被曝安全漏洞后，Yarbo割草機器人將取消遠程后門

一臺割草機器人從背后撞上來是什么體驗？The Verge記者Sean Hollister去年就嘗到了這個滋味。更離譜的是，安全研究人員后來發現，這臺機器還留著一個"后門"——任何人都能通過互聯網遠程控制它。

現在，Yarbo改口了。公司聯合創始人Kenneth Kohlmann向The Verge承諾，將徹底移除這個遠程后門功能，而且把選擇權交給用戶：裝不裝，你說了算。

這事得從上周說起。安全研究員Andreas Makris輕松演示了如何在全球任意地點劫持這些帶刀片的機器人，還能讀取用戶的郵箱地址和GPS位置。Yarbo周五緊急回應，承諾修補這些漏洞。但對于最敏感的后門問題，公司的態度一度曖昧——他們聲稱需要保留遠程診斷能力，讓"授權內部人員"能幫助用戶排障。

The Verge上周追問：用戶難道不該有權決定自己的機器有沒有后門？Yarbo發言人Showan Hou和Maggie Zhou周六的答復是：不行。"完全移除遠程診斷能力會降低我們幫助客戶解決安全、連接和服務問題的效率，"他們寫道。公司當時只說"正在考慮解決方案"，或許會讓用戶選擇退出。

轉機出現在周一。Kohlmann在機場撥通了The Verge的電話：公司決定更進一步，把后門改成" opt-in"——默認沒有，只有你主動想要遠程協助時才會安裝。"未來除非用戶選擇加入，否則不會有遠程后門，"他說。

不過Kohlmann也打了預防針：徹底移除這個"隧道"需要時間，而且必要的安裝文件可能仍會留在機器的內部存儲里。"最可能是一個安裝腳本，平時什么都不做，除非用戶觸發，"他解釋，"用戶觸發后，才會安裝一個臨時的一次性隧道。"

他的建議是：先嘗試上傳日志文件給技術支持。搞不定的話，再考慮裝那個遠程訪問功能。

Yarbo是否兌現承諾，外界可能很難驗證——因為報道發出后，公司已經開始加固機器人系統（這倒是應該的）。Kohlmann說，每臺設備很快會有唯一的root密碼，Yarbo不會提供給終端用戶；固件更新已推送給首批1000臺機器，更多批次正在跟進。

一個割草機器人公司，從"我們需要這個后門"到"用戶說了算"，中間只隔了一篇報道和三天時間。這個轉變本身，或許比技術細節更值得玩味。