2025年11月26日,美國食品藥品監(jiān)督管理局(FDA)對Life2000呼吸機系統(tǒng)發(fā)布最高級別的 I類召回令,簡單點說就是強制永久退市,這款設(shè)備再也不能上市銷售和使用。
此次原因是:該設(shè)備因存在嚴重網(wǎng)絡(luò)安全漏洞——未經(jīng)授權(quán)者可通過物理訪問修改治療參數(shù)或竊取數(shù)據(jù),可能導(dǎo)致呼吸支持失效甚至危及患者生命,被認定為存在"嚴重傷害或死亡風險"。
緊接著,百特醫(yī)療就宣布:永久停產(chǎn)并停用Life2000呼吸機系統(tǒng)。但是值得注意的是,截至2025年4月10日,百特尚未報告與此問題相關(guān)的嚴重傷害或死亡事件。那么,從戰(zhàn)略核心到被永久“處決”,Life2000呼吸機系統(tǒng)究竟經(jīng)歷了什么?
丨“明星產(chǎn)品”三年三召回的慢性崩塌之路
Life2000 系統(tǒng)
據(jù)公開資料顯示,該設(shè)備由Baxter于2021年通過125億美元收購Hillrom時納入麾下,作為輕便可穿戴式設(shè)備,它主打成人機械通氣支持,不管是醫(yī)院場景還是家庭護理,都能通過氣管插管或面罩提供正壓通氣,還靠獨特的POV技術(shù)提升患者活動性,該系統(tǒng)還包括Life2000呼吸機及配套壓縮機,僅供具備資質(zhì)的醫(yī)護人員在醫(yī)生指導(dǎo)下操作,適用于需通過氣管插管或面罩接受正壓通氣的成年患者。
但是令人唏噓的是,2023年到2025年短短三年間,設(shè)備問題不斷,三次登上FDA召回名單:
2023年,氧飽和度風險召回。設(shè)備氧氣去飽和問題浮出水面——設(shè)備連接第三方制氧機時,患者可能出現(xiàn)氧飽和度降低風險,其影響主要是涉及數(shù)千套系統(tǒng),百特報告有住院病例但無死亡記錄。因此,百特選擇軟件升級補救。
2024年5月,電池充電故障緊急召回。電池充電系統(tǒng)缺陷導(dǎo)致設(shè)備在使用中突然斷電,影響設(shè)備續(xù)航,其間影響美國市場2510臺設(shè)備,涉及軟件版本06.08.00.00。于是,百特再次召回,更換電池組件。值得注意的是,F(xiàn)DA于7月10日正式列為I級召回,強調(diào)可能引發(fā)治療中斷風險。
2024年10月,氣體壓力報警缺陷修正。設(shè)備可能無法觸發(fā)低氣體壓力警報,存在治療中斷隱患。最終,百特選擇更新使用說明,要求連接壓力氣源(壓縮機/氧氣瓶/墻源)后啟動設(shè)備,并參考指南使用。
2025年4—11月,網(wǎng)絡(luò)安全問題成為壓垮的最后一道防線。
4月,致命漏洞徹底引爆。內(nèi)部測試顯示,未經(jīng)授權(quán)的物理接觸者可直接更改治療設(shè)置或竊取患者數(shù)據(jù),會導(dǎo)致呼吸支持失效甚至危及生命,緊急召回啟動。11月26日,F(xiàn)DA將其定性為一級召回——最高風險等級。百特放棄修復(fù),選擇永久停產(chǎn)。
其實,在百特完成對 Hillrom 收購的同一年份,Hillrom 便報告了存在嚴重的 Log4j 漏洞。這一漏洞使得 Life2000 的代碼、固件以及網(wǎng)絡(luò)接口等層面,均有可能遺留下“技術(shù)債”。
實際上,這并非是百特在收購過程中有所疏忽,而是源于過往行業(yè)所形成的普遍認知:在對醫(yī)療設(shè)備開展盡職調(diào)查時,往往更側(cè)重于設(shè)備的性能表現(xiàn)與合規(guī)性,而相對忽視了網(wǎng)絡(luò)安全方面的審查。
然而,數(shù)字化進程所帶來的風險,無法通過簡單的“紙面整合”來消除。要切實應(yīng)對這類風險,需要從代碼編寫、固件更新到系統(tǒng)設(shè)計等各個環(huán)節(jié)進行全面且深入的接管。
從2023 年至 2025 年,百特經(jīng)歷了三次產(chǎn)品召回事件,這些召回事件如同在一根繩索上不斷增添重物,最終,網(wǎng)絡(luò)安全問題成為了壓垮駱駝的最后一根稻草。
丨此次為何是“永久停產(chǎn)”,而非修復(fù)?
面對最高級別的召回,百特做出了一個看似極端卻必然的選擇:放棄修復(fù),永久停產(chǎn)。此次原因也令人不寒而栗,主要出于以下兩點:
重大網(wǎng)絡(luò)安全漏洞:未經(jīng)授權(quán)的人員,通過物理接觸設(shè)備,便能繞過安全防護,直接修改治療參數(shù)或竊取患者數(shù)據(jù)。要知道,物理篡改難以追蹤,醫(yī)護人員可能無法立即察覺參數(shù)修改。這意味著,對依賴機械通氣的患者而言,無異于生命支持的控制權(quán)直接旁落。
災(zāi)難性的設(shè)計缺陷:該設(shè)備存在設(shè)計缺陷,專家對該漏洞的嚴重程度給予了最高等級 CVSS v4 10.0 分的評價,表明該缺陷具有極高的可利用性和災(zāi)難性的影響。
這一決定本身即是答案:產(chǎn)品所存在的漏洞已深深扎根于其根基之處,無法憑借補丁來加以修復(fù)。這也成為百特史上最嚴重的醫(yī)療設(shè)備安全事件。尤為關(guān)鍵的是,這些問題并非由“使用不當”所引發(fā),而是自設(shè)計階段便潛藏的根本性缺陷。此類缺陷根本無法通過后續(xù)的軟件更新實現(xiàn)徹底修復(fù),這也是 Baxter 最終做出永久退市這一決定的根本緣由。
丨聯(lián)網(wǎng)醫(yī)療設(shè)備的“阿喀琉斯之踵”
當然,2025年,F(xiàn)DA已發(fā)出多起聯(lián)網(wǎng)醫(yī)療設(shè)備網(wǎng)絡(luò)安全召回。
2025年10月10日,Abiomed的自動Impella控制器被劃為最嚴重風險等級。一旦遭惡意入侵,攻擊者將能直接操控設(shè)備運行,導(dǎo)致血液動力學支持中斷、器械失控,甚至危及患者生命。
2025年1月30日,F(xiàn)DA曾發(fā)布安全通訊,警告Contec CMS8000和Epsimed MN-120患者監(jiān)護儀存在可被未授權(quán)訪問與控制的漏洞,可能直接引發(fā)患者傷害。
醫(yī)療物聯(lián)網(wǎng)(IoMT)在連接設(shè)備與數(shù)據(jù)的同時,也帶來了嚴峻的安全隱患。對此,2025年6月27日,F(xiàn)DA發(fā)布新版《醫(yī)療器械網(wǎng)絡(luò)安全指南》,包括:全生命周期的安全設(shè)計(Secure Product Development Framework)、威脅建模、SBOM(軟件物料清單)、滲透測試、固件完整性驗證以及代碼來源可追蹤性。
言簡意賅就是:網(wǎng)絡(luò)安全不再是補充材料,而是介入審評的基礎(chǔ)條件。
FDA還特別強調(diào),網(wǎng)絡(luò)安全需成為產(chǎn)品設(shè)計起點,而非事后補丁,真實性、授權(quán)機制、可用性等五大原則需貫穿研發(fā)全流程。
丨寫到最后
此次百特因網(wǎng)絡(luò)安全問題所遭受的慘痛代價,清晰釋放出強烈信號:網(wǎng)絡(luò)安全已從醫(yī)療器械研發(fā)階段的附加項,轉(zhuǎn)變?yōu)檫M入美國市場的“剛需入口”。
過去,行業(yè)聚焦設(shè)備的機械穩(wěn)定性、算法準確性和電源可靠性;而未來,參數(shù)可變性、固件可信度、代碼完整性以及整個數(shù)字生命鏈的安全性或?qū)⒊蔀榻裹c。Life2000 的退市其實是時代變革的信號,它警示行業(yè)真正的醫(yī)療進步在于設(shè)備的可信度。
同時,Life2000 的案例對于中國企業(yè)而言絕非遙遠的“海外案例”,而是對未來出海征程的預(yù)演。
一方面,出海美國,門檻從“性能”轉(zhuǎn)向“安全體系”。舊問題成基礎(chǔ)要求,新要求如 SBOM 完整性等是關(guān)鍵,沒有完善的安全體系,企業(yè)將無法獲得市場準入。
另一方面,隨著中國市場家用呼吸機、homecare 監(jiān)護、可穿戴健康設(shè)備、AI + 遠程康復(fù)、慢病長期管理設(shè)備等領(lǐng)域的快速發(fā)展,設(shè)備的網(wǎng)絡(luò)化進程遠超安全體系建設(shè)速度。Life2000 的退市表明,安全建設(shè)滯后將付出高昂代價。
此外,下一輪全球醫(yī)療技術(shù)競爭將聚焦于“安全治理能力”。系統(tǒng)架構(gòu)、軟件驗證、固件保護、供應(yīng)鏈安全、漏洞響應(yīng)體系等原本屬于IT領(lǐng)域的概念,正成為醫(yī)療設(shè)備行業(yè)的核心競爭力。
未來,系統(tǒng)透明、代碼可信、架構(gòu)安全的企業(yè)將成為行業(yè)領(lǐng)先者。中國企業(yè)需提前布局,重視網(wǎng)絡(luò)安全建設(shè),提升安全治理能力,以應(yīng)對日益激烈的市場競爭和嚴格的準入要求。
分享
