“网络的安全对于机器人的安全至关重要”:工业机器人成为恶意软件的目标,这可能会让它们遭受黑客攻击——这就是革命的开始吗?
一句话看懂:安全研究人员在优傲机器人(Universal Robots)的协作机器人操作系统PolyScope 5中发现一个高危命令注入漏洞(CVE-2026-8153,CVSS 9.8)。攻击者可在无需认证的情况下远程执行命令,完全控制机器人控制器,可能危及整个生产线和人员安全。这不是AI机器人革命的开端,而是工业互联网安全风险的一次现实警示。
事件核心:发生了什么
据TechRadar报道,Claroty Team82的研究员Vera Mens在优傲机器人(Universal Robots)的PolyScope 5操作系统中发现了一个严重漏洞(CVE-2026-8153),CVSS评分为9.8。该漏洞影响PolyScope 5.25.1之前的所有版本。由于Dashboard Server在将用户输入传递给操作系统时未正确清理特殊命令元素,攻击者只要能够访问该网络端口,就能以完全系统权限在机器人底层操作系统上执行任意命令。优傲机器人已在PolyScope 5.25.1中发布补丁,但直到用户实际安装才能生效。目前CISA尚未收到针对此漏洞的公开利用报告。
为什么重要
这一事件凸显了工业机器人网络安全的一个根本矛盾:协作机器人(cobot)的设计初衷是与人类近距离、灵活协作,因此它们通常位于局域网内,甚至直接连接工厂车间网络。但一旦车间网络分段不足,一台被攻陷的工作站就能横向移动,利用此类漏洞直接劫持旁边的机器人。被控制的机器人行为将完全不可预测,且可能在物理上伤害附近人员。这不是“机器人革命”的开端,而是历史上无数次工业控制系统漏洞故事的延续。优傲机器人明确警告:“网络的安全对于机器人的安全至关重要”。随着AI驱动的自动化生产加速,更多机器人接入大数据、边缘计算和云端,攻击面正在扩大,而安全更新部署却依然滞后。
对用户/开发者/创作者的影响
对工厂运维与集成商而言:必须立即检查使用的优傲机器人PolyScope版本,升级至5.25.1或更新版本。同时,应确保Dashboard Server默认不暴露于互联网,并通过企业防火墙阻止直接入站互联网访问。LAN内的机器人也可能遭受内部攻击,因此严格的网络分段和零信任架构是必要的。对开发者和安全团队而言:该漏洞(CVE-2026-8153)再次说明,工业操作系统的输入验证缺陷即使只有一处,也可能导致整个控制器被攻破。建议将类似Dashboard Server的接口纳入定期安全审计范围。对内容创作者和行业观察者而言:报道“机器人革命”时应保持克制——目前安全事件的风险远大于AI自主觉醒的想象力。真实威胁来自于管理不善和补丁怠惰。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
第一,补丁安装率:目前公开信息显示,优傲机器人已提供修复,但有多少客户实际部署尚不明确。工业环境常因停机成本而推迟更新,这可能形成长期的漏洞窗口。第二,是否出现PoC或实际攻击:虽然目前没有公开利用案例,但CVSS 9.8的漏洞通常会在公开后不久被武器化。第三,行业标准是否会变化:本次事件可能推动工业机器人网络安全指南的更新,例如强制要求Dashboard Server端口默认关闭、增加认证机制,以及推动更严格的网络分段规范。
来源:TechRadar
