機器人的網(wǎng)絡安全問題可能是隨著國產(chǎn)機器人企業(yè)加快全球化部署，必然面臨的挑戰(zhàn)。

國外白帽黑客Bobdahacker在8月初曝光了麥當勞點餐系統(tǒng)中的免費餐漏洞，發(fā)現(xiàn)任何人都可以利用這些漏洞在線訂購免費食物、獲得漢堡營銷材料的管理權限，攻擊者還可以獲取公司電子郵件賬戶，從而進行一些網(wǎng)絡釣魚攻擊。她同時發(fā)現(xiàn)麥當勞用來篩選求職者的人工智能聊天機器人Olivia極易被黑客入侵，要獲得這個由Paradox.ai開發(fā)的機器人的管理員權限，僅需要輸入密碼——結果發(fā)現(xiàn)密碼還是123456。

該黑客順藤摸瓜，發(fā)現(xiàn)這些漏洞也出現(xiàn)在餐廳機器人服務員上，例如國外餐廳非常常見的Pudu機器人就存在類似漏洞。

▍安全漏洞問題在哪

Bobdahacker發(fā)現(xiàn)，由于管理員沒有鎖定密鑰訪問權限，API存在安全風險，她可以利用機器人背后的控制軟件，控制該公司的食品配送和服務機器人。憑借這種級別的訪問權限，攻擊者可以重定向食物配送訂單，或通過DDoS食物攻擊關閉整個餐廳機器人集群，犯罪分子還可以利用FlashBot破壞辦公系統(tǒng)或竊取知識產(chǎn)權。簡單來說，在餐廳場景中，黑客可以將攜帶另一位食客餐點的BellaBot重定向到自己的餐桌，取消高峰時段的所有送貨請求，或者對機器人進行編程，使其在播放音樂的同時無限循環(huán)。

BobDaHacker的調(diào)查顯示，通過初始身份驗證測試后，Pudu機器人管理平臺的幾乎每個API端點都缺乏足夠的身份驗證檢查。她表示，這意味著攻擊者僅需獲得有效的授權令牌就可以做到控制機器人，而該令牌可以通過跨站腳本入侵獲取，或者有人可以在購買機器人之前先注冊一個賬戶進行嘗試就能實現(xiàn)，一旦成功可以重置機器人的訂單、讓機器人移至新位置，甚至重命名機器人，并讓店鋪運營恢復變得更加困難。

簡單來說，借助這個漏洞，攻擊者可以：

查看任何機器人的呼叫歷史記錄，并在單個不受限制的請求中拿到最多20,000個商店的ID。

讓世界任何地方的任何機器人啟動、取消或重新安排任務。

修改機器人設置，包括昵稱、配置和行為模式。

獲取Pudu機器人所在的門店部署，并按商店ID列出其所有的機器人。

Bobdahacker認為，機器人安全漏洞導致的安全隱患遠不止餐廳混亂這么簡單，由于服務機器人開始進入醫(yī)院等場所，依賴Pudu機器人送藥的醫(yī)院面臨著治療延誤或誤送的風險，使用這些設備進行客房服務或自助餐廳物流的酒店和學校也可能會遇到服務中斷和安全隱患。

8月12日，她就此事聯(lián)系了Pudu，但該公司的技術、支持和銷售團隊均未理會她的警告。到8月21日，她不得不給50多名公司員工發(fā)了郵件，試圖引起他們的注意，但并未獲得有效回應。直到她8月28日開始聯(lián)系Pudu的客戶，擁有7,000多家餐廳的日本餐飲集團Skylark Holdings和食品連鎖店Zensho，并警告他們的機器人車隊面臨被接管風險后，Bobdahacker才接到了回電，這些企業(yè)開始認真對待了這些警告。

在事態(tài)升級后的48小時內(nèi)，Pudu的安全團隊發(fā)現(xiàn)了這些報告，并用AI撰寫了一份模板確認書，感謝BobDaHacker負責任的告知。

兩天后，Pudu確認漏洞已得到修補。

▍結語與未來

目前，Pudu Robotics已經(jīng)是全球最大的商業(yè)服務機器人制造商，能為餐廳、酒店、醫(yī)院、辦公室和零售店提供一系列產(chǎn)品，包括BellaBot、KettyBot和PuduBot送貨機器人；CC1和PUDU SH1清潔機器人；帶紫外線和化學噴霧器的消毒機器人；配有機械臂、可乘電梯的樓宇運送機器人等。

Pudu Robotics這個全球最大服務機器人廠商的API漏洞，以及此前宇樹G1第三方云隧道服務的管理密鑰安全漏洞事件，都只是機器人安全問題的一個縮影，凸顯了全球機器人公司在安全和響應方面存在的難題，由于機器人終端和服務器之間每天都有海量數(shù)據(jù)交互，后門程序、惡意流量的潛在威脅可能將會與日俱增。

大部分機器人企業(yè)目前依然缺乏最基本的安全措施：沒有專門的安全聯(lián)系人，沒有經(jīng)過身份驗證的API控制，也沒有及時處理漏洞報告，只有在關鍵客戶收到警告，并面臨聲譽和財務損失威脅后，才會采取行動。在自動化在關鍵操作中發(fā)揮越來越大作用的時代，安全漏洞凸顯了機器人公司需要具備與技術創(chuàng)新相匹配的強大安全能力，尤其隨著商用服務機器人在敏感環(huán)境中的普及，制造商必須從設計到部署階段始終將安全放在首位。