作者：彭昭（智次方創始人、云和資本聯合創始合伙人）物聯網智庫 原創

這是我的第341篇專欄文章。

你還記得前段時間紅得出圈的Rabbit R1和AI Pin嗎？最近他們紛紛被爆出安全漏洞，令購買者的熱情出現了180度反轉。

對這兩款設備我們還記憶猶新，Rabbit R1擁有觸摸屏、旋轉攝像頭和滾輪等豐富的人機交互方式，可以播放音樂、網上購物、發送信息，甚至還能通過訓練，學習操作特定應用。

而AI Pin則被其開發商Humane定位為人們的“第二大腦”，旨在通過創新的硬件交互方式，提供媲美智能手機的使用體驗。

然而，安全研究人員近日揭露，Rabbit R1的源代碼中嵌入了硬編碼的API密鑰，這一嚴重的安全漏洞可能讓攻擊者輕而易舉地訪問設備上的所有內容，注意是無死角的“所有內容”，包括設備曾經給出的每一個響應。

而AI Pin在預售期間也因為糟糕的評測結果而折戟，發貨后更是無人問津。

Rabbit R1和AI Pin的遭遇，折射出AI大模型智能設備在安全方面的短板是普遍問題。

事實上，安全問題并非AI大模型智能硬件所獨有，而是任何新型技術產品必須直面的挑戰。過去，許多智能家居和可穿戴設備也曾爆出類似的安全漏洞，給用戶的隱私和財產安全帶來嚴重威脅。

讓我們一起通過這篇文章，挖掘物聯網安全困局的根源，與你分享一些最新的調查統計數據，并將探討我們是否可以創造一些新的安全解決方案。

智能“后門”？探尋物聯網安全困局的根源

這些時刻守護我們家門安全的“智能衛士”，自身是否也暗藏隱患，成為智能“后門”？

智能硬件被入侵的方式不僅是眾多，而且是繁多。

智能鎖可以解鎖房門，讓入侵者輕松進入；智能玩具會記錄玩家的聲音，并在線泄漏記錄；智能吸塵器可遠程跟蹤家居布局或監控房間活動，從而幫黑客規劃進一步的活動和行動；家庭網關可以連接到假冒或惡意網站下載惡意軟件、竊取個人信息或遠程控制連網設備…

最近多款亞馬遜上銷售的網紅智能門鈴產品的漏洞被曝光，安全研究人員發現，這些知名品牌的視頻門鈴產品存在嚴重的系統漏洞，輕則可能泄露用戶隱私，重則可能危及人身安全。

更令人吃驚的是，僅僅通過一個被泄露的設備序列號，不法分子就能神不知鬼不覺地“監守”你家的門庭，窺探你的一舉一動。即便你察覺端倪，換了一款新的門鈴，對方依然能通過后臺漏洞如影隨形。

智能可視門鈴只是智能設備領域的冰山一角，類似的安全事件正在智能家電、可穿戴設備、車聯網等多個細分領域上演。

雖然我們已經習慣了被各種物聯網硬件包圍，但這仍是個新興領域，物聯網安全問題的根源在于行業生態的不健全。

物聯網設備的技術創新固然重要，但安全和隱私保護更應是產品設計的核心要義。遺憾的是，不少廠商受制于研發能力不足、市場壓力過大等因素，對產品安全性重視不夠，缺乏長遠眼光。

與此同時，行業標準和監管體系的滯后也使得問題產品有機可乘。雖然各國陸續出臺了物聯網安全標準和法規，但在具體落實中仍存在諸多盲區。加之用戶安全意識薄弱，維權渠道不暢，不良廠商難以得到應有的懲戒。

針對日益突出的智能設備安全問題，一些國家正在嘗試解決。比如，美國聯邦通信委員會（FCC）提出創建“美國網絡信任標志”自愿性網絡安全產品標簽計劃，旨在幫助消費者選擇經制造商認證的可防黑客、詐騙犯和其他網絡犯罪分子侵害的智能互聯網設備。亞馬遜、百思買、谷歌等公司已承諾加入該計劃，但具體推出時間尚未確定。

千里之堤潰于蟻穴，這些安全問題有可能成為物聯網設備進一步普及的隱患。

IoT企業應對安全挑戰的成熟度評估

為了評估IoT廠商在應對安全漏洞方面的成熟度，外媒《消費者報告》開展了一項調查，并設計了一份包含10個問題的問卷，涵蓋了理想的漏洞披露計劃應具備的關鍵要素。受訪的56家企業的回復為我們提供了寶貴的見解。

調查結果顯示，絕大多數廠商（72％）已經為安全研究人員提供了專門的漏洞報告聯系方式。

這無疑是積極的信號，表明業界已經意識到，暢通的溝通渠道是漏洞披露機制的基礎。

然而，調查也發現，只有66％的受訪企業公開發布了正式的漏洞披露政策。

缺乏明確的“游戲規則”，可能會影響研究人員的參與熱情和信任度。調查建議，即便是初創企業，也應該盡早制定和發布漏洞披露政策，向研究人員傳遞開放、負責、協作的態度。

完善的漏洞披露計劃，不僅要處理好眼前的單個漏洞，還應具備一定的前瞻性。例如，評估漏洞在產品線中的影響范圍，防患于未然；建立漏洞知識庫，避免同樣的問題反復出現；適當參與外部安全會議、激勵計劃等，與安全社區保持互動，緊跟形勢發展。

調查結果在這些方面也反映出了不同企業的差異。

需要指出的是，漏洞披露絕非單純的技術問題，也涉及法律和倫理層面。

研究人員應該以負責任的方式開展工作，而廠商則需以開明的態度對待他們的發現。雙方在信息發布時間、方式等方面達成共識，避免因理解分歧或處置失當造成不必要的糾紛，甚至法律訴訟。

令人欣慰的是，絕大多數受訪企業都明確表示，只要研究人員遵守披露政策，就不會對其采取法律行動。這有助于營造良性互動的氛圍。

總的來說，此次調查結果喜憂參半。

一方面，IoT廠商普遍重視漏洞披露工作，并采取了一系列積極舉措。

另一方面，在披露政策的完善性、對研究人員的激勵保障等方面，仍有很大的提升空間。

希望這份調查的結果能引發業界對漏洞披露機制的更多思考，推動形成更加成熟、規范、可持續的最佳實踐。

DePIN或將為IoT安全插上創新之翼

物聯網設備的安全問題已經成為全球關注的焦點，而建立健全的漏洞披露機制則被視為應對之策的關鍵一環。

盡管目前行業內已有相當一部分企業采用了漏洞披露計劃，但仍有很大的提升空間，尤其是在智能門鎖、智能攝像頭、安防系統等直接關乎消費者物理安全的產品領域。

在探索物聯網安全解決方案的過程中，去中心化物理基礎設施網絡（DePIN）為業界提供了一些有益的思路和啟示。

區塊鏈技術所具有的不可篡改、可追溯等特性，可以用于構建IoT設備的身份認證、訪問控制等安全機制，提高設備抵御網絡攻擊的能力。

基于區塊鏈的智能合約則可實現IoT設備間的可信交互與協同，降低對中心化平臺的依賴，從而縮小系統的攻擊面。

DePIN倡導的社區協作治理模式，鼓勵所有利益相關方共同參與安全治理，將有助于加快漏洞發現和修復的速度。

DePIN所構建的分布式物理基礎設施，也為IoT設備的安全管理提供了新的可能，比如利用區塊鏈構建設備的“身份檔案”，便于跟蹤其軟硬件版本和漏洞修復情況。

此外，DePIN的去中心化網絡架構，可以有效避免單點故障，提高系統的魯棒性和容災能力。

分布式的數據存儲和計算模式，也使得物聯網數據的隱私保護和主權控制成為可能。基于DePIN平臺構建的IoT應用，將更加安全、可靠、高效。

當然，DePIN能在多大程度上助力物聯網安全，還有待在實踐中進一步探索。

作為一種全新的技術范式，DePIN為業界帶來了創新思路，但要真正補齊IoT企業在漏洞治理中的短板，還需要企業和整個行業持之以恒的努力。

寫在最后

這些事件無不在警示我們，智能設備的安全問題已經到了刻不容緩的地步。提升智能設備的安全，需要產業鏈各方傾力協作，尤其離不開制造商的高度重視和持續投入。

與此同時，我們是否也可以探索一些創新的安全解決方案？

比如，利用區塊鏈技術構建一個去中心化的物理基礎設施網絡DePIN，通過分布式賬本、智能合約、數字身份認證等機制，從底層重塑IoT系統的可信基礎，讓每一個接入的終端設備都能獲得可驗證的安全保障。

這也許為智能設備的安全難題提供了全新的思路，但物聯網安全的未來，終將由每一個參與者共同書寫。

參考資料：

These Video Doorbells Have Terrible Security． Amazon Sells Them Anyway，來源：consumerreports．org

Who Ya＆rsquo； Gonna Call？ Why IoT Companies Should Embrace Vulnerability Disclosure Programs，來源：consumerreports．org

Going Down a Rabbit Hole to Jailbreak the R1，來源：hackster．io

原文標題 ： 物聯網安全，老生常談還是創新前沿？DePIN提供新思路