该论文针对关键制造基础设施中勒索软件恢复的挑战，指出传统“备份-恢复”思维无法解决制造系统特有的耦合问题。作者通过PRISMA系统的多源文献综述，包括学术文献、标准指南、威胁框架、公开事件材料及原始证据，识别出九种经证据支持的恢复失败模式：依赖关系盲目性、不信任的恢复点与备份过度信任、身份信任崩溃、缺乏恢复证明、不安全OT重连、分段假设失败、能力不匹配、未管理的降级运行以及供应商依赖失败。在此基础上，论文提出了“最小可行工厂恢复”（MVF Recovery）概念，定义为在当前依赖、证据、身份、数据、网络、OT和供应商约束下，能够恢复的最小安全、可信且运营有意义的生产能力。MVF Recovery是一个分析性目标，而非完整的恢复实现或安全认证声明。论文还推导了恢复生命周期和基准测试方向作为次级输出。核心贡献是为关键制造基础设施中以能力为中心的勒索软件恢复提供了基于证据的基础框架。该研究适合制造安全工程师、ICS安全研究人员、业务连续性规划者及勒索软件响应团队阅读。

本文提出APIOT（Autonomous Purple-teaming for Industrial OT），首个利用大语言模型（LLM）在裸机工业OT网络中进行自主攻击与修复的框架。传统自动化渗透测试主要针对Linux和Web系统，这些系统拥有LLM智能体熟悉的shell和文件系统。而裸机OT设备（如运行Modbus/TCP和CoAP的微控制器）缺乏这些接口，智能体必须直接推理协议字段和解析器语义，这要求全新的动作空间设计和运行时控制。APIOT框架实现了从漏洞发现、利用、修补到验证的完整循环，无需人工逐步干预。作者在Zephyr RTOS固件的异构工业物联网（IIoT）拓扑上进行了290次实验，涵盖五种前沿LLM、三种网络拓扑、两种损害程度以及引导/非引导条件。实验结果显示，APIOT在完整攻击-修复循环上的任务成功率达到90.0%。关键发现是运行时治理层（称为“监督器”）是一个关键的工程变量：没有它，智能体会出现系统的退化模式，包括重复循环、缺失崩溃验证和侦察死锁。这些发现表明，攻击者专业知识不再是裸机OT利用的瓶颈，防御者威胁模型现在必须考虑能够自主执行从发现到修复循环的LLM增强对手。