文章总结： 2026年5月Yarbo智能割草机被曝存在严重安全漏洞：所有设备共享同一root密码，黑客可远程控制全球逾万台设备，包括绕过急停按钮启动刀片、获取用户隐私数据及监控敏感区域。厂商最初否认问题，迫于舆论压力后才承诺修复，但固件更新会强制重置用户修改的密码，暴露出物联网设备将便利性置于安全之上的系统性风险。 综合评分： 85 文章分类： IoT安全,漏洞预警,安全建设,物理安全,供应链安全

机器人“行凶”实录：一个root口令如何让万台割草机沦为黑客武器

原创

网空闲话 网空闲话

网空闲话plus

2026年5月11日 07:15 北京

在小说阅读器读本章

去阅读

2026年5月8日，科技媒体《The Verge》资深编辑肖恩·霍利斯特（Sean Hollister）躺在泥土中，等待一台重达200磅（约91公斤）、装有锋利刀片的Yarbo机器人割草机向他碾来。近6000英里之外，安全研究员安德烈亚斯·马克里斯（Andreas Makris）正通过互联网远程操控这台机器，以证明其安全漏洞触目惊心。割草机猛然冲上霍利斯特的胸口，刀片险些划破他的身体——若非马克里斯及时停止操作，后果不堪设想。这极具冲击力的一幕，揭开了一个涉及全球逾万台机器人的安全黑洞。

一个口令掌控所有机器人

马克里斯的发现令人不寒而栗：所有Yarbo机器人设备共享同一个root密码。“我可以随意操控所有机器人，”马克里斯告诉《The Verge》，“它完全没有防护措施。”这句话背后是残酷的现实：通过统一的后门和从不改变的root密码，攻击者一旦获得访问权限，理论上就能控制全球每一台Yarbo设备。马克里斯绘制了一张“vibe-coded”地图，上面标记着美国与欧洲约5400台设备的位置，而他在全球追踪的数量超过11000台。

这种“一台沦陷，全体失守”的模式，与前安全研究员萨米·阿兹杜法尔（Sammy Azdoufal）当年让数千台Romo扫地机器人集体听命于他的手法如出一辙。“如果你能控制一台机器人，就能控制所有机器人。”这一论断在Yarbo身上再次得到血淋淋的验证。

物理安全机制形同虚设

更令人不安的是，设备自身的安全保护同样不堪一击。每个Yarbo机器人机身上都有一个醒目的红色紧急停止按钮，这本应是最后一道防线。但马克里斯证实，即便用户按下急停按钮，黑客也能远程发送指令将其解锁，或者直接发送新指令重启机器人，让刀片再次旋转。当物理安全措施被数字漏洞架空，机器人便从工具蜕变为潜在的杀伤性武器。

从隐私泄露到国家安全威胁

由于每台Yarbo本质上是一台装有摄像头、持续联网的完整Linux计算机，且留有故意植入的后门，黑客可远程将其重新编程，执行任意指令：旋转刀片、探测家庭网络、是将其纳入僵尸网络发动攻击。马克里斯演示了远程控制纽约上州一台正在割草的机器人，他拖动屏幕上的操纵杆，机器人的摄像头便随之转动，背景中的白色住宅一览无余——这意味着攻击者可以窥探家庭生活规律，伺机作案。

漏洞泄露的数据同样惊人。马克里斯证实，攻击者可借此获取用户的电子邮件地址、Wi-Fi密码和房屋的GPS坐标。而《The Verge》的报道进一步指出，类似漏洞可能让不良行为者监控敏感设施附近的动态，“例如核电站附近的部队调动”。风险早已超出损坏邻居草坪的范畴，延伸至人身伤害、监视、设备盗窃和敏感数据收集。

固执的厂商与迟来的修补

马克里斯在向Yarbo公司发出警告但未见成效后，选择公开调查结果。该公司起初坚称其机器人“完全安全”且“完全由其所有者控制”。直到《The Verge》的报道引发舆论风暴，Yarbo的立场才开始松动。一位公司发言人随后表示，开发人员已找到至少一个问题的解决方案，并正在准备其他安全改进。

然而，问题的根源远比修补几个漏洞更为顽固。远程访问功能是故意实现的，自动部署在每台机器人上，用户无法禁用，即便删除后也会在固件更新时被恢复。而且，即便用户自行更改了root密码，一次固件更新就会将其重置为默认值。这种将便利性凌驾于安全之上的设计哲学，正是悲剧的根源。

俄罗斯安全网站SecurityLab在跟进报道中精辟地总结道：“Yarbo的故事近乎是对安全专家长期讨论的风险的夸张演绎：智能设备越是配备电机、摄像头、GPS和持续网络连接，制造商就越没有理由在安全方面妥协。灯泡应用程序中的漏洞令人恼火，但配备刀片的机器人中的漏洞却可能给其主人带来麻烦。”

【闲话简评】

这不是孤立的漏洞，而是产品全生命周期中安全责任的系统性沦丧。统一root口令、固件强制恢复、用户不可禁用的远程后门——这些不是疏忽，是制造商为远程维护便利而刻意留出的通道，本质上将用户置于永久风险之中。一台200磅带刀片的自主移动机器，其安全设计竟不如一个智能灯泡，暴露出物联网监管的致命空白。必须建立强制性安全准入标准，对可能造成人身伤害的智能设备，要求物理隔离关键安全部件与公网连接。安全不能是事后补丁，而应是从设计之初就铸就的底线。

参考资源

1、https://www.theverge.com/tech/925696/yarbo-robot-lawn-mower-hack-remote-control-camera-access-mqtt

2、https://www.securitylab.ru/news/572533.php

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《机器人“行凶”实录：一个root口令如何让万台割草机沦为黑客武器》