文章核心观点 - 宇树旗下多款机器人被曝存在严重的无线安全漏洞，攻击者可绕过认证获取最高权限控制，并可能形成蠕虫式连锁攻击 [1][2][3] - 该事件被IEEE Spectrum称为商用人形平台首次被公开利用的重大漏洞，引发行业广泛关注 [4] - 公司在舆论压力下发布声明，表示已着手解决问题并完成大部分修复工作，但第三方验证显示问题仍存 [24][25][28] 漏洞技术细节 - 漏洞存在于多款机器人的BLE Wi-Fi配置界面，使用硬编码在固件中的加密密钥，且该密钥此前已被公开 [10][11] - 攻击者可将字符串"unitree"加密后发送以绕过认证，并将恶意命令伪装成Wi-Fi字段，在机器人联网时以root权限执行shell指令 [11][12] - 攻击者可执行的操作包括重启设备、植入后门、阻断升级、数据窃取和远程操控等 [13] 漏洞的传播特性与影响范围 - 漏洞具备"wormable"蠕虫特性，一台设备被攻破后可自动扫描感染附近其他宇树设备，形成机器人僵尸网络 [15][16] - 受影响的机型包括Go2、B2四足机器人以及G1、H1等人形或类人形机型 [18][25] 事件披露与公司回应时间线 - 安全研究人员于今年5月发现漏洞并告知公司，但多次沟通后进展甚微，公司于7月停止沟通 [20][21] - 研究人员在20天前将漏洞利用工具链UniPwn公开在GitHub，包含截至2025年9月20日仍存在的多个安全漏洞 [22][23] - 公司在舆论压力下于昨日晚间在领英等平台发布声明，称已成立产品安全团队并完成大部分修复工作，更新将在不久后推送 [6][24][25][27] 行业专家与市场反应 - AI创业者评论指出，在早期开发阶段安全性应作为首要任务，否则将严重影响消费者信心和产品前景 [5] - 技术网友验证发现，截至9月30日0:00左右，BLE中硬编码的AES密钥问题仍然存在 [28] - Alias Robotics高管表示愿意与公司合作，确保更高的透明度、更强的保护和更安全的机器人系统 [30][31]