《華盛頓郵報》與《IEEE Spectrum》報道指出,中共持續擴展其在全球機械人技術領域的影響力,但被視為中共機械人代表企業的宇樹科技(Unitree Robotics),近日卻被揭露存在重大資安漏洞。安全專家警告,這不僅是技術風險,更可能成為中共透過機械人系統進行全球數據滲透與情報搜集的新管道。
據報道,宇樹科技最新的G1人形機械人,每隔5分鐘就會自動向位於中國的伺服器回傳音訊、視訊及感測器資料,且未經使用者同意。此舉引發全球對其可能配合中共信息收集體系的高度懷疑。
根據《IEEE Spectrum》披露,安全研究人員Andreas Makris與Kevin Finisterre於9月20日揭露,宇樹多款機械人使用的低功耗藍牙(BLE)Wi-Fi配置界面存在嚴重漏洞,攻擊者可取得root級控制權限。該漏洞被命名為「UniPwn」,影響範圍包括Go2、B2四足機械人與G1、H1人形機械人,並具備可自動擴散的「蠕蟲化」特性。一旦一台機械人被感染,便能掃描附近裝置並自動入侵,形成機械人殭屍網絡(botnet)。這也是首度公開的商業人形機械人重大漏洞。
分析指出,宇樹科技號稱全球機械人銷售市佔達60%至70%,憑藉低價與易取得優勢,已滲入多國實驗室、大學及警察單位。若漏洞遭利用,意味着中共可能藉此掌握全球公共安全與科研網絡的即時資訊。
專家點名,中國宇樹科技的人形機械人有重大新漏洞。(擷取自社交媒體)
研究人員進一步發現,宇樹產品使用硬編碼加密金鑰「unitree」,任何黑客皆可藉此模擬驗證,通過藍牙注入惡意程式碼,在機械人連線Wi-Fi時即以root權限執行指令,完全控制系統。
Makris並揭露,早前在Go1機械人中已發現後門漏洞,質疑這是中共刻意預留的數據通道。兩位研究員今年5月便通知宇樹科技,但對方直到9月29日才承認問題,聲稱「已完成大部分修復並推送更新」。
外界批評,這起事件凸顯中共以「科技輸出」為名的數據回傳與監控機制,已成為全球安全隱患。分析人士警告,若各國政府繼續開放中共製造的智能機械人與感測設備,未來或將面對國安體系全面被滲透的風險。
