Yarbo 表示将删除其机器人割草机的故意后门
一句话看懂:Yarbo 在安全漏洞曝光后改弦更张,承诺从默认产品中移除用于远程诊断的远程访问后门,并转为用户可选安装的“opt-in”功能。这一转变表明,IoT 和 AI 硬件厂商在安全与便利之间的取舍正面临更严格的公众审视。
事件核心:发生了什么
机器人割草机厂商 Yarbo 联合创始人 Kenneth Kohlmann 向 The Verge 表示,公司计划从其机器人产品中彻底移除默认开启的远程后门。此前,安全研究员 Andreas Makris 发现并演示了如何轻易通过互联网劫持该割草机,并揭露了用户邮箱地址和 GPS 位置等隐私数据。Yarbo 最初只承诺修补漏洞,但坚持保留所谓的“远程诊断功能”供内部使用。在媒体和公众压力下,公司最终改变立场:后门将在出厂时完全移除,仅当用户明确选择“opt-in”并通过安全脚本启用时,才会安装一个临时的、一次性的远程隧道用于技术支持。
为什么重要
该事件暴露了智能硬件行业中一个普遍但危险的矛盾:厂商为了售后便利,在产品中预设远程访问权限,本质上是为内部人员留了一道可以利用的攻击面。Yarbo 最初的做法——声称“只有授权人员能使用”——在安全社区看来并不成立,因为任何后门都可能被第三方劫持。对于 AI 和 IoT 行业来说,Yarbo 的彻底让步代表了一个重要信号:消费者对“智能设备”的信任门槛正在提高,厂商不能再以“帮助用户”为由默认植入可被远程控制的入口。这也会影响其他机器人公司、智能家居厂商在安全设计上的决策。
对用户/开发者/创作者的影响
对普通用户:如果你正在使用或考虑购买智能割草机、扫地机器人等 AI 驱动的硬件,这次事件提醒你关注设备是否有“后门”默认存在。Yarbo 的新政策意味着未来你拥有选择权,但在其他品牌上可能依然存在默认开启的远程访问功能。建议优先选择提供安全审计报告或允许禁用远程连接的产品。
对开发者与安全研究人员:Yarbo 已开始为每台设备设置唯一、且不对用户公开的 root 密码,并推动固件更新覆盖前 1000 台设备。研究人员 Makris 有可能被邀请验证修复效果。这一案例可作为物联网安全研究的经典教学材料。
对内容创作者与科技媒体:事件中的沟通反转——从拒绝移除到同意 opt-in——展示了消费者和媒体监督在安全决策中的实际影响力。这是一个值得追踪的“企业回应”范例。
值得关注的后续
1. 技术验证能否落地:Kohlmann 承认新版机器的内部存储中仍可能残留安装脚本,只是默认不激活。未来需要独立安全研究员确认后门是否真正不可利用。
2. 其他厂商的反应:机器人割草机市场并非只有 Yarbo。这次事件可能促使竞争对手如 Husqvarna、Segway 等公布自己的远程诊断策略,甚至提前承诺去除类似后门。
3. 监管与法规压力:随着智能设备后门问题被更多公开,美国或欧盟的物联网安全法案(如 UK’s PSTI Act 或 EU Cyber Resilience Act)可能加速对远程访问功能的限制条款落地。
来源:The Verge
