Claroty推出CPS Library，在Claroty CTD、xDome上线

http://www.gkong.com 2026-02-26 16:04 广州科明大同科技有限公司

在工业控制器、医疗设备、制造生产线、能源基础设施等网络化物理系统（CPS, Cyber Physical Systems）中，安全团队长期面临一个令人头疼的问题：没人能说清楚设备到底叫什么。

这就是OT领域的命名危机。攻击者利用固件缺陷、配置差异、未打补丁的模块轻松突破。防御者却在架子上两台几乎一模一样的PLC之间纠结：到底是哪一台？

Claroty推出CPS Library，在Claroty CTD、xDome上线

Claroty发布了 CPS Library，这是业内首个由AI驱动的映射引擎，能够在设备几乎不报自身信息的情况下，确定性地识别资产，精准匹配漏洞。它不是普通的梳理资产清单的功能，而是一个 “通用转换器”。

背后有罗克韦尔自动化（Rockwell Automation）、施耐德电气（Schneider Electric）等主流厂商提供的数据和验证支持。

其底层是multi-agent AI system（多智能体AI系统），它能采集：

然后，把它们整合为一个单一的“ground truth（真实）”产品代码。CPS Library使用一个庞大的证据图谱（evidence graph），包含了经过OEM厂商验证的参考值，AI Agents通过多重证据交叉比对，精准识别设备身份。

资产层混乱，削弱整个防御体系

Claroty研究团队Team82发布了一份报告《Resolving the CPS Identity Crisis》，量化了当前CPS资产识别的混乱现状。

这些数字不仅反映了身份识别混乱，还反映了系统性暴露风险。当资产层本身就是一团雾，上面所有的防御都站不稳：风险报告、CVE匹配、补丁验证、补偿控制、合规、事件响应......很多企业的“最后一公里修复”以无奈的耸肩告终：连设备到底是哪一款都搞不清楚，拿什么去打补丁？

Claroty CPS Library 优化漏洞管理

与IT资产不同，CPS设备是模块化生态系统。同一个型号可能代表不同CPU、网卡或接口模块的硬件，每种配置都引入了不同的固件分支和各自独特的安全漏洞。

某个CVE漏洞可能仅在控制器与特定通信模块配对时才会生效。另一个漏洞可能仅适用于预装特定操作系统版本的设备。但由于厂商很少在公告中包含细粒度信息，运维人员只能靠猜测。

CPS Library把那些数字世界里根本找不到的细节也拉了进来：

然后，它会将这些信息与从网络流量中捕获的真实标识符进行匹配，即使设备省略了最关键的字段也能正常工作。实测效果：

多专业 Agent 协同，CPS Library 带来安全新突破

Claroty CPS Library的架构不是单一模型，而是由多个专业Agent组成：

传统方法依赖于单一且不完善的信号，比如Modbus标识符或厂商PDF文件，而CPS Library是几百个信号一起上。

Claroty把CPS Library定位为基础架构，非附加功能。CPS Library是一个经过厂商验证的规范化参考系统，其他安全层都可以接入。

Claroty CPS Library 从根源上处理安全问题

当前针对CPS的漏洞管理流程实际上是失效的，根本原因在于命名层从未稳定过。

底层的不一致直接导致上层的混乱：CVE官方发布的内容残缺不全，厂商在不同产品线之间自相矛盾，运维人员则需要花费数天时间去解读跨越几十种变体配置的型号系列。

直到现在，防御者一直在用类似“一堆便签纸”的设备身份来保护世界上最敏感的基础设施。而攻击者多年来正是从这种模糊性中获益。

标准化CPS身份不仅仅是一个可视化问题，它是应对所有网络物理风险的前提条件。

工业、医疗、能源等领域需要对每个可能暴露给攻击者的联网设备进行精确、确定性的追溯。

Claroty 总代 Cyberworld科明大同，Claroty CPS Library努力把所有噪声变成确定性的映射：一个产品身份、一组漏洞、一条修复路径。