文章总结： 文章介绍了NDSS2026论文提出的Ta’veren系统，旨在发现可编程逻辑控制器二进制文件中的盲信漏洞。该系统结合人工定义的环境模型与angr符号执行引擎，将PLC固件逆向还原为有限状态机，自动化检测非预期输入引发的安全问题。研究通过合成数据集及ArduPilot飞控验证了有效性，并已开源相关代码。 综合评分： 85 文章分类： 二进制安全,漏洞分析,IoT安全

G.O.S.S.I.P 阅读推荐 2026-01-09 时间之轴

原创

G.O.S.S.I.P

安全研究GoSSIP

2026年1月9日 21:16 上海 标题已修改

时轴（Ta’veren），是指被命运之网环绕的人。围绕时轴，时光之轮将靠近者的命运，甚至是所有人的因缘编织成命运之网。时轴通常有着令人难以想象的运气，能使周围人做出一些始料未及的决定，抑或是使他们吐出本不想说的话。

长篇奇幻小说《时光之轮》不知道有多少读者看过，~~但是肯定比NDSS的论文读者要多一些~~ 今天我们要给大家介绍的并不是这本奇幻著作，而是一篇来自NDSS 2026的学术研究论文 Discovering Blind-Trust Vulnerabilities in PLC Binaries via State Machine Recovery，因为论文设计的分析系统Ta'veren的名字大概就来自于小说中的“时轴”：

这篇论文主要研究的是可编程逻辑控制器（Programmable Logic Controller，PLC）的安全问题，具体关注的是一类叫做 Blind Trust Vulnerability（BTV）的漏洞，而这个BTV并不是北京电视台，其实它就是下面图示的一类不安全输入所引起的安全问题。当然我们觉得这里其实可以更直接一点，用文字说一下“BTV相关的输入就是那些非预期且能够引起不安全后果的输入”就好了，用这幅图反倒是让读者看了半天才反应过来（至少编辑部是这样）。

当然，BTV的概念引入也算是定义了一类新问题，那这里主要还是因为此类问题影响的对象——PLC是比较特殊的，一般来说PLC对接的都是一些（关键的）工业设备，PLC的用户可能也不是专业的编程人员，我们曾经在公众号里面介绍过关于PLC安全研究的文章包括【G.O.S.S.I.P 阅读推荐 2024-08-09 PLC安全总览】、【G.O.S.S.I.P 学术论文推荐 2021-08-19】，大家可以去回顾一下，就会发现PLC编程这类工作很特殊，它只关心一些特定的输入来源（大部分来自传感器），程序也像是在画算法流程图或者状态机转移图。

我们注意到本文的作者大部分来自著名的ASU SEFCOM实验室，他们也是angr开发团队的核心，因此本文开发的PLC安全分析系统Ta'veren很自然会使用到angr——作者用angr作为核心来对PLC的固件进行了分析，来支持Ta'veren将PLC固件中的代码逻辑恢复成有限状态机（Finite State Machine，FSM）模型并进行分析，这就和其他的一些基于fuzzing的不安全输入检测技术有了本质的区别：

Ta'veren的工作流程看起来很简单（话说SEFCOM的论文有个特点，流程图很朴实，不像现在那些AI会议上的pipeline一样花里胡哨），但是这里有一些需要人工参与的地方，就是要人去帮助Ta'veren构建PLC工作环境模型（主要是人工去读文档，把一些输入输出变量给定义清楚），其余的状态机还原和漏洞寻找都交给自动化分析就好了（底层还是angr加持）：

在PLC这个领域，最大的问题是不太好拿到现实的固件，作者只能一方面拿OpenPLC、Beremiz、Simulink这种PLC开发工具来写了18个固件作为ground truth（下表中的DS_G数据集），而另外一个数据集（DS_T）包含的是用C和C++代码编译开发的固件

由于PLC的特殊性，我们就不再详细介绍实验结果了（缺少domain knowledge很难看懂），作者在文章中专门用Ta'veren去分析了一套基于ArduPilot飞控系统构建的Copter自动驾驶系统（主要是用在多旋翼飞机、直升机和其他旋翼飞行器上），也发现了一些问题。当然，提到因为参数错误导致的飞控系统问题，这里我们就顺手推荐一下G.O.S.S.I.P参与的一篇ICSE旧文 Control Parameters Considered Harmful: Detecting Range Specification Bugs in Drone Configuration Modules via Learning-Guided Search

论文：https://yancomm.net/papers/2026 – NDSS – Taveren.pdf 代码：https://github.com/sefcom/taveren （四天前刚刚上传，代码很详细）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全研究GoSSIP G.O.S.S.I.P《G.O.S.S.I.P 阅读推荐 2026-01-09 时间之轴》