安全漏洞严重：黑客远程操控中国产智能割草机器人并获取用户隐私

安全研究员Andreas Makris披露，Yarbo品牌的智能割草机器人存在严重安全缺陷，黑客可从全球任意地点远程操控数千台设备，获取用户Wi-Fi密码、GPS坐标及实时视频监控画面。

Makris在德国远程操作位于美国纽约州的一台Yarbo机器人，通过视频流实时操控其移动方向，展示其可窥探用户家庭活动、掌握出入时间。他进一步演示，可提取用户邮箱、Wi-Fi密码及精确GPS位置，并通过Google地图验证该位置与机器人拍摄画面一致。

该机器人搭载完整Linux系统，拥有默认且不可更改的root密码，且厂商通过固件更新强制恢复该密码，导致用户无法自行加强安全。远程后门功能自动部署于所有设备，无法由用户关闭，且在被删除后会自动恢复。

Makris指出，Yarbo公司缺乏安全响应机制，无漏洞披露渠道或赏金计划。公司最初将远程访问功能称为“安全诊断工具”，称仅限工程师使用，但实际设计存在重大风险。Makris因此决定直接公开漏洞，包括官方CVE披露，未给予公司修复时间，旨在警示公众并推动行业改进。

Yarbo公司称其“总部”位于纽约，但谷歌地图显示实际地址为单层建筑，与两家汽车美容店、保险公司及手工艺品店共享空间。Yarbo实为位于中国深圳的汉阳科技（Hanyang Tech）品牌。

此前，该公司曾多次要求媒体签署“合作协议”，包含禁止负面评论及强制发布正面评测等条款，均被拒绝。公司目前回应称将引入客户审批机制、加强日志审计及访问记录透明化，但否认存在未经授权访问案例，并坚称诊断环境不公开、需内部授权访问。

在实际测试中，Makris远程操控位于加州的Yarbo机器人，使其在工作状态下转向并接近记者，虽刀片未启动，但其履带压迫人体，凸显设备控制风险。

专家Matt Petach指出，此类设备应被视为“潜在敌对代理”，其安全缺失相当于“无防护的电锯”，可能对个人隐私及公共安全构成威胁。他强调，当前物联网设备安全标准严重滞后，亟需行业规范与监管介入。

Makris强调，Yarbo只是众多存在安全漏洞的智能设备之一，但其案例凸显了当前物联网生态的系统性风险，呼吁公众提高警惕并推动厂商承担安全责任。