此前,有国外安全研究人员与一些博主都声称 " 宇树机器狗 Go1 存在后门漏洞 ",拖了好久之后,宇树终于是回应称确认是安全漏洞,并且已经将漏洞涉及的第三方服务停用了。
根据国外安全研究人员披露,机器狗有一个编号为 CVE-2025-2894 的安全漏洞,它来自设备商预装的远程访问服务 CloudSail(云隧道)。它会在用户不知情的情况下自动联网,使得任何拥有 API 密钥的人都可以远程控制这只狗。同样的,一位博主也发文称,其在 2022 年的 GeekPwn 竞赛中,就揭示过宇树机器狗 GO1 存在一个远程劫持的安全漏洞,披露给宇树科技,但未收到回应。博主还说在 2023 年 7 月,又有参赛者利用 UWB 模块数据包的设计漏洞,成功对 Go1 进行了劫持控制,说明这个漏洞一直就没补。
而现在,对于这个长期以来存在的漏洞,宇树终于是调查完成了。这个预埋在机器狗里面的第三方云隧道漏洞,被黑客非法获取了管理密钥后,就相当于有了进你家门的钥匙。黑客能够在设备里随意更改数据和程序,不仅可以远程操作设备,还可以访问视频流,相当于把你家里 / 公司里的监控摄像头给破解了,更要命的是这摄像头还是长脚的,能到处走动,隐私权全无。宇树称服务是第三方提供的,所以宇树已经于 3 月 24 日紧急修改了密钥,在 3 月 29 日完全停用了该服务,后续将不再受影响。
虽然科技产品必然会存在技术漏洞,但是从 2022 年就存在的漏洞,拖到 2025 年才受到重视并解决,宇树在安全管理方面存在不小隐患。作为同时受中美两个大国关注的科技企业,安全问题没有抓牢,在当下的竞争中,很容易吃大亏。所以说,宇树啊,你可长点心吧。
