9 月 30 日讯,据 IEEE Spectrum 近日发布的深度技术报告披露,国内机器人制造商宇树科技(Unitree)旗下多款热门机器人产品被发现存在严重安全漏洞,代号为“UniPwn”。该漏洞波及范围广泛,包括 Go2 和 B2 四足机器人,以及 G1 和 H1 两款人形机器人。问题根源在于其蓝牙低功耗(BLE)与 Wi-Fi 配置模块中存在多项设计缺陷,例如使用固定不变的加密密钥、身份验证机制可被轻易绕过,以及允许远程命令注入等,使得攻击者无需物理接触设备,仅通过无线信号即可获取机器人系统的最高 root 权限,实现完全控制。
尤为严峻的是,这一漏洞具备自我复制与传播能力,呈现出典型的“蠕虫式”攻击特征。一旦某台机器人被入侵,它便能自动扫描周边蓝牙信号覆盖范围内的其他宇树机器人设备,并利用相同漏洞发起攻击,迅速将恶意代码扩散至整个机器人网络。这意味着在密集部署机器人场景中,如展览馆、物流中心或未来智慧城市应用中,单点入侵可能迅速演变为大规模系统性失控,形成由受控机器人组成的僵尸网络,对公共安全和数据隐私构成潜在威胁。
据悉,安全研究人员在发现该问题后,曾按照惯例尝试通过正规渠道向宇树科技进行漏洞披露,以推动及时修复。然而,其披露过程遭遇了响应迟缓的困境,企业未能在预期时间内采取有效应对措施,这也引发了外界对该公司安全响应机制和危机处理能力的质疑。
面对持续发酵的舆论压力与技术风险,宇树科技终于在 9 月 29 日通过社交平台 X 发布官方声明,承认部分用户在使用过程中反馈了安全与网络连接相关的问题。公司表示已紧急介入调查,并完成了绝大部分修复工作,相关固件更新将在短期内向用户推送。宇树强调,其机器人产品在出厂设计上以离线运作为基本原则,不默认连接互联网;仅当用户为实现特定功能而主动配置网络时,设备才会接入外部网络。在此过程中,仅会上传设备序列号、运行状态等基础信息至服务器,类比于智能手机的常规数据回传机制。
尽管如此,此次事件仍为快速崛起的智能机器人产业敲响了警钟。随着机器人从实验室走向日常生活,其安全性不应再被视为次要考量。宇树科技也承诺,未来将进一步优化权限管理策略,提升用户透明度,减少因信息不对称导致的信任危机,力求在技术创新与用户安全之间建立更稳固的平衡。
