分享朋友圈日前,据IEEE Spectrum电气电子工程师学会网站指出,安全研究人员9月20日披露,宇树科技数款机器人使用的蓝牙低功耗(BLE)Wi-Fi配置接口中存在一个关键漏洞。同时,研究人员表示,由于该漏洞可通过无线方式利用,并且能完全控制受影响平台,因此具有可蠕虫式传播的特性。
这意味着“受感染的机器人可以简单地扫描BLE范围内的其他宇树机器人并自动入侵它们,从而创建一个无需用户干预即可传播的机器人僵尸网络”。
宇树由此站上舆论风口,危机亦是镜子。事件曝光后,宇树48小时内成立产品安全委员会,两周内推送强制OTA升级。
这次事件给行业敲响警钟,整个行业将安全优先级置于炫酷功能之前,同时OTA安全从幕后走向台前,从一项“功能特性”彻底升级为关乎产品存亡、用户信任乃至公共安全的“生命线”。
10月1日,《移动机器人信息安全通用要求》正式实施,为行业划下明确安全红线。该标准将OTA安全、数据加密、漏洞管理等列为核心合规项,明确要求OTA系统必须具备安全回滚机制。这意味着,不符合要求的机器人产品将面临巨大的市场与合规风险。
从“事后补救”看OTA安全
宇树科技的应急处理,完美诠释了健全OTA机制在安全领域的三大关键作用:
快速响应,化危机于无形 全面覆盖,杜绝安全死角 能力闭环,构建安全免疫系统
同时,我们关注到两个问题: 一是宇树科技表示,默认情况下,其机器人产品设计用于离线使用,不会连接到互联网。那么网络中断紧急情况还能回滚吗? 二是联网之后OTA升级安全如何保证?
问题一: 首先,OTA升级包含“下载、校验、安装、激活”等多个阶段。下载阶段如果校验错误,不需要回滚。真正的风险在于安装阶段。若采用“单分区直接覆盖”方案,安装中断极易导致设备“变砖”,艾拉比预升级技术可以有效避免升级包错误导致的变砖,另外断电续升技术也可以大大降低异常导致变砖的概率。若艾拉比采用A/B双分区设计:设备始终从A区稳定系统启动,升级包则被写入闲置的B区。在整个过程中,A区原系统保持完整、未被触碰,则从根本上杜绝了因升级中断而变砖的风险。 问题二: 既然OTA系统承担着如此关键的任务,那么其自身的安全性就必须是铜墙铁壁。为此,艾拉比构建了一套基于非对称加密与数字签名的端到端安全流程,以确保更新过程“窃听无效、假冒不成、篡改不了、事后可溯”。
安全性需求与解决方案
在数据传输过程中,我们主要防范四大风险:窃听、假冒、篡改、事后否认。为此,我们设计了如下加密验签流程: 加密验签的安全流程设计 假设云端为A,机器人端为B,均放在安全区域(HSE)或者安全芯片的存储区域里,其核心流程如下: 准备: A和B各自拥有一对非对称密钥(公钥和私钥),且已安全地交换了彼此的公钥。 第一步: 加密:A(云端)使用B(机器人)的公钥,对要发送的更新包明文进行加密,生成密文。 第二步: 加签:A(云端)对上述密文进行计算生成摘要,并使用A自己的私钥对该摘要进行加密,生成独一无二的数字签名。 传输:A将“密文”和“签名值”一同发送给B(机器人)。 第三步: 验签:B(机器人)收到数据后: 使用A(云端)的公钥对“签名值”进行解密,得到摘要1。 对收到的“密文”使用相同的算法计算生成摘要2。 对比摘要1与摘要2。如果完全相同,则证明数据在传输过程中未被篡改,且确系来自合法的云端,成功解决了假冒和篡改风险。 第四步: 解密:验签通过后,B(机器人)使用自己的私钥对密文进行解密,最终得到原始的更新包明文。 流程概括而言即是:公钥加密,私钥解密,确保数据不被窃听;私钥签名,公钥验签,验证身份与完整性,并防止事后否认。 通过这套机制,我们确保了整个OTA过程即使被截获,攻击者也无法读取内容;即使被伪造,机器人也会拒绝安装;即使被篡改,校验也会失败。这为机器人的每一次进化提供了坚实的安全基底。 tips:如果采用艾拉比差分升级技术,OTA是否能兼具高效和安全呢?答案是肯定的,差分包的升级,需要源版本进行补丁还原才能升级到新版本,即使被窃取,也无法独立用于升级,从而从根本上杜绝了被恶意利用的风险。
综上,基于安全事件的经验和我们对安全的极致追求,我们认为机器人OTA系统应具备以下特质: 1、安全前置:将安全考量前置到机器人的设计阶段,与OTA系统同步规划,确保“出厂即免疫”。 2、纵深防御:在加密通信之外,引入安全启动、硬件信任根、运行时监控等多重防护,让攻击者无从下手。 3、智慧运维:支持灰度发布与一键回滚。在推送安全更新时,可以先小范围验证,稳定后再全面推送;一旦发现异常,可立即撤回,最大化保障用户体验与设备安全。 漏洞或许难以百分百避免,但一个强大的OTA系统,却能决定企业在面对漏洞时的修复能力和最终命运。对于机器人厂商而言,选择OTA供应商,就是在为您的产品选择最关键的一道安全防线。
