据Axios报道，中国制造商宇树科技很受欢迎的Go1机器狗中存在漏洞，以致于任何人都能监控全球用户。两名安全研究人员 安德烈亚斯·马克里斯和凯文·芬尼斯特尔，称他们在使用自己的Go1时发现了这个问题。

他们也曾以曝光DJI无人机漏洞而知名。他们在彼此的设备上测试并确认漏洞确实存在。 马克里斯在接受Axios采访时表示，他们无法确定Unitree是否有意创建了监控后门，还是仅仅因为“架构混乱、编程混乱”。

在消费技术产品中发现这样的漏洞极为罕见，美国官员长期以来一直担忧中国制造的设备可能暗中监控。

新的通用漏洞和暴露（CVE，一个由美国MITRE公司维护的全球公开漏洞编号系统，用来标准化和公开软件和硬件中的安全漏洞）条目，确认了这一问题，且被正式归类为关键漏洞，编号为CVE-2025-2894。

CVE条目建议用户“禁用启用后门的本地端点”。

任何人只要发现这个面向公众的Web API，就可以看到Go1机器狗的位置——如果机器狗在线，还可以在不登录的情况下查看其实时摄像头画面。

如果机器人使用的树莓派默认账号没有被更改，攻击者还可以利用这些凭证完全控制机器狗。

他们还发现，包括麻省理工学院、普林斯顿大学和卡内基梅隆大学在内的美国主要研究型大学所使用的机器狗也可能曾一度面临风险。

 “这一问题是否被滥用并不重要，”两人写道，“关键在于这个服务的存在却未告知用户，这是不负责任的行为，可以视为恶意。”

Unitree今天上午在声明中表示，更新型号——如Go2和人形机器人——已经配备了“更安全的升级版本”，不受该漏洞影响。Unitree还表示，“黑客非法获取了第三方云隧道服务的管理密钥”，并“使用该密钥以高级权限修改用户设备内的数据和程序”。

Unitree称，已完全关闭导致Go1后门存在的服务，但也指出这一功能是“市场上许多机器人普遍具备的特性”。

来自密歇根州的众议员约翰·穆勒纳尔，作为众议院中国问题特别委员会主席，在对Axios发表的声明中称这一漏洞是“直接的国家安全威胁”，并表示这个委员会正在积极调查其风险。

“这不仅仅是一个技术缺陷，”穆勒纳尔说，“这是一个有意为之的、危险的国家安全漏洞。美国家庭、执法人员和学生有权知道中国共产党是否能接触到他们的私人环境。”