9月30日外电报道,宇树科技(Unitree)的Go2、B2四足机器人和G1、H1人形机器人被曝存在名为"UniPwn"的高危安全漏洞。研究人员发现,这一漏洞主要是由于蓝牙低功耗(BLE) Wi-Fi配置接口存在多重安全隐患,包括使用了固定的加密密钥、存在身份验证绕过缺陷以及可被远程注入恶意指令等问题,黑客可以借此获取设备的最高控制权限。
特别需要注意的是,这一漏洞具备"蠕虫式"传播特性,受感染的机器人会自动搜索周边蓝牙信号范围内的其他宇树机器人并实施感染,可能形成规模化的机器人僵尸网络。安全专家此前曾尝试联系厂商披露漏洞,但宇树科技的反应速度令人担忧。
9月29日,宇树科技在其官方X账号发表声明承认,已收到用户反馈关于机器人产品存在的网络安全问题。公司称在发现问题后立即启动了修复程序,目前大部分安全问题已解决,即将推送系统更新补丁。
宇树科技强调,其机器人产品默认设置为离线工作模式,所有联网功能都需要用户手动开启授权。只有在用户需要使用特定网络功能时,机器人才会连接到互联网。
在联网状态下,机器人可能会上传包括设备序列号、运行状态等基础信息,这与智能手机等电子设备的数据收集机制类似。公司承诺将持续优化权限管理系统,以避免用户对数据收集产生误解。
