机器人网络安全漏洞事件 - 白帽黑客Bobdahacker发现麦当劳点餐系统存在免费餐漏洞 攻击者可在线订购免费食物、获取汉堡营销材料管理权限及公司电子邮件账户 进行网络钓鱼攻击[1] - 麦当劳用于筛选求职者的人工智能聊天机器人Olivia存在安全漏洞 仅需输入密码123456即可获得管理员权限 该机器人由Paradoxai开发[1] - 餐厅机器人服务员存在类似漏洞 特别是国外常见的Pudu机器人 黑客可利用控制软件控制食品配送和服务机器人[1][3] Pudu机器人安全漏洞细节 - API存在安全风险 因管理员未锁定密钥访问权限 攻击者可通过初始身份验证测试后获得有效授权令牌控制机器人[3] - 漏洞允许查看任何机器人的呼叫历史记录 在单个不受限制请求中最多获取20,000个商店ID[5] - 攻击者可启动、取消或重新安排全球任何地方机器人的任务[6] - 可修改机器人设置 包括昵称、配置和行为模式[7] - 能获取Pudu机器人所在门店部署 按商店ID列出所有机器人[8] 潜在安全威胁场景 - 餐厅场景中黑客可重定向食物配送订单 取消高峰时段送货请求 或编程机器人无限循环播放音乐[3] - 医院面临治疗延误或误送风险 因服务机器人用于送药 酒店和学校可能遭遇服务中断和安全隐患[8] - 攻击者可通过DDoS攻击关闭整个餐厅机器人集群 或利用FlashBot破坏办公系统及窃取知识产权[3] 企业响应与漏洞修复 - 白帽黑客于8月12日联系Pudu 但技术、支持和销售团队未理会警告 直至8月28日联系客户Skylark Holdings和Zensho后获回应[8] - Pudu在事态升级48小时内发现报告 用AI撰写模板确认书 两天后确认漏洞已修补[9][10] 行业安全现状与挑战 - Pudu Robotics为全球最大商业服务机器人制造商 产品覆盖餐厅、酒店、医院、办公室和零售店 包括BellaBot等送货机器人和清洁消毒机器人[11] - 机器人终端与服务器间每日海量数据交互 后门程序和恶意流量威胁与日俱增[11] - 大部分机器人企业缺乏基本安全措施：无专门安全联系人、无身份验证API控制、未及时处理漏洞报告 仅在关键客户受威胁后行动[12] - 商用服务机器人在敏感环境普及 制造商需从设计到部署阶段将安全置于首位[12]