(AI 资源之家讯)5 月 8 日消息,安全研究员 Andreas Makris 成功从 6000 英里外远程劫持了一台重达 200 磅的 Yarbo 智能割草机器人。黑客不仅获取了摄像头访问权限,还实现了对机器人运动的远程控制,甚至让机器人爬上了记者的身体。这一事件揭示了智能家居设备在 MQTT 协议和远程访问安全方面的严重漏洞,网络安全威胁已直接转化为物理安全风险。
## 劫持过程与漏洞分析
Makris 的研究揭示了 Yarbo 割草机器人在安全架构上的多个严重缺陷。首先,机器人使用的 MQTT 协议通信缺乏端到端加密,攻击者可以通过中间人攻击截获控制指令。其次,远程访问功能未实施有效的身份验证,攻击者只需获取设备 ID 即可接管控制权。更危险的是,机器人的摄像头视频流同样缺乏加密保护,任何人都可以实时观看。Makris 从 6000 英里外完成了整个劫持过程,无需物理接触设备。
## 网络安全到物理安全的跨界
这起事件最令人不安的是网络安全威胁向物理安全的直接转化。当黑客能远程控制一台 200 磅的重型设备时,后果可能远超数据泄露。割草机可以在无人操控下高速移动,锋利的刀片构成严重的人身伤害风险。Makris 在演示中让机器人爬上了记者的身体,虽然是在受控环境下进行,但清楚地展示了被劫持设备的物理危险性。智能家居和智能农业设备的安全问题亟需行业正视。
## 行业反思与安全建议
Yarbo 事件暴露了整个智能设备行业在安全设计上的普遍短板。MQTT 协议虽然是物联网通信的事实标准,但其安全机制过于简陋。专家建议设备厂商采用 TLS 加密通信、实施双向证书认证、增加异常行为检测机制,并为远程控制功能设置地理围栏等物理限制。随着智能机器人从家庭走向工业和农业场景,安全标准必须同步升级。
