一台机器人割草机会定位,会移动,还带刀片。它如果能被人在地球另一端接管,就不是“App 有个漏洞”那么轻了。
Yarbo 现在改口了。
此前,安全研究员 Andreas Makris 证明,Yarbo 机器人割草机存在可被远程劫持的漏洞,还暴露了用户邮箱和 GPS 位置。The Verge 作者也提到,自己曾被这台机器撞倒。这里不能说已经发生真实攻击或真实伤人事件,但风险形态已经摆在桌上:联网设备一旦具备物理执行能力,安全问题就从屏幕里走到了草坪上。
最新补上的关键变量是:Yarbo 不只是说“修漏洞”,而是承诺移除默认远程后门。
Yarbo 现在承诺改什么
这次变化不算小。
| 项目 | 之前的问题 | 现在的承诺 |
|---|---|---|
| 远程访问 | 公司内部仍可保留远程诊断能力 | 默认不应存在远程后门 |
| 用户选择 | 更像允许用户退出 | 改成用户主动 opt-in 才安装 |
| 诊断方式 | 远程通道仍在,只是加强保护 | 用户触发后安装一次性临时 tunnel |
| 设备权限 | 存在可被利用的访问风险 | 每台设备设置唯一 root 密码 |
| 更新状态 | 修复不完整 | 首批约 1000 台已推送,后续分批覆盖 |
联合创始人 Kenneth Kohlmann 对 The Verge 的说法很直接:未来不应默认存在远程后门。只有用户决定 opt-in 时,远程支持才启用。
按他的描述,机器里可能保留一个设置脚本,平时不运行。用户需要深度支持时,再触发安装临时的一次性远程通道。
这和“我们会加强安全”不是一回事。
加强安全,还是厂商拿着钥匙。opt-in 至少承认一件事:钥匙应该先在用户手里。
但这还不是结案。Yarbo 正在锁定设备,外界未必容易自行检查默认远程通道是否真的移除。Kohlmann 称公司已联系 Makris,后续可能由安全研究员验证改动。
所以现在能确认的是承诺、方案和分批更新。还不能确认所有机器都已干净落地。
为什么这事比普通智能家居漏洞更重
普通智能灯泡被入侵,最多让你客厅闪两下。摄像头被入侵,严重在隐私。割草机器人不一样。
它会动。
它知道位置。
它可能靠近人、宠物、车、窗户、花园边界。
它还有刀片。
这就是物联网风险最容易被低估的地方:过去我们说“远程接管”,听起来像账号安全;到了机器人、门锁、车库门、家用储能设备这里,远程接管就是现实世界的控制权。
受影响最直接的是 Yarbo 用户,尤其是已经联网使用、依赖远程诊断和自动更新的用户。再往外一层,是所有购买智能硬件的人:你买回家的设备,背后到底有没有一条厂商默认可进入的通道?你是否知道?能不能关?关了之后功能会不会被打折?
这几个问题,比“补丁发没发”更要命。
默认后门,不是工程小失误
我更在意 Yarbo 最初的本能反应。
被问到是否应完全移除远程诊断能力时,Yarbo 一开始并不坚决。理由也很典型:如果没有远程诊断,公司很难快速处理安全、连接和服务问题,尤其是无法现场检查时。
这个理由不是胡说。
复杂机器人确实需要售后。割草机卡住、定位漂移、网络异常、电池故障,工程师远程看日志,效率高很多。用户也少等几天。
问题在“默认”。
厂商嘴里叫诊断通道,用户视角就是长期存在的控制路径。它可以被好人用来维修,也可能被坏人用来接管。智能硬件行业最危险的惯性,常常不是故意作恶,而是把自己的方便设计成用户的默认义务。
“天下熙熙,皆为利来。”放到物联网里,这个“利”不一定是广告收入,也包括售后效率、运维成本、故障责任和平台控制力。
厂商天然想多留权限。权限越多,排障越快,后台越好管,责任链条越短。
用户天然想少暴露一点。因为真出事时,站在草坪旁边的是用户,不是客服后台。
这就是分水岭。
远程诊断可以存在,但必须短、明、窄。
短,是临时的。明,是用户知道并主动同意。窄,是只给必要权限,用完即关。
做不到这三点,它就不是服务能力,而是产品所有权的暗门。
Yarbo 这次做对了,但账还没结
Yarbo 这次少见地做对了一件事:把默认权力往回收。
很多智能硬件公司遇到类似问题,会选择话术修补:加强加密、提升权限审核、完善内部流程。这些当然有用,但没有碰到根。
根是:用户买的是机器,不是租了一台随时可被厂商远程进入的终端。
当然,也不能把远程诊断一概打成恶意后门。现实产品需要售后,机器人更需要。完全取消远程支持,最后可能变成用户体验倒退。
所以 Yarbo 现在这条路是合理的:默认关,用户触发,临时安装,一次性通道。
它承认售后效率的价值,但不再把效率放在默认控制权之上。
接下来只看三件事。
- 更新是否覆盖所有受影响设备,而不是停在首批约 1000 台。
- 唯一 root 密码和访问收口是否真正落地。
- 外部研究员能否验证默认远程通道确实不存在。
智能硬件的信任,从来不是厂商一句“相信我”建立起来的。它靠可验证的边界建立。
这台割草机暴露的问题,也不只属于草坪。摄像头、门锁、扫地机器人、儿童监控器、车库门、家用储能设备,逻辑都一样:设备越能影响现实世界,默认控制权就越不能藏在服务条款和售后流程里。
早年的 PC 时代,用户担心的是病毒进电脑。移动互联网时代,用户担心的是 App 偷权限。到了家庭机器人和智能硬件时代,问题更老,也更硬:谁拿钥匙,谁能开门,谁知道门开过。
历史不完全一样,但权力结构很像。每一代新技术刚进家庭时,厂商都喜欢说“这是为了服务你”。有些是真的服务,有些是顺手把控制权也拿走了。
Yarbo 的改口,至少把这条线画了出来。
带刀片的联网设备,不该默认给厂商留后门。哪怕这个后门一开始是为维修准备的,也必须经过用户点头,必须可验证,必须用完关上。
门如果默认开着,后面再讲多少安全流程,都像是在门口贴标语。