 (控制流修改)：控制流扁平化（Control-flow flattening），通过引入调度器和间接跳转打乱执行顺序。
  • L3 (组合)：L1/L1b 与 L2 的组合（重命名 + 控制流修改）。
• 参与者：50 名计算机科学本科生，根据自我报告的 Python 和 JavaScript 经验（无、<1 年、≥1 年）分组。
• 流程：在受控环境下进行 75 分钟的测试，禁止使用外部资源（LLM、IDE 等）。记录准确率、响应时间及经验水平。

2.2 理论框架

研究基于双重系统理论（Dual-System Theory）：

• 系统 1 (System 1)：快速、直觉、基于启发式的处理（依赖熟悉的结构和命名）。
• 系统 2 (System 2)：缓慢、分析性、刻意推理（逐行追踪逻辑）。
• 假设：混淆会阻碍系统 1 的默认处理，迫使参与者切换到系统 2，从而增加认知负荷和响应时间。

3. 关键发现与结果 (Key Results)

3.1 混淆对准确率的影响 (RQ1)

• 总体趋势：混淆通常降低准确率，但并非严格单调。
  • JavaScript：符合预期，混淆越强，准确率越低（L0: 43.3% → L3: 15.9%）。控制流修改（L2）比单纯重命名（L1）危害更大。
  • Python：出现反直觉现象。L1（重命名）和 L1b（对抗性重命名）的准确率高于基准 L0（L0: 37.5% → L1: 52.5%）。
  • 解释：在 Python 中，原始代码的语义命名可能诱导错误的系统 1 启发式猜测；去除这些命名反而迫使开发者进行更严谨的系统 2 逻辑追踪，从而提高了准确性。

3.2 响应时间与认知模式 (RQ2)

• 系统切换：混淆导致响应时间显著增加（平均增加约 1 分钟），表明参与者从系统 1 切换到系统 2。
• 非单调的时间 - 准确率关系：
  • 快速响应：在 L0 和 L1 中，快速响应通常准确（系统 1 有效）；但在 L1b 和 L2 中，快速响应往往错误（被误导或跳过逻辑）。
  • 中等延迟：准确率最高。适度的系统 2 参与（60-180 秒）能显著提升准确性。
  • 极长延迟：准确率再次下降。过长的时间通常意味着困惑、死循环或无效的反复检查，而非成功的推理。
• L1b 的特殊性：对抗性重命名是系统 1 的“陷阱”。快速回答者容易掉入语义陷阱，而慢速回答者通过仔细追踪数据流能纠正错误，因此 L1b 在慢速组中表现最好。

3.3 代码复杂度的影响 (RQ3)

• 标识符长度：与准确率无显著相关性。长但误导性的名称比短名称危害更大。
• 代码行数：
  • 在 L2/L3（控制流混淆）中，代码越长，准确率下降越剧烈（认知负荷随规模线性增加）。
  • 在 L1（仅重命名）中，代码越长，准确率反而可能上升，因为更长的结构提供了更多恢复意图的线索。
• 循环复杂度 (CC)：
  • JavaScript：CC 越高，准确率单调下降。
  • Python：呈现非单调性。中等复杂度的代码在 L3 下表现最好，可能是因为结构线索抵消了部分混淆影响。

3.4 编程语言差异 (RQ4)

• JavaScript：严重依赖标识符语义作为理解锚点。重命名对其破坏性极大。
• Python：对结构（缩进、控制流）的依赖更强。去除语义命名有时能“净化”干扰，迫使开发者关注逻辑流，从而在特定混淆层级下表现优于原始代码。

3.5 经验与迁移能力 (RQ5)

• 语言内相关性：经验显著预测同语言任务的表现（Python 经验对 Python 任务有强正相关）。
• 跨语言干扰：
  • 负迁移：高 Python 经验者在 JavaScript 任务上表现反而下降（负相关）。这可能是因为 Python 的惯用思维（System 1 捷径）在 JavaScript 混淆代码中失效，导致错误。
  • 通用能力：尽管存在负迁移，但在两种语言中表现好的人通常具备通用的代码追踪能力（System 2 技能），这种能力是可迁移的。
• 最佳经验组合：表现最好的并非“双语言专家”，而是具有中等经验或单一语言中等经验 + 另一语言基础的群体。过度依赖系统 1 的专家在混淆环境下更容易犯错。

4. 主要贡献 (Key Contributions)

1. 实证挑战“单调性”假设：证明了混淆强度与人类理解难度之间并非简单的线性关系。在某些情况下（如 Python 的重命名），混淆反而通过抑制错误的启发式思维而提高了准确性。
2. 双重系统视角的验证：通过响应时间分布，实证了混淆如何强制程序员从直觉（系统 1）转向分析（系统 2），并揭示了“中等延迟”是准确性的最佳区间。
3. 语言特异性发现：揭示了 Python 和 JavaScript 在混淆下的截然不同的行为模式，指出混淆策略必须针对特定语言和受众进行调整。
4. 对抗性重命名的新见解：发现“误导性命名”（L1b）比“无意义命名”（L1）更能触发深度思考，但也更容易导致系统 1 的致命错误。
5. 经验迁移的复杂性：指出编程经验在跨语言混淆场景下可能产生负迁移，通用逻辑追踪技能比特定语言熟练度更重要。

5. 意义与启示 (Significance)

• 对安全研究：传统的静态指标（如循环复杂度、标识符长度）无法准确预测人类在混淆代码上的认知负荷。未来的评估应结合行为信号（准确率、响应时间分布、快/慢响应比例）。
• 对混淆工具开发者：
  • 控制流修改是最可靠的降低理解能力的技术。
  • 重命名策略需根据目标语言定制：在 JavaScript 中应破坏语义，而在 Python 中可能需要更激进的语义误导。
  • 对抗性命名（L1b）是一种低成本但高效的混淆手段，能利用人类的直觉弱点。
• 对辅助工具（IDE/LLM）：
  • 应识别用户是否处于“系统 1 陷阱”（如面对 L1b 代码时的快速错误），并引导其进行系统 2 式的验证。
  • 去混淆工具应针对特定瓶颈：控制流混淆需恢复结构，语义混淆需提供数据流验证而非简单的重命名。

总结：该论文通过严谨的实证研究，揭示了代码混淆对人类认知的复杂影响，打破了“越混淆越难懂”的简单线性认知，强调了语言特性、认知策略（系统 1 vs 系统 2）以及经验背景在代码理解中的关键作用。