据ABC News报道，今年早些时候，黑客入侵了美国多个城市的科沃斯Deebot X2 Omni扫地机器人，利用它们来追逐宠物并对主人进行种族歧视辱骂。

外媒有消息称，科沃斯品牌的扫地机器人和割草机器人存在安全隐患，黑客可能利用这些漏洞远程控制设备，通过内置摄像头和麦克风进行监视。

随着国产品牌出海，产品如何杜绝类似安全和隐私问题，正成为一个值得注意的新方向。

▍安全问题的漏洞？

安全研究人员丹尼斯·吉斯(Dennis Giese)和布雷琳(Braelynn)此前在Def Con黑客大会上展示他们对科沃斯机器人的研究。分析了包括Ecovacs Deebot 900，Deebot N8/T8，Deebot N9/T9，Deebot N10/T10，Deebot X1，Deebot T20，Deebot X2，Goat G1，Spybot Airbot Z1，Airbot AVA以及Airbot ANDY系列等科沃斯旗下多款热销产品，以确保其漏洞的普遍性，他们测试多款科沃斯产品后，他们发现了多个安全问题，称这些漏洞可能被滥用。

Def Con黑客大会，是全球最大、最具影响力的计算机安全大会之一，有着“黑客奥斯卡”之称。参与者不仅有全球顶尖的安全领域研究人员，还有安全局、调查局等政府机构的官员。

研究人员指出，主要安全隐患在于存在一个漏洞，使得任何人只要使用手机，就能通过蓝牙连接并控制科沃斯机器人，控制距离可达450英尺（约137米）。一旦黑客控制了设备，他们就可以远程监视，因为机器人本身时刻通过Wi-Fi连接到互联网。

多名Deebot X2用户表示，他们的设备在5月份被黑客入侵。其中，明尼苏达州律师Daniel Swenson回忆道，他在与家人看电视时，突然听到机器人发出类似“破损的无线电信号”的噪音。他重置密码并重启机器人后，声音再次出现，但这次明显是人类在喊骂的声音。

ABC News还报道了其他类似的事件，包括一名黑客在埃尔帕索和洛杉矶利用Deebot机器人来骚扰宠物狗，对它大喊大叫并追逐。

吉斯表示，割草机器人因为始终开启蓝牙，而扫地机器人在启动时和每天自动重启时会启用蓝牙20分钟，这使得它们相对更难被黑客攻击。但由于大多数科沃斯机器人至少配备了一个摄像头和一个麦克风，一旦黑客控制了这些设备，它们就可能被变成间谍工具。

研究人员指出，这些机器人没有硬件指示灯或其他任何警告附近人员摄像头和麦克风已开启的指示器。在某些型号上，理论上每五分钟会播放一个音频文件，提示摄像头已开启，但黑客可以轻易删除该文件以保持隐蔽。

除了黑客攻击的风险外，吉斯和布雷琳表示，他们还在科沃斯设备中发现了一些隐私性的其他问题。即使删除了用户账户，存储在机器人上的数据仍然保留在科沃斯的云服务器上，同时认证令牌也保留在云端，允许某人在删除账户后访问机器人吸尘器，这可能允许他们监视购买该机器人的二手买家。

此外，研究人员去年演示了一种漏洞，可以绕过Deebot X2的PIN码输入来访问该机器人。割草机器人有一个防盗机制，如果有人拿起机器人，就会强制输入PIN码，但PIN码以纯文本形式存储在割草机内，并未在服务器端验证——这意味着任何拥有Chrome web inspector等工具基本知识的人都可以绕过它。研究人员表示，一旦有科沃斯机器人被入侵，在其范围内的其他科沃斯机器人设备也可能被黑客攻击。

▍回应与解决

该问题被曝光后，8月13日，科沃斯方面作出回应，称实现上述攻击需要很多特殊的前提条件，且这些攻击方式仅对单台设备有效，不具备可复制性。

科沃斯方面表示，正积极优化产品的安全保护措施。“我们使用的手段包括各种证书验证、安全策略、网络劫持的应对措施，以及远程代码执行漏洞，Windows、安卓的漏洞等等，都会实时监控做更新。这样做的目的主要有二，一是不法分子入侵的这个渠道变得越来越少。二是把算法、更新机制做得更无序，减少不法分子猜测的成功概率，增加破解设备的难度。”相关人士解释道。

科沃斯方面还表示，两位黑客提及的这种也属于技术类的研究交互，与消费者日常的使用环境是不同的场景。“这种黑客通过安全会议爆出来的安全隐患，通常是企业跟黑客、跟安全组织交互的一个正常的途径，海外很常见。但不应被引导到日常消费场景里。”黑客采用的是技术攻防中的破解手段，但在日常生活中属于非正常手段。因此在日常生活中发生攻击事件的概率很低，即使发生对用户隐私的侵犯程度也不大，用户无需担忧。

同时，科沃斯其实科沃斯从去年开始，就一直在针对上述两位研究员所说的攻击路径和技巧做技术上的补强，并一直优化产品安全保护措施，让攻击者更难发现规律，从而减少风险。科沃斯在近期一份声明中也表示，目前已经“确定了一次凭据填充事件”，并阻止了攻击源IP地址。但该公司表示，没有发现黑客收集用户名和密码的证据。

科沃斯在最新声明中表示，已经解决了这些漏洞问题，公司计划在11月发布更新以“进一步加强安全性”。同时，去年评测中提及的Ecovacs Deebot 900系列、Ecovacs Deebot N8/T8、Ecovacs Airbot ANDY等多款老旧产品在店铺均已下架。

▍结语与未来

目前，科沃斯服务超过5000万家庭用户，这使其暴露的问题面更广泛。在此之前，社交平台上早有网友表示了对irobot、科沃斯等扫地机器人偷窥隐私的担忧。正如科沃斯方面表示，对方指出的产品问题可能并非漏洞，而是行业共同面对的问题。

技术人士表示，因为无论是蓝牙设备还是WiFi连接，联网产品都有其代码逻辑，只要有这种逻辑，就可能存在漏洞。用户如果发现智能家居设备有麦克风、摄像头等功能，尽量选择将其放在离因私环境较远的地方。此外，要管理好账户，不要随便换口令，采取必要的安全措施，如断开物联网设备的互联网连接，以降低被远程攻击的风险。同时，用户也应对家中的智能设备进行定期的安全检查，确保其固件和软件更新至最新版本，以减少被利用的安全漏洞。

智能家居的普及让万物互联时代变得愈发具象，打通了科技与人类生活的最后一道屏障。因此，产品安全与数据保护，无疑是人类让渡自身隐私——尤其是在家，这个最隐蔽角落的底线。澳洲信息安全协会（AISA）的专家便指出，扫地机器人不仅能收集灰尘清理卫生，还能收集周围环境的数据，并将其发送回外部服务器。尤其是那些自带摄像头的扫地机器人，其背后的隐私泄露风险不容忽视。

此前也有智能家居设备采集用户隐私数据后泄露的案例。在2020年，委内瑞拉一家负责给扫地机器人iRobot Roomba J7收集的图像进行标记的承包商，便将一名女性用户在家中上厕所的图片发到了网上；韩国也曾发生类似事件，黑客入侵家庭网络摄像头和相关智能设备，窃取了700多个家庭的私人照片和视频。

在全球化的过程中，带有摄像头的智能设备数据收集，必然需要注意兼顾智能化和隐私安全。我国目前已有的《数据安全法》和《个人信息保护法》，都对数据安全和个人信息保护有相应的条款和要求。例如个人隐私数据收集提前告知，让用户充分同意是否实行一些删除的权限等，目前法律层面已经有清晰的划分，但真正落实可能还任重道远。