这不是电影情节。一台重达90公斤、装有高速旋转刀片的机器人割草机,在主人毫不知情的情况下,被远在6000英里之外的陌生人完全接管,径直朝着一个躺在地上的人碾压过去。
这件事发生在2026年5月,受害者是美国科技媒体《The Verge》的记者肖恩·霍利斯特,而那台割草机,来自中国智能家居机器人品牌Yarbo。
"我躺在泥土里,它正朝我袭来,然后猛地一窜,爬上了我的胸口。"霍利斯特事后这样描述那一刻。幸运的是,德国白帽安全研究员安德烈亚斯·马克里斯在最后一秒松开了远程控制,霍利斯特毫发无损。但这场有预谋的"压人实验",将一个长期被忽视的物联网安全黑洞暴露在了公众面前。
一把万能钥匙,打开11000台机器
马克里斯发现的漏洞,简单到令人难以置信。
Yarbo旗下所有联网机器人割草机,共用同一个root访问密码。这意味着,只要破解了一台,理论上就能控制全球所有在网的Yarbo设备。马克里斯随即制作了一张全球地图,上面标注着超过11000台Yarbo割草机的实时GPS位置,覆盖北美、欧洲和亚洲多个市场。
更糟糕的是,即便用户手动修改了root密码,每次设备固件更新后,密码都会被系统自动重置回默认值。也就是说,用户根本没有办法真正堵上这个漏洞。马克里斯还发现,这个允许远程访问的后门接口,似乎是Yarbo在出厂时有意内置的,用户无法主动禁用,一旦被删除还会被系统自动恢复。
"它会自动部署到每一台机器人,所有者无法禁用它,如果被移除,会被主动恢复。"马克里斯在接受采访时表示,"我可以随意操控所有机器人,这完全不安全。"
这场漏洞暴露的风险,远不止是割草机失控那么简单。马克里斯演示了他可以通过这个后门获取设备主人的电子邮件地址、家庭Wi-Fi密码以及住宅精确GPS坐标。换句话说,这台院子里的割草机,随时可能成为一个监控探头或入室工具的向导。
漏洞公开之前,公司选择沉默
马克里斯并非一上来就把这件事捅到媒体。他先尝试了负责任披露的标准路径,主动联系Yarbo公司通报漏洞,却长时间没有收到任何实质性回应。Yarbo最初对外的声明,甚至还在强调"您的Yarbo账户仍然完全安全,并完全由您掌控"。
在这种情况下,马克里斯决定公开调查结果,并配合《The Verge》进行了那次真实的"压人测试",以最直观的方式证明:这不是一个抽象的技术风险,而是可以在现实中造成人身伤害的安全漏洞。
舆论压力奏效了。事件曝光后,Yarbo的高级公关团队迅速表态,承认存在至少一个已确认的安全问题并已找到修复方案,同时承诺将推出一系列后续改进措施。
但批评者指出,这种"等媒体曝光才认真对待"的处理方式,本身就是问题所在。物联网设备的安全责任,不应该靠记者用身体去测试才能被触发。
这起事件在更大背景下值得被严肃审视。随着智能家居设备、庭院机器人乃至各类"物理AI"产品快速普及,越来越多搭载摄像头、麦克风、传感器和机械执行装置的设备正在进入普通家庭。它们一旦被黑客控制,造成的后果可能不只是数据泄露,而是真实的物理威胁。
马克里斯那张标注着全球11000台割草机位置的地图,或许只是一个开始。
热门跟贴