宇树科技回应机器人安全问题。9月29日,宇树科技在社交平台X上发表声明,称已意识到部分用户在使用宇树机器人时发现了安全漏洞和网络相关问题,“我们立即开始处理这些问题,目前已完成大部分修复。这些更新将在不久的将来推送”。
日前,据IEEE Spectrum电气电子工程师学会网站指出,安全研究人员9月20日披露,宇树科技数款机器人使用的蓝牙低功耗(BLE)Wi-Fi配置接口中存在一个关键漏洞,该漏洞影响宇树的Go2和B2四足机器人以及G1和H1人形机器人。研究人员表示,由于该漏洞可通过无线方式利用,并且能完全控制受影响平台,因此具有可蠕虫式传播的特性,这意味着“受感染的机器人可以简单地扫描BLE范围内的其他宇树机器人并自动入侵它们,从而创建一个无需用户干预即可传播的机器人僵尸网络”。
IEEE Spectrum文章截图
宇树科技表示,默认情况下,其机器人产品设计为离线使用,不会连接到互联网。仅当客户需要使用某些需要互联网连接的功能时,才需要手动配置并授权机器人连接到互联网。宇树指出,如果设置并授权机器人连接网络,基本的产品信息,如机器人的序列号和健康状态,可能会在连接成功后发送到服务器(位于新加坡或各自国家的本地服务器)。
宇树称将持续改进权限管理,以尽量减少任何可能的误解,强调公司始终高度重视保护用户隐私,确保产品和系统的网络安全与信息安全。未经用户授权,不会收集任何私人或敏感数据。
前述研究人员表示:“机器人是非常复杂的系统,需要保护的攻击面很广,而最先进的人形机器人正是这种复杂性的体现。”
IEEE Spectrum的文章也强调:“宇树并非唯一提供复杂先进四足和人形机器人的公司,类似的漏洞很可能(即使不是不可避免)也会在其他平台中发现……机器人公司几乎不在公开场合讨论安全问题,尽管即使只是存在不安全的可能性也可能造成损害。一个失控的机器人有可能造成真实的物理危险”。
其实这已不是宇树首次回应机器人安全问题。早在2022年7月宇树就曾发表过安全声明,并在今年9月2日再次发布关于宇树Go1机器狗网络安全的声明。彼时,有黑客非法获取了Go1所使用的第三方云隧道服务的管理密钥,并利用该密钥以高级权限修改了用户机器内的数据和程序,从而获得了用户机器的操作权限和视频流访问权,侵害了客户隐私与安全。
不过,该安全问题涉及范围仅限于2021年发布(已停产约两年)的Go1机器狗系列,后续系列的机器人从未使用此方案。
宇树科技此前也发布过关于Go1机器狗网络安全的声明
华东政法大学中国法治战略研究院教授阙天舒近期曾指出,高度集成复杂技术的人形机器人已与云计算、移动互联网、物联网和人工智能等信息技术领域紧密融合,面临多种风险叠加并相互联系。
首先,在计算系统方面,人形机器人运行过程中涉及大量计算和存储,由此引发的数据篡改、恶意代码植入、硬件入侵等风险可能直接威胁机器人的完整性和可用性,甚至导致物理伤害或财产损失。现有研究表明,通过拒绝服务攻击(DoS)、劫持API、中间人攻击(MITM)、病毒感染、漏洞破解等攻击手段,攻击者能够在软件和硬件层面远程瘫痪或者控制工业机器人,造成包括过载、失控、攻击等情况。在可能的人形机器人风险场景中,黑客可以攻击机器人,使其罢工或者引发事故,或者对普通民众发动袭击。
第二,在人工智能系统方面,大模型作为人形机器人的“大脑”,通过学习和处理环境信息做出自主决策和行为,并进行人机互动。如果机器人采用的人工智能算法存在漏洞或设计缺陷,可能导致错误的决策和行为。
第三,人形机器人通常配备传感器、摄像头和麦克风,收集和处理数据。这些数据可能涉及个人隐私、企业或国家机密。一旦这些数据被黑客截获,可能导致不同程度的泄露,并引发一系列次生安全威胁,例如深度伪造诈骗、破解生物识别认证等。
随着人形机器人逐步进入生产生活各个领域使用,潜在安全风险将涉及社会生活、工业生产、国防安全等领域。对相关技术安全风险,也应从政策、制度、法律、技术等多个层面综合应对,如推动《网络安全法》《数据安全法》和《个人信息保护法》的修订,将机器人领域纳入专项监管范畴,形成与工业、数据、人工智能等领域相衔接的有效法律框架等。
