3年前發(fā)現(xiàn)的安全漏洞現(xiàn)在才補，宇樹你這心有點太大了

拖把 / 2025-05-08 13:0654728

此前，有國外安全研究人員與一些博主都聲稱“宇樹機器狗Go1存在后門漏洞”，拖了好久之后，宇樹終于是回應(yīng)稱確認(rèn)是安全漏洞，并且已經(jīng)將漏洞涉及的第三方服務(wù)停用了。

根據(jù)國外安全研究人員披露，機器狗有一個編號為CVE-2025-2894的安全漏洞，它來自設(shè)備商預(yù)裝的遠(yuǎn)程訪問服務(wù)CloudSail（云隧道）。它會在用戶不知情的情況下自動聯(lián)網(wǎng)，使得任何擁有API密鑰的人都可以遠(yuǎn)程控制這只狗。同樣的，一位博主也發(fā)文稱，其在2022年的GeekPwn競賽中，就揭示過宇樹機器狗GO1存在一個遠(yuǎn)程劫持的安全漏洞，披露給宇樹科技，但未收到回應(yīng)。博主還說在2023年7月，又有參賽者利用UWB模塊數(shù)據(jù)包的設(shè)計漏洞，成功對Go1進(jìn)行了劫持控制，說明這個漏洞一直就沒補。

而現(xiàn)在，對于這個長期以來存在的漏洞，宇樹終于是調(diào)查完成了。這個預(yù)埋在機器狗里面的第三方云隧道漏洞，被黑客非法獲取了管理密鑰后，就相當(dāng)于有了進(jìn)你家門的鑰匙。黑客能夠在設(shè)備里隨意更改數(shù)據(jù)和程序，不僅可以遠(yuǎn)程操作設(shè)備，還可以訪問視頻流，相當(dāng)于把你家里/公司里的監(jiān)控攝像頭給破解了，更要命的是這攝像頭還是長腳的，能到處走動，隱私權(quán)全無。宇樹稱服務(wù)是第三方提供的，所以宇樹已經(jīng)于3月24日緊急修改了密鑰，在3月29日完全停用了該服務(wù)，后續(xù)將不再受影響。