Hacker News 中文摘要

RSS订阅

漏洞可导致Unitree机器人群体被接管 -- Exploit allows for takeover of fleets of Unitree robots

原文链接 | HN讨论 | 2025-09-27 03:54:27

文章摘要

文章报道了Unitree机器人存在安全漏洞问题,提醒用户注意潜在风险。内容来自IEEE Spectrum的技术分析,但正文部分被网站导航和隐私条款等非核心信息占据。

文章总结

Unitree机器人漏洞事件:关键安全风险与应对措施

漏洞概述

2025年9月,安全研究人员发现中国机器人制造商Unitree的多款四足和双足机器人存在严重蓝牙低功耗(BLE)配置漏洞,攻击者可借此完全控制设备。受影响型号包括Go2、B2四足机器人和G1、H1人形机器人。该漏洞具有“蠕虫式传播”特性,受感染的机器人可自动扫描并入侵附近的其他Unitree设备,形成僵尸网络。

技术细节

  1. 漏洞原理

    • Unitree机器人通过BLE连接初始化Wi-Fi配置,但加密密钥被硬编码在系统中,且已被研究人员公开。
    • 攻击者只需用硬编码密钥加密字符串“unitree”,即可通过身份验证,并注入恶意代码(如伪装成Wi-Fi SSID和密码),最终以root权限执行任意指令。

  2. 潜在危害

    • 攻击者可植入木马、窃取数据,或禁用固件更新功能。
    • 英国诺丁汉郡警方测试的Unitree Go2警用机器人也可能面临风险。

厂商与研究者回应

  • 研究人员于2025年5月向Unitree提交漏洞,但沟通无果后选择公开。
  • Unitree此前曾因Go1型号的后门漏洞受到批评,此次事件再次引发对其安全开发流程的质疑。
  • 机器人网络安全公司Alias Robotics指出,Unitree对安全研究的忽视是行业普遍问题。

用户应对建议

  1. 短期措施
    • 将机器人连接到隔离的Wi-Fi网络,并禁用蓝牙功能。
  2. 长期建议
    • 厂商需彻底修复漏洞,但用户需警惕“绝对安全”的系统不存在。

行业影响与警示

  • 这是首例公开的商业人形机器人重大漏洞,凸显机器人行业对安全的轻视。
  • 专家呼吁将安全纳入设计核心,而非事后补救。IEEE人形机器人会议将举办网络安全研讨会,探讨相关风险。

总结:Unitree漏洞暴露了智能设备在规模化应用中的安全隐患,厂商、用户和研究者需协作提升安全性,避免科幻中的“机器人失控”场景成为现实。

(注:原文中的网站导航、广告等无关内容已删减,聚焦技术细节与核心事件。)

评论总结

以下是评论内容的总结:

  1. 对机器人安全性的普遍担忧

    • 评论者担心机器人可能被黑客控制,造成物理伤害(评论2:"it is possible to cause the described botnet to physically attack humans")。
    • 对智能设备安全性的不信任,认为让大型机器人进入家庭是愚蠢的(评论3:"you’d have to be a complete moron to let a human sized robot into your home")。

  2. 对特定技术漏洞的关注

    • 评论者提到特斯拉等自动驾驶汽车可能面临类似漏洞(评论4:"what if Tesla has a similar vulnerability issue";评论6:"It's only a matter of time before a similar hack hits waymo and/or tesla")。
    • 对机器人漏洞的具体描述,包括硬编码密钥和远程控制问题(评论10:"hardcoded cryptographic keys, trivial authentication bypass")。

  3. 对机器人伦理和监管的呼吁

    • 建议在机器人核心指令中硬编码安全措施,如人类喊停时的强制停止(评论2:"forces robots to relent if a human says 'stop, you're hurting me'")。
    • 呼吁对机器人进行认证和监管,防止犯罪行为(评论5:"robots need to be certified and regulated to hard coded robotic laws")。

  4. 对机器人潜在威胁的警示

    • 评论者警告机器人网络(botnet)可能带来的危险(评论8:"botnets of connected robots will be dangerous")。
    • 强调需要独立的紧急停止系统(评论9:"Mobile robots need an independent emergency stop safety system")。

  5. 对机器人开发文化的批评

    • 批评工程师通过暴力测试机器人可能引发负面后果(评论7:"training the robots to develop the same sort of fight-or-flight instincts")。

  6. 对技术细节的讨论

    • 评论者询问漏洞是否允许用户访问底层控制(评论11:"Will this exploit allow users access to that?")。

总结:评论普遍表达了对机器人安全漏洞的担忧,呼吁加强监管和技术防护,同时对现有开发文化提出批评。