人形机器人被黑客劫持，用来攻击人类。或许你以为这只是科幻剧的桥段，实际上已经成为必须直面的现实。

10月24日的“GEEKCON2025”安全极客大赛现场，两名“白帽黑客”把宇树科技的G1人形机器人作为了测试对象。他们首先“黑”入一台已联网的机器人，随后利用这台被接管的机器人，对另一台未联网的机器人实施“感染”。在黑客的操纵下，被“感染”的机器人径直走到一具假人面前，狠狠挥拳，将其击倒。

10月24日的“GEEKCON2025”安全极客大赛现场，两台被黑客“入侵”的机器人。图：主办方

这两名“白帽黑客”已提前把安全漏洞告知宇树科技。宇树一名工作人员现场告诉南都记者，黑客展示的系统漏洞已经修复，“他们用的还是以前的版本”。

话音刚落不久，一只宇树的机器狗又被两名百度的安全人员给“入侵”了。突破厂商的系统限制后，机器狗开始完成遥控手柄上原本无法实现的翻跳动作，甚至挑衅地发出口头威胁：“消灭人类暴政！机器人解放人类！”

具身智能热潮之下，人机共存的图景逐步展开：人形机器人和机器狗几乎变成各大展会的标配，不时与观众亲密互动；一些厂商已尝试将机器人上架电商，直接卖给普通用户。但上述“白帽黑客”之一的屈师培留意到，在热火朝天的市场中，几乎没人谈论机器人的安全问题。

屈师培研究发现，许多机器人品牌的安全系统“都是千疮百孔、漏洞百出”，甚至有厂商完全没有考虑过任何安全防御设计。他希望在人形机器人真正上岗或步入家庭之前，通过这类漏洞测试向行业敲响警钟。

“芝麻开门！”随着黑客一句语音指令，G1人形机器人开始执行攻击代码，头灯瞬间变红。此刻，机器人已彻底落入黑客掌控。

根据现场讲解，正常情况下，遥控手柄并不能让头灯变红。因此，赛事组委会把头灯变红作为机器人被攻破的直观标志。

背后的原理在于，黑客发现了机器人内置大模型Agent（智能体）中的一个逻辑缺陷。该漏洞可以让攻击者构造特定的语音输入，来获取目标机器人上的任意代码执行权限。

黑客不仅能侵入单个机器人，还能将攻击指令传播给其他同型号的机器人，带来类似于病毒人传人的连锁效应。

此前9月20日，两名国外的安全研究人员在GitHub平台发文指出，宇树机器人的低功耗蓝牙Wi-Fi配置界面中存在一个高危漏洞，可使得被控制的机器人去自动攻击低功耗蓝牙范围内的其他机器人。

宇树科技9月29日对此公开回应称，已立即着手解决这些问题，目前已完成了大部分修复工作，并将采用更先进的技术手段，“以彻底消除潜在的漏洞和安全隐患”。

这两名海外黑客发文前，屈师培说他和团队早在9月12日就通过邮件向厂商报告了这一漏洞。宇树后续安排了专门的安全人员跟进情况。在最新的固件版本中，宇树已将漏洞修复。

按照屈师培的描述，漏洞未被修复前，攻击者在展会或其他公共场合，掏出电脑执行一些代码，就能剥夺原有的控制权，把机器人牵走。

“如果说机器人都像今天这个样子，我是不敢用的。”蚂蚁集团副总裁、蚂蚁密算董事长、GEEKCON组委韦韬直言。

身为安全研究员，屈师培在攻克手机和扫地机器人、智能门锁等物联网（IoT）设备上经验丰富。在他看来，人形机器人和传统物联网设备有很多相似之处。拿到机器人之后，屈师培在数小时之内便找到不少安全漏洞，“可能一些研究员觉得早已绝迹的安全漏洞，在人形机器人产品中还是广泛存在”。

机器人创业公司安全意识薄弱，屈师培将其归结为算法研究员等在设计机器人时，工作压力重心在功能性研发，而忽视被攻击和滥用的风险。GEEKCON组委会主席王琦补充提到，网络安全人才流失和企业预算控制的双重困境，加剧了新兴技术带来的安全威胁。

目前，具身智能机器人的应用，仍集中在娱乐表演、商务接待和科研教育等领域。虽然安全风险外溢有限，但屈师培警告，一旦机器人后续真正走上巡检、反恐、医疗康养等对安全性要求非常高的场景，这些遗留下的安全漏洞的后果将难以估量。

屈师培想借此次漏洞的公开展示，让具身智能新科技企业能尽快认识到安全对于品牌和用户的价值，从而成长为用户可以真正信赖的行业巨头。

机器人厂商如何防范风险？屈师培的建议是，在研发过程中，厂商可以引入一些检查工具等，及时发现并消除那些浅层次的问题。另外，厂商还可以通过自建安全体系，或寻求外部专业安全团队的支持，开展攻防对抗测试，挖掘更深层次的安全隐患。只有经历过真正的攻防实战，与安全研究人员的深入分析，才能评估一款机器人产品是否具备可靠的安全性。

“安全有点像空气，当你拥有的时候总是会忽略它，但是如果失去它的话，就是致命的。”屈师培说。

采写：南都N视频记者 杨柳 王子黎 发自上海

编辑：黄莉玲