宇树机器人“UniPwn”安全漏洞曝光：潜在僵尸网络风险

根据IEEE Spectrum最新报告，宇树科技（Unitree）的四足机器人Go2、B2以及人形机器人G1、H1存在高危漏洞“UniPwn”。这一漏洞源于蓝牙低功耗（BLE）Wi-Fi配置接口的多个安全缺陷，包括硬编码加密密钥和认证绕过，攻击者可无线方式获取机器人root权限，完全控制设备。

• 传播性：具有蠕虫特性，受感染机器人能自动扫描附近其他宇树机器人并攻击，形成大规模僵尸网络（botnet）。这可能导致机器人被用于网络攻击、数据窃取或物理破坏。
• 影响范围：适用于2025年9月20日前固件版本，已分配CVE-2025-60250和CVE-2025-60251编号。
• 发现过程：安全研究员Andreas Makris和Kevin Finisterre于5月开始披露，但宇树初期未及时响应，直至9月公开。

宇树科技在社交平台承认收到反馈，已完成大部分修复，并计划推送系统更新。公司强调机器人默认离线模式，仅特定功能需手动联网，后续将强化权限管理。 然而，研究者批评宇树忽略多次警告，并指出机器人可能秘密向中国服务器传输音频、视频和传感器数据，增加隐私风险。

• 用户风险：家庭、实验室或执法（如英国诺丁汉郡警方测试Go2）使用中，可能被远程操控成监视工具或攻击载体。
• 行业警示：这是首个公开的商用人形机器人重大漏洞，凸显机器人安全滞后问题。专家呼吁加强固件更新和隔离网络。

• 禁用机器人蓝牙功能。
• 使用隔离Wi-Fi网络，避免共享连接。
• 尽快更新固件，关注GitHub上的UniPwn仓库以获取修复细节。