在工業控制器、醫療設備、制造生產線、能源基礎設施等網絡化物理系統（CPS, Cyber Physical Systems）中，安全團隊長期面臨一個令人頭疼的問題：沒人能說清楚設備到底叫什么。

• 同一臺控制器，在不同協議下，可能報出三個不同名稱。

• 有的控制器隱藏了產品代碼。

• 廠商發布的公告中充斥著模糊的型號系列，而非具體的型號變體。

• CVE漏洞信息也常常模棱兩可，讓人無法確定是否適用于眼前的設備。

這就是OT領域的命名危機。攻擊者利用固件缺陷、配置差異、未打補丁的模塊輕松突破。防御者卻在架子上兩臺幾乎一模一樣的PLC之間糾結：到底是哪一臺？

Claroty推出CPS Library，在Claroty CTD、xDome上線

Claroty推出CPS Library

Claroty發布了 CPS Library，這是業內首個由AI驅動的映射引擎，能夠在設備幾乎不報自身信息的情況下，確定性地識別資產，精準匹配漏洞。它不是普通的梳理資產清單的功能，而是一個 “通用轉換器”。

背后有羅克韋爾自動化（Rockwell Automation）、施耐德電氣（Schneider Electric）等主流廠商提供的數據和驗證支持。

其底層是multi-agent AI system（多智能體AI系統），它能采集：

• 網絡層標識符

• 混合格式的命名字符串

• 廠商產品目錄

• 固件關聯信息

• 參考數據（advisory data）

然后，把它們整合為一個單一的“ground truth（真實）”產品代碼。

CPS Library使用一個龐大的證據圖譜（evidence graph），包含了經過OEM廠商驗證的參考值，AI Agents通過多重證據交叉比對，精準識別設備身份。

資產層混亂，削弱整個防御體系

Claroty研究團隊Team82發布了一份報告《Resolving the CPS Identity Crisis》，量化了當前CPS資產識別的混亂現狀。

• 88%的CPS資產無法傳輸精確的產品代碼。

• 76%的資產名稱不一致（同一個設備不同協議報不同名）。

• 41%不廣播操作系統版本。

• 33%不廣播操作系統名稱。

• 四分之三的型號在不同協議或集成下有多個命名變體。

• Claroty應用其全新的、由AI驅動的數據核對流程后，某知名OEM廠商的數據映射準確率從4%躍升至83%。

這些數字不僅反映了身份識別混亂，還反映了系統性暴露風險。

當資產層本身就是一團霧，上面所有的防御都站不穩：風險報告、CVE匹配、補丁驗證、補償控制、合規、事件響應......

很多企業的“最后一公里修復”以無奈的聳肩告終：連設備到底是哪一款都搞不清楚，拿什么去打補??？

Claroty CPS Library 優化漏洞管理

與IT資產不同，CPS設備是模塊化生態系統。同一個型號可能代表不同CPU、網卡或接口模塊的硬件，每種配置都引入了不同的固件分支和各自獨特的安全漏洞。

某個CVE漏洞可能僅在控制器與特定通信模塊配對時才會生效。另一個漏洞可能僅適用于預裝特定操作系統版本的設備。但由于廠商很少在公告中包含細粒度信息，運維人員只能靠猜測。

CPS Library把那些數字世界里根本找不到的細節也拉了進來：

• 默認配置

• 固件版本

• 廠商批準的補丁級別

• 可替換組件之間的關系

然后，它會將這些信息與從網絡流量中捕獲的真實標識符進行匹配，即使設備省略了最關鍵的字段也能正常工作。實測效果：

• 漏洞歸因準確率提升25%

• 56%的設備獲得了全新或更新的修復指導

• 誤報率下降27%

• 漏報率下降29%

多專業 Agent 協同，CPS Library 帶來安全新突破

Claroty CPS Library的架構不是單一模型，而是由多個專業Agent組成：

• 自然語言處理引擎（NLP engines）：解析混亂的、源自協議的命名字符串。

• 統計推理器（Statistical reasoners）：為相關性分配置信度。

• 領域引導邏輯模塊（Domain-guided logic modules）：理解硬件迭代、更換周期、固件兼容性。

• 集成投票系統（Ensemble voting system）：抑制噪聲及協調矛盾數據。

• 人機交互驗證循環（Human-in-the-loop verification loop）：持續豐富證據圖譜，基于新的真實數據重新訓練模型。

傳統方法依賴于單一且不完善的信號，比如Modbus標識符或廠商PDF文件，而CPS Library是幾百個信號一起上。

Claroty把CPS Library定位為基礎架構，非附加功能。CPS Library是一個經過廠商驗證的規范化參考系統，其他安全層都可以接入。

Claroty CPS Library 從根源上處理安全問題

當前針對CPS的漏洞管理流程實際上是失效的，根本原因在于命名層從未穩定過。

底層的不一致直接導致上層的混亂：CVE官方發布的內容殘缺不全，廠商在不同產品線之間自相矛盾，運維人員則需要花費數天時間去解讀跨越幾十種變體配置的型號系列。

直到現在，防御者一直在用類似“一堆便簽紙”的設備身份來保護世界上最敏感的基礎設施。而攻擊者多年來正是從這種模糊性中獲益。

標準化CPS身份不僅僅是一個可視化問題，它是應對所有網絡物理風險的前提條件。

工業、醫療、能源等領域需要對每個可能暴露給攻擊者的聯網設備進行精確、確定性的追溯。

Claroty 總代 Cyberworld科明大同，Claroty  CPS Library努力把所有噪聲變成確定性的映射：一個產品身份、一組漏洞、一條修復路徑。