作者wu73 (かつ)
看板Stock
标题[新闻] 宇树科技爆蓝牙漏洞 大量机器人恐被「感
时间Fri Sep 26 10:45:18 2025
原文标题:宇树科技爆蓝牙漏洞 大量机器人恐被「感染」控制
原文连结:
https://www.cna.com.tw/news/ait/202509260021.aspx?topic=4215
发布时间:2025/9/26 08:06(9/26 10:05 更新)
记者署名:锺佑贞华盛顿25日专电
原文内容:宇树科技爆蓝牙漏洞 大量机器人恐被「感染」控制
https://i.urusai.cc/W17R9.png
(中央社记者锺佑贞华盛顿25日专电)美国媒体今天揭露中国宇树机器人新漏洞,由於经
无线传输,漏洞可自我扩散,使机器人容易「相互感染」,攻击者由此可能控制大批机器
人。此前,研究人员也发现宇树机器人的遥测资料流向中国伺服器,可能包含音讯及影像
。
台北市政府8月使用机器狗巡检人行道,遭指来自宇树科技,引发资安疑虑。市府对此回
应,基於公务员人力不足,把巡查维护道路委外给厂商处理,与厂商合约内容未包含购置
此机械狗的费用,执行时须经市府核准,若国内有适合产品,会建议厂商使用。
全球深具权威性的科技和工程类刊物IEEE Spectrum今天上午报导,资安人员20日揭露,
宇树科技多款机器人使用的低功耗蓝牙(BLE)Wi-Fi配置介面存有严重漏洞,攻击者可能
得以藉此取得权限,控制整台机器。
受影响的机型包括宇树Go2及B2四足机器人,以及G1及H1人形机器人。
研究人员指出,由於这个漏洞是透过无线传输,且一旦入侵可完全控制受影响平台,因此
这是一个可自我扩散(wormable,像蠕虫般自我复制)的漏洞。
这代表「受影响的机器人只需扫描BLE范围内的其他宇树机器人,即可自动入侵,形成自
动扩散的机器人殭屍网络,无需使用者干预。」
据IEEE Spectrum所知,
这是商业人形机器人平台首次被公开的重大漏洞。
根据报导,虽然宇树机器人会验证BLE封包的内容以确认使用者身分,但研究人员表示,
只需用硬编码金钥加密字串「unitree」(宇树的英文),机器人就会允许登入。
资安研究人员玛克里斯(Andreas Makris)指出,简单的攻击可能只是重启机器人,但攻
击者可以做更复杂的事情,例如植入木马,窃取数据。由於漏洞利用低功耗蓝牙,机器人
容易「相互感染」,攻击者由此可能控制大批机器人。
资安研究人员今年5月首次就此联系宇树。即使反覆沟通,进展不大,
宇树7月不再回应,
研究人员决定公开这项漏洞。玛克里斯透露,与宇树沟通时有些不愉快。他之前也在宇树
Go1机型发现後门漏洞,「所以我们需扪心自问,他们是故意引入这类漏洞,还是开发过
程马虎?这两个答案都一样糟糕。」
截至发稿时,宇树尚未回应IEEE Spectrum的置评请求。
「宇树和其他制造商一样,对以往的安全揭露和多次联系尝试置之不理」,机器人网路安
全公司Alias Robotics创办人马约拉-维尔切斯(Víctor Mayoral-Vilches)说。
「这不是与安全研究人员合作的正确方式。」
马约拉-维尔切斯先前也发现宇树机器人的其他安全漏洞,包括未披露的遥测资料流向中
国伺服器,可能包含音讯、影像与空间资料。
他说,安全研究人员之所以关注宇树,主要是因为这些机器人价格实惠且易於取得。宇树
机器人已被全球用户使用,而这些用户可能没有意识到安全风险。
例如,玛克里斯忧心英国诺丁罕郡警方已经开始测试宇树受漏洞影响的机型Go2,「我们
尝试联络他们,并打算在公开之前提前告知他们这个漏洞,但被忽略。如果攻击者入侵这
些警用机器狗,後果会如何?」
马约拉-维尔切斯建议,短期内,宇树机器人的用户可以透过只将机器人连接到隔离的Wi-
Fi网路,并关闭蓝牙连线。马约拉-维尔切斯及玛克里斯一致认为,从根本上来说,宇树
必须确保机器人的长期安全,并更积极回应用户及安全研究人员。
但玛克里斯也说,「永远不会有100%安全的系统」。(编辑:陈慧萍)1140926
心得/评论:商业人形机器人平台首次被公开的重大漏洞
想到哆啦A梦大雄与白金迷宫这一集,机器人之间还会互相传染
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.250.231.117 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Stock/M.1758854722.A.D54.html
1F:嘘 YesNoter : 这是故意的又不是不小心 09/26 10:46
2F:→ Feting : 环太平洋2 09/26 10:47
3F:推 HiuAnOP : 每个公司的产品都有漏洞,很正常啊 09/26 10:48
4F:推 OGC1000times: 还有几集可以逃啦 09/26 10:50
5F:推 jei01 : 电影即将成真 09/26 10:50
6F:→ potionx : 工程师故意留的漏洞吧 这样以後还能用 09/26 10:51
7F:推 lipstick : i'll be back 09/26 10:52
8F:推 ohlong : 连iphone都有漏洞了 机器人怎麽可能没有 09/26 10:53
9F:→ ohlong : 对岸宇树跟大疆一定都是第一个被鞭的 09/26 10:55
10F:→ ohlong : 没人做的赢 只好抹黑 嘻嘻 有没有很像 09/26 10:56
11F:推 pponywong : skynet 09/26 10:56
12F:推 kuasnetwork : 天网觉醒 09/26 10:57
13F:→ idernest : 这部我看过 威尔史密斯演的 09/26 10:57
14F:推 AndyMAX : 天网还没出现 史密斯先出现 09/26 10:57
15F:推 matt0622 : 这部我看过 09/26 10:58
16F:→ david3033 : 你以为玩命光头的远端控制殭屍车是演假的吗 09/26 10:59
17F:→ shinshu278 : 康纳:wake up 09/26 11:01
18F:推 buddhawu : 5月到7月沟通两个月後,宇树不理这单位... 09/26 11:02
19F:→ buddhawu : 两种可能,一种宇树心虚,一种是这单位就是来乱的 09/26 11:03
20F:推 George728 : 再用大疆啊 09/26 11:04
21F:嘘 u987 : 真有漏洞就入侵几台来看看,应该是小BUG所以不理. 09/26 11:04
22F:推 permanent27 : 故意不小心 09/26 11:04
23F:→ buddhawu : 对啊,应该直接入侵操控英国警方的宇树机器人 09/26 11:07
24F:→ buddhawu : 这样不用发期刊就懂了,别学台厂只会发新闻稿好吗 09/26 11:08
25F:推 k798976869 : 这不是bug啊 就工程师debug用的 懒得拔 09/26 11:11
26F:嘘 gowang19 : 宇树就市场上cp值最高的 09/26 11:11
27F:推 Becque : 国家规定能不做吗?! 09/26 11:14
28F:推 kungwei : 靠,上IEEE耶 09/26 11:14
29F:→ Leo4891 : 还蛮正常的啊 就是有後门可以被人为操控 09/26 11:17
30F:推 ReiFan : 痾 蓝牙本来就很.... 09/26 11:19
31F:推 rogerman74 : 和平主义者最高权限? 09/26 11:20
32F:推 cms6384 : 被浑沌派植入网路废码! 09/26 11:21
33F:嘘 jatj : 台北市政府的机器烂狗是不是这家公司的? 09/26 11:21
34F:推 ReiFan : 例如airtag 自行利用"别人的apple装置"把位置资讯 09/26 11:22
35F:→ rossihsu : 所以那个…F16… 09/26 11:22
36F:→ ReiFan : 转送回伺服器 也没问过那个人同意啊 09/26 11:22
37F:推 jeff85898 : 好啦上IEEE的是来乱的 乡民最专业 09/26 11:25
38F:→ laytomalll : 电影演的都是真的! 09/26 11:26
39F:推 antigidu : 哪部? 09/26 11:26
40F:→ Mytsb2421 : 输不起的就用「恐」或是国安来威胁 09/26 11:27
41F:推 forb9823018 : 会不会有采购明知有漏洞还是故意用? 09/26 11:28
42F:→ Happysam99 : 台北市政府有用过机器狗 怎麽没看过!? 09/26 11:29
43F:推 iamaq18c : XDDD 09/26 11:30
44F:→ jvor0719 : sky net 09/26 11:31
45F:推 forbake1 : 每次都用同一招,美国,呵呵 09/26 11:35
46F:推 rancilio : NV芯片不也是有後门? 09/26 11:40
47F:→ gowang19 : 说宇树烂的 台湾可以做一台出来看看 09/26 11:41
48F:推 spartaucs896: 天网 09/26 11:41
49F:推 lsgsl : 地平线零之曙光有演过,最後人类社会打掉重来-.- 09/26 11:43
50F:推 AndyMAX : 抄袭波士顿动力的烂货 09/26 11:46
51F:推 yillusionwei: 依东磨机磨机 09/26 11:47
52F:→ Karida : 看宇树的机器人进步得多快 09/26 11:52
54F:→ bbcer : BBCall爆炸才刚满1年,民用3C安全性问题不应忽视吧? 09/26 11:53
55F:推 Layfon : 这样会有机器流浪狗吗XD 09/26 11:55
56F:→ xcc54154 : 天网吗 09/26 11:57
57F:→ tmdl : 假假的 09/26 11:57
58F:推 godog : 宇树技术路线是电动 波士顿是液压 波士顿现在弃液 09/26 11:57
59F:→ godog : 压改电动 就抄宇树的人家都没在说话了 09/26 11:57
60F:推 huabandd : 漏洞(X),後门(O) 09/26 12:00
61F:→ huabandd : 宇树:我不道哇XDDD 09/26 12:00
62F:推 beergap : 台湾怎麽还没禁大疆跟印石 09/26 12:02
63F:→ angusyu : 看清楚,直接放预设帐号可登入,这叫不小心? 09/26 12:06
64F:推 veryGY : 找到理由可以禁卖了 不然美国机器人要被打垮 09/26 12:07
65F:推 Noberman : 这我看过 以後会不能出门 09/26 12:10
66F:推 motan : 小心,习近平正在偷看你做爱 09/26 12:11
67F:推 pipiayin : 机瘟 09/26 12:15
68F:推 stanley86300: 还有几集可以逃? 09/26 12:23
69F:→ chirstch : 审判日 09/26 12:29
70F:推 DIDIMIN : 杰洛病毒 4ni 09/26 12:35
71F:推 kimula01 : 是不小心的还是故意的? 09/26 12:38
72F:推 st9061204 : 天网 09/26 12:40
73F:推 s213092921 : 笑死美吹还在宇树抄袭波士顿 09/26 12:50
74F:推 skizard : 工程师偷懒留的 09/26 12:50
75F:推 space20021 : 黑镜: 09/26 12:51
76F:推 lakershank : 威尔史密斯: 09/26 12:51
77F:→ xam : 这该不会是跟上次ESP32的蓝芽新闻又来一次吧 09/26 12:53
78F:推 octavinus : 台北市70万狗: 09/26 13:06
79F:推 wu2183 : 美国人搞错了,这是feature ,不是bug 09/26 13:19
80F:推 CLisOM : 後门太显眼,表面不理实际会更新吧,下次藏更深 09/26 13:24
81F:→ puyo : 美国防空飞弹都可能有後门了… 09/26 13:27
82F:→ icecubes : 机器人杀人的时代要来了 09/26 13:49
83F:推 friberg : 黑镜机械狗 09/26 14:07
84F:推 syk1104 : 中吹继续吹~丢脸 09/26 14:14
85F:→ Lowpapa : 蓝芽不意外 09/26 16:03
86F:推 wsp86037 : 机器人都还没几台就开始有传染病了喔 呵呵 09/26 17:02
87F:推 Kobe5210 : 机械公敌 09/26 17:30
88F:推 bj45566 : 竟然有人说 IEEE 是来乱的wwww 09/26 19:09
89F:推 legendrl : 那个叫共匪专用後门,被发现了就变成漏洞 09/27 09:05