雅博智能割草机存漏洞 黑客可远程操控全球设备

一名德国安全研究员的意外发现，让全球智能家居行业为之震动。他仅凭普通技术手段，便获得了对全球所有雅博（Yarbo）智能割草机器人的完整控制权——这些机器人重逾200磅，配备摄像头、Wi-Fi及4G联网模块，刀片足以对人体造成严重伤害，潜在危害不容小觑。

这名研究员名叫安德烈亚斯·马克里斯（Andreas Makris），长期从事技术安全漏洞挖掘工作。他表示，即便以自身经验而言，能以如此低的门槛接管整个雅博机器人舰队，依然令他深感震惊。雅博割草机器人定价约5000美元，是典型的高端智能家居产品。

同一根密码管全球，漏洞设计令人咋舌

马克里斯在其发布于代码托管平台GitHub的安全研究报告中指出，每一台雅博机器人均运行完整的Linux操作系统，且全系产品的根（root）访问密码完全相同。更令人担忧的是，用户既无法选择退出这一机制，也无法修改密码——因为每次系统更新后，密码都会自动重置回统一的出厂代码。

这意味着，攻破一台雅博设备，便等同于掌控了全球范围内所有联网的同款机器人。借助这一漏洞，黑客可将这些设备编入僵尸网络，利用车主自家的网络从事非法活动；可获取车主的GPS地理坐标、电子邮件内容，乃至家庭Wi-Fi密码。用科技媒体《The Verge》的话说，这仅仅是"冰山一角"。

在数据流向层面，马克里斯还发现了另一个令人不安的细节：雅博的遥测数据被路由至字节跳动（ByteDance）——即抖音国际版TikTok的母公司。《The Verge》进一步调查发现，尽管雅博官方注册地址显示为美国纽约，其实际运营主体似乎位于中国深圳。这一发现在美国市场引发了额外的合规和数据安全担忧。

厂商轻描淡写，研究员被迫公开披露

按照网络安全行业的通行惯例，研究员在发现重大漏洞后应第一时间联系厂商，给予其修复窗口期。马克里斯也依规行事，第一时间向雅博官方通报了这一漏洞。然而雅博的回应出人意料——公司非但没有致谢，反而将这一设计定性为"故意为之"，称其目的是"为机械或软件问题提供及时准确的解决方案"。

对此轻描淡写的回应，马克里斯采取了更为强硬的应对措施：他向科技媒体《The Verge》的记者披露了全部细节，后者随即与他合作，独立核实并公开报道了这一漏洞。《The Verge》记者通过马克里斯追踪到的车主地址，实地登门拜访了部分用户，当面确认了漏洞的真实性。

其中一位受访车主令人印象深刻——他曾是微软（Microsoft）的网络架构师，退休后自认已做足安全防护：专门为这台割草机器人配置了独立的访客网络并设置了自定义过滤规则。然而，当记者出现在他家门口、告知他是被那台割草机"引路"而来时，这位老工程师也不禁愕然。研究员还发现，距离某关键电力设施不远处存在三台雅博设备，其中一台疑似属于一名核安全分析师。

固件漏洞至今未修复，智能家居安全敲响警钟

事件曝光后，雅博虽对部分应用层面的漏洞进行了修复，但Zui为核心的设备固件层问题至今尚未得到修补。这意味着，根本性的安全隐患依然悬而未决。

此次事件是智能家居安全领域的一次典型警示。随着越来越多的联网设备进入家庭场景，每一个接入家庭网络的终端，都可能成为攻击者的突破口。部分安全意识较强的用户虽尝试通过隔离网络、访问控制等手段加以防范，但面对固件层面的先天性缺陷，这些措施往往形同虚设。国内智能硬件厂商在快速扩张海外市场的同时，理应将网络安全能力建设提升至与产品功能同等重要的战略地位——毕竟，一旦安全事故爆发，所付出的声誉代价远非一次固件升级所能弥补。