作者：彭昭（智次方創(chuàng)始人、云和資本聯(lián)合創(chuàng)始合伙人）物聯(lián)網(wǎng)智庫 原創(chuàng)

這是我的第341篇專欄文章。

你還記得前段時間紅得出圈的Rabbit R1和AI Pin嗎？最近他們紛紛被爆出安全漏洞，令購買者的熱情出現(xiàn)了180度反轉(zhuǎn)。

對這兩款設備我們還記憶猶新，Rabbit R1擁有觸摸屏、旋轉(zhuǎn)攝像頭和滾輪等豐富的人機交互方式，可以播放音樂、網(wǎng)上購物、發(fā)送信息，甚至還能通過訓練，學習操作特定應用。

而AI Pin則被其開發(fā)商Humane定位為人們的“第二大腦”，旨在通過創(chuàng)新的硬件交互方式，提供媲美智能手機的使用體驗。

然而，安全研究人員近日揭露，Rabbit R1的源代碼中嵌入了硬編碼的API密鑰，這一嚴重的安全漏洞可能讓攻擊者輕而易舉地訪問設備上的所有內(nèi)容，注意是無死角的“所有內(nèi)容”，包括設備曾經(jīng)給出的每一個響應。

而AI Pin在預售期間也因為糟糕的評測結(jié)果而折戟，發(fā)貨后更是無人問津。

Rabbit R1和AI Pin的遭遇，折射出AI大模型智能設備在安全方面的短板是普遍問題。

事實上，安全問題并非AI大模型智能硬件所獨有，而是任何新型技術產(chǎn)品必須直面的挑戰(zhàn)。過去，許多智能家居和可穿戴設備也曾爆出類似的安全漏洞，給用戶的隱私和財產(chǎn)安全帶來嚴重威脅。

讓我們一起通過這篇文章，挖掘物聯(lián)網(wǎng)安全困局的根源，與你分享一些最新的調(diào)查統(tǒng)計數(shù)據(jù)，并將探討我們是否可以創(chuàng)造一些新的安全解決方案。

智能“后門”？探尋物聯(lián)網(wǎng)安全困局的根源

這些時刻守護我們家門安全的“智能衛(wèi)士”，自身是否也暗藏隱患，成為智能“后門”？

智能硬件被入侵的方式不僅是眾多，而且是繁多。

智能鎖可以解鎖房門，讓入侵者輕松進入；智能玩具會記錄玩家的聲音，并在線泄漏記錄；智能吸塵器可遠程跟蹤家居布局或監(jiān)控房間活動，從而幫黑客規(guī)劃進一步的活動和行動；家庭網(wǎng)關可以連接到假冒或惡意網(wǎng)站下載惡意軟件、竊取個人信息或遠程控制連網(wǎng)設備…

最近多款亞馬遜上銷售的網(wǎng)紅智能門鈴產(chǎn)品的漏洞被曝光，安全研究人員發(fā)現(xiàn)，這些知名品牌的視頻門鈴產(chǎn)品存在嚴重的系統(tǒng)漏洞，輕則可能泄露用戶隱私，重則可能危及人身安全。

更令人吃驚的是，僅僅通過一個被泄露的設備序列號，不法分子就能神不知鬼不覺地“監(jiān)守”你家的門庭，窺探你的一舉一動。即便你察覺端倪，換了一款新的門鈴，對方依然能通過后臺漏洞如影隨形。

智能可視門鈴只是智能設備領域的冰山一角，類似的安全事件正在智能家電、可穿戴設備、車聯(lián)網(wǎng)等多個細分領域上演。

雖然我們已經(jīng)習慣了被各種物聯(lián)網(wǎng)硬件包圍，但這仍是個新興領域，物聯(lián)網(wǎng)安全問題的根源在于行業(yè)生態(tài)的不健全。

物聯(lián)網(wǎng)設備的技術創(chuàng)新固然重要，但安全和隱私保護更應是產(chǎn)品設計的核心要義。遺憾的是，不少廠商受制于研發(fā)能力不足、市場壓力過大等因素，對產(chǎn)品安全性重視不夠，缺乏長遠眼光。

與此同時，行業(yè)標準和監(jiān)管體系的滯后也使得問題產(chǎn)品有機可乘。雖然各國陸續(xù)出臺了物聯(lián)網(wǎng)安全標準和法規(guī)，但在具體落實中仍存在諸多盲區(qū)。加之用戶安全意識薄弱，維權渠道不暢，不良廠商難以得到應有的懲戒。

針對日益突出的智能設備安全問題，一些國家正在嘗試解決。比如，美國聯(lián)邦通信委員會（FCC）提出創(chuàng)建“美國網(wǎng)絡信任標志”自愿性網(wǎng)絡安全產(chǎn)品標簽計劃，旨在幫助消費者選擇經(jīng)制造商認證的可防黑客、詐騙犯和其他網(wǎng)絡犯罪分子侵害的智能互聯(lián)網(wǎng)設備。亞馬遜、百思買、谷歌等公司已承諾加入該計劃，但具體推出時間尚未確定。

千里之堤潰于蟻穴，這些安全問題有可能成為物聯(lián)網(wǎng)設備進一步普及的隱患。

IoT企業(yè)應對安全挑戰(zhàn)的成熟度評估

為了評估IoT廠商在應對安全漏洞方面的成熟度，外媒《消費者報告》開展了一項調(diào)查，并設計了一份包含10個問題的問卷，涵蓋了理想的漏洞披露計劃應具備的關鍵要素。受訪的56家企業(yè)的回復為我們提供了寶貴的見解。

調(diào)查結(jié)果顯示，絕大多數(shù)廠商（72％）已經(jīng)為安全研究人員提供了專門的漏洞報告聯(lián)系方式。

這無疑是積極的信號，表明業(yè)界已經(jīng)意識到，暢通的溝通渠道是漏洞披露機制的基礎。

然而，調(diào)查也發(fā)現(xiàn)，只有66％的受訪企業(yè)公開發(fā)布了正式的漏洞披露政策。

缺乏明確的“游戲規(guī)則”，可能會影響研究人員的參與熱情和信任度。調(diào)查建議，即便是初創(chuàng)企業(yè)，也應該盡早制定和發(fā)布漏洞披露政策，向研究人員傳遞開放、負責、協(xié)作的態(tài)度。

完善的漏洞披露計劃，不僅要處理好眼前的單個漏洞，還應具備一定的前瞻性。例如，評估漏洞在產(chǎn)品線中的影響范圍，防患于未然；建立漏洞知識庫，避免同樣的問題反復出現(xiàn)；適當參與外部安全會議、激勵計劃等，與安全社區(qū)保持互動，緊跟形勢發(fā)展。

調(diào)查結(jié)果在這些方面也反映出了不同企業(yè)的差異。

需要指出的是，漏洞披露絕非單純的技術問題，也涉及法律和倫理層面。

研究人員應該以負責任的方式開展工作，而廠商則需以開明的態(tài)度對待他們的發(fā)現(xiàn)。雙方在信息發(fā)布時間、方式等方面達成共識，避免因理解分歧或處置失當造成不必要的糾紛，甚至法律訴訟。

令人欣慰的是，絕大多數(shù)受訪企業(yè)都明確表示，只要研究人員遵守披露政策，就不會對其采取法律行動。這有助于營造良性互動的氛圍。

總的來說，此次調(diào)查結(jié)果喜憂參半。

一方面，IoT廠商普遍重視漏洞披露工作，并采取了一系列積極舉措。

另一方面，在披露政策的完善性、對研究人員的激勵保障等方面，仍有很大的提升空間。

希望這份調(diào)查的結(jié)果能引發(fā)業(yè)界對漏洞披露機制的更多思考，推動形成更加成熟、規(guī)范、可持續(xù)的最佳實踐。

DePIN或?qū)�為IoT安全插上創(chuàng)新之翼

物聯(lián)網(wǎng)設備的安全問題已經(jīng)成為全球關注的焦點，而建立健全的漏洞披露機制則被視為應對之策的關鍵一環(huán)。

盡管目前行業(yè)內(nèi)已有相當一部分企業(yè)采用了漏洞披露計劃，但仍有很大的提升空間，尤其是在智能門鎖、智能攝像頭、安防系統(tǒng)等直接關乎消費者物理安全的產(chǎn)品領域。

在探索物聯(lián)網(wǎng)安全解決方案的過程中，去中心化物理基礎設施網(wǎng)絡（DePIN）為業(yè)界提供了一些有益的思路和啟示。

區(qū)塊鏈技術所具有的不可篡改、可追溯等特性，可以用于構建IoT設備的身份認證、訪問控制等安全機制，提高設備抵御網(wǎng)絡攻擊的能力。

基于區(qū)塊鏈的智能合約則可實現(xiàn)IoT設備間的可信交互與協(xié)同，降低對中心化平臺的依賴，從而縮小系統(tǒng)的攻擊面。

DePIN倡導的社區(qū)協(xié)作治理模式，鼓勵所有利益相關方共同參與安全治理，將有助于加快漏洞發(fā)現(xiàn)和修復的速度。

DePIN所構建的分布式物理基礎設施，也為IoT設備的安全管理提供了新的可能，比如利用區(qū)塊鏈構建設備的“身份檔案”，便于跟蹤其軟硬件版本和漏洞修復情況。

此外，DePIN的去中心化網(wǎng)絡架構，可以有效避免單點故障，提高系統(tǒng)的魯棒性和容災能力。

分布式的數(shù)據(jù)存儲和計算模式，也使得物聯(lián)網(wǎng)數(shù)據(jù)的隱私保護和主權控制成為可能�；�于DePIN平臺構建的IoT應用，將更加安全、可靠、高效。

當然，DePIN能在多大程度上助力物聯(lián)網(wǎng)安全，還有待在實踐中進一步探索。

作為一種全新的技術范式，DePIN為業(yè)界帶來了創(chuàng)新思路，但要真正補齊IoT企業(yè)在漏洞治理中的短板，還需要企業(yè)和整個行業(yè)持之以恒的努力。

寫在最后

這些事件無不在警示我們，智能設備的安全問題已經(jīng)到了刻不容緩的地步。提升智能設備的安全，需要產(chǎn)業(yè)鏈各方傾力協(xié)作，尤其離不開制造商的高度重視和持續(xù)投入。

與此同時，我們是否也可以探索一些創(chuàng)新的安全解決方案？

比如，利用區(qū)塊鏈技術構建一個去中心化的物理基礎設施網(wǎng)絡DePIN，通過分布式賬本、智能合約、數(shù)字身份認證等機制，從底層重塑IoT系統(tǒng)的可信基礎，讓每一個接入的終端設備都能獲得可驗證的安全保障。

這也許為智能設備的安全難題提供了全新的思路，但物聯(lián)網(wǎng)安全的未來，終將由每一個參與者共同書寫。

參考資料：

These Video Doorbells Have Terrible Security． Amazon Sells Them Anyway，來源：consumerreports．org

Who Ya＆rsquo； Gonna Call？ Why IoT Companies Should Embrace Vulnerability Disclosure Programs，來源：consumerreports．org

Going Down a Rabbit Hole to Jailbreak the R1，來源：hackster．io

原文標題 ： 物聯(lián)網(wǎng)安全，老生常談還是創(chuàng)新前沿？DePIN提供新思路