据IEEE Spectrum报道,宇树科技(Unitree)旗下的Go2、B2四足机器人以及G1、H1人形机器人被发现存在一个名为“UniPwn”的关键安全漏洞。该漏洞源于蓝牙低功耗(BLE)Wi-Fi配置接口的多个安全缺陷,包括硬编码加密密钥、身份验证绕过和命令注入等,这些缺陷允许攻击者通过无线方式获取机器人的完全root权限。
值得注意的是,“UniPwn”具有蠕虫特性,能够使受感染的机器人自动搜索并感染邻近蓝牙范围内的其他同品牌机器人,从而形成一个可以自我复制的机器人僵尸网络。在研究人员尝试以负责任的方式向宇树科技报告此漏洞后,公司起初反应迟缓。
宇树科技于9月29日通过X平台发表声明,确认了用户在其机器人产品中遇到的安全问题,并表示已着手解决这些问题。根据声明,大部分修复工作已经完成,并计划在未来推送更新补丁。
此外,宇树科技指出其机器人默认设置为离线模式运行,除非用户为了使用特定功能而手动激活互联网连接。在这种情况下,仅会传输如序列号和健康状态的基本信息至服务器,类似于智能手机的操作模式。宇树承诺将继续改进权限管理机制,以降低潜在的安全风险。
