Представьте не далёкое будущее, где человекоподобные роботы работают рядом с нами в магазинах, на складах, в домах, но при этом могут быть взломаны даже легче, чем ваш домашний компьютер.
Сейчас формируется тихий, но активно растущий экономический сегмент, связанный с гуманоидными роботами. И он уже сталкивается с множеством вызовов в области кибербезопасности.
Организации в США и Азии работают над тем, чтобы заменить ручной труд машинами, которые выглядят и двигаются как люди, но не требуют зарплаты. Прогнозы (от таких финансовых институтов, как Morgan Stanley и Bank of America) указывают, что с удешевлением производства число гуманоидов к 2050 году может вырасти от десятков тысяч до сотен миллионов.
Например, уже сегодня можно приобрести робота Unitree R1 примерно за $5 000.
По словам директора по анализу рисков из группы Recorded Future, «государства явно наблюдают за этой областью», и некоторые из них рассматривают «воплощённый ИИ» (embodied AI) как стратегически важный сектор.
Кибершпионаж и атаки на производителей робототехники
За последние годы отрасль робототехники стала целью подозреваемых кампаний шпионажа, связанных с государственными акторами: по оценке экспертов, с осени 2024 г. заметно возросло число атак на компании, работающие над роботами-гуманоидами.
Используются те же инструменты, что и при атаках на другие технологические отрасли, открытые RAT-трояны (Remote Access Trojans), программное обеспечение для кражи интеллектуальной собственности (IP), загрузчики типа PrivateLoader и фреймворки вроде Havoc.
По оценке аналитиков, злоумышленники могут позиционировать себя внутри цепочек поставок, т.е. внедряться на этапе разработки, сборки или логистики, что делает атаку ещё более труднообнаружимой.
По сути, угроза затрагивает не только конечных пользователей, но и саму инфраструктуру разработки роботов, их производителей и поставщиков комплектующих.
Внутренние уязвимости роботов от слежки до возможности создания "ботнета"
Самое серьёзное - это не столько атаки на производителей, сколько уязвимости, заложенные в самих роботах. Согласно исследованиям, роботы это не просто компьютеры, они представляют собой сложные киберо-физические системы, объединяющие сенсоры (камеры, микрофоны, датчики), актуаторы (моторы, сервоприводы), вычислительные системы и сетевые интерфейсы. В частности, на примере роботов от производителя Unitree было доказано, что злоумышленник, находясь в радиусе действия Bluetooth, может получить root-доступ.
Также было выяснено, что при подключении к интернету такие роботы могут автоматически отправлять телеметрию, системные данные такие как видео, аудио, информацию с датчиков на серверы производителя (в зарубежные юрисдикции) без согласия пользователя.
При этом многие компании, производящие такие устройства, не знакомы даже с базовой терминологией кибербезопасности: что такое CVE, уязвимость, стандарты защиты часто неизвестно.
Это означает, что даже "невинные" на вид сервисные или домашние гуманоидные роботы могут стать источником утечек, средством слежки или ,при масштабной компрометации, быть использованы как часть ботнета.
Почему обеспечить надёжную кибербезопасность роботам крайне трудно
По словам экспертов, фундаментальная сложность заключается в природе самих роботов.
Робот - это система из систем, т.е сенсоры -> вычисления -> актуаторы. Любая задержка в передаче данных, пусть даже 100 миллисекунд, в ИТ-системе - это просто лаг; в роботе - это может быть падение, сбой или опасная ситуация.
Поэтому при разработке робота критически важна скорость отклика ("control loop"), как правило, не более миллисекунды. А стандартные меры защиты (шифрование, аутентификация, проверка целостности) замедляют этот цикл, что может сделать робота опасным для работы.
Как результат, многие производители жертвуют безопасностью ради скорости и удобства.
Существующие инициативы по повышению безопасности (например, расширения для Robot Operating System, так называемые Secure Robot Operating System, SROS) тоже далеки от совершенства. Даже они базируются на архитектуре, в которой уже есть фундаментальные уязвимости. Так что реализовать всё надёжно крайне сложно.
По словам одного из исследователей, "мы всё ещё очень-очень незрелы как отрасль с точки зрения безопасности".
Что нужно - рекомендации и направления для безопасного развития индустрии
По мнению авторов статьи, и исследователей в области безопасности, необходимо следующее:
Принять кибербезопасность как неотъемлемую основу для робототехнических систем не как дополнение, а как обязательное требование на этапе разработки. Это включает архитектуры типа "нулевое доверие" (zero-trust), строгую аутентификацию, контроль доступа, шифрование.
Создать и внедрить отдельные стандарты безопасности для гуманоидных роботов, потому что они представляют собой особый класс устройств. Не просто IoT, а физические "кибер-физические системы".
Повысить прозрачность: пользователи должны знать, какие данные передаются, куда, как часто, и иметь возможность отключить телеметрию; гарантировать, что передача данных идёт с согласия, и при этом данные хранятся/обрабатываются с учётом стандартов безопасности и приватности.
Рассматривать покупку или интеграцию гуманоидов не как игрушку или просто "умную машину", а как взаимодействие с полноценно сетевым, кибер-физическим устройством требующим соответствующего уровня ответственности.
Источник: https://www.darkreading.com/ics-ot-security/cybersecurity-risks-humanoid-robots