宇樹機器人被爆 每5分鐘傳數據回中國
中國機器人新創企業宇樹科技(Unitree Robotics),近日被揭露存在嚴重資安漏洞。安全研究人員發現,該公司旗下多款機器人不僅存在可被遠端控制的安全缺陷,其G1人形機器人更會在未經用戶同意下,每隔5分鐘自動向中國伺服器回傳音訊、視訊及感測器數據。
根據《IEEE Spectrum》報導,安全研究人員Andreas Makris和Kevin Finisterre於9月20日公開揭露,宇樹科技多款機器人的低功耗藍牙(BLE)與WiFi配置介面存在嚴重漏洞,一旦某台機器人被入侵,便能自動掃描藍牙範圍內的其他宇樹機器人並進行感染,擴散成殭屍網路(botnet),攻擊者由此可控制大批機器人。
受影響機型包括該公司Go2、B2四足機器人,以及G1、H1人形機器人,是商業人形機器人平台首次被公開的重大安全漏洞。
值得注意的是,Makris近期更發現G1人形機器人每5分鐘會自動向中國伺服器傳送數據,包含音訊、視訊及各類感測器資料,過程中未經擁有者同意或告知。他表示,過去就曾在Go1機器人發現後門漏洞,這些問題無論是刻意設計還是開發疏失,都是糟糕的答案。
機器人網路安全公司Alias Robotics創始人Víctor Mayoral-Vilches建議,現有用戶應避免開啟藍牙,改用WiFi連線,並將機器人置於隔離網路環境操作。他強調,人形機器人系統複雜,需要保護的攻擊面廣泛,一旦失控遭濫用,可能構成人身威脅。◇
