這是 Yarbo 承諾修復那台撞到我的機器人修草機的計畫

昨天，我向各位講述了駭客如何利用割草機器人襲擊我的事件。我們解釋了由 Yarbo 生產的數千台帶有刀片的中國製機器人，是如何輕易被劫持的——任何隨機駭客都可以輕易獲取使用者的 GPS 座標、Wi-Fi 密碼、電子郵件地址等資訊。

今天，Yarbo 發布了一份長達 1,200 字的詳細回應，您可以在下方完整閱讀。該公司證實了安全研究員的發現，為此道歉，並提供了一項詳細計畫，以正面應對其自行造成的諸多安全問題。Yarbo 表示，他們已暫時切斷了遠端存取功能，並正在解決許多令人匪夷所思的問題，例如所有機器人都使用相同的 root 密碼，且密碼容易被駭客找到。

「未來，每台設備都將使用其獨立的憑證，以防止單一受影響的設備影響整個機隊。」Yarbo 寫道。該公司表示，他們的首波安全更新預計將在一週內推出。

然而，重要的是，Yarbo 尚未承諾移除這些機器人身上最令人擔憂的一點。該公司寫道，他們仍將保留一個遠端後門，但現在將「僅限於授權的內部公司人員使用，且必須在獲得使用者授權後才能使用，並將逐步納入審計記錄。」

需要明確的是，Yarbo 之前已經聲稱其遠端存取僅限於授權員工；我們的報導證明了這一點並非屬實。

但姑且給予該公司一個機會：為何不完全移除這個通道，或者使其成為可選安裝？為何 Yarbo 的客戶不能決定他們的機器人是否擁有一個持續存在的後門？我已就這些確切問題詢問了該公司，並將在其回覆後更新報導。

Yarbo 的聲明也試圖暗示我們看到的漏洞是由於「歷史性」或「舊有」服務造成的，這暗示著該公司的一些機器人可能更安全。我們已詢問 Yarbo 有多少比例的機器運行於這些舊有服務而非當前服務。

發現這些漏洞的安全研究員 Andreas Makris 表示，在 Yarbo 進行更改後，他尚未能夠檢查是否仍能存取這些設備。不過，聽起來該公司現在正認真對待此事。「Yarbo 已與我展開直接溝通，並採取了積極措施，建立了專門的安全響應中心。我們目前正在討論修復過程，他們向我保證，這些修復是他們的最高優先事項，」他說。

以下是 Yarbo 給客戶的完整更新：

我直接撰寫此文，是因為近期安全報告中提出的問題值得直接回應，而非企業式的回應。

2026 年 5 月 7 日，安全研究員 Andreas Makris 發布了一份詳細報告，指出了 Yarbo 的遠端診斷、憑證管理和數據處理系統中存在的嚴重漏洞。核心技術發現是準確的。我要感謝 Andreas Makris 先生在識別這些問題上的工作，以及他堅持不懈地將這些問題提請我們注意。我也認識到，我們最初的回應未能充分反映他所指出的問題的嚴重性。作為聯合創始人，我對我們產品的發貨負責，也對這次回應負責。

我們的工程、產品、法律和客戶支援團隊正將修復工作作為最高優先事項。以下是我對所發現問題、我們已修復的問題、我們正在積極修復的問題以及我們承諾未來將如何改變營運方式的說明。

根據我們的初步審查，這些問題主要與 Yarbo 的遠端診斷、存取管理和數據處理系統部分設計中的歷史選擇有關。

具體來說，某些舊有的支援和維護功能未能為使用者提供足夠的可見性或控制權，並且一些身份驗證和憑證管理機制未能達到我們對當今產品期望的安全標準。

我們還發現了存取權限、後端系統配置以及設備與雲服務之間數據流需要更強保護和更嚴格控制的領域。

我們認識到這些問題的嚴重性以及它們可能給我們的客戶和社群造成的擔憂。我們對由此產生的情況深表歉意，並致力於以透明和負責任的方式解決這些問題。

我們正在透過減少舊有存取路徑、收緊權限以及轉向完全可審計的設備級憑證來加強系統安全。為了讓我們的修復進度清晰可見，我們將已採取的行動與目前正在進行的工作分開。

作為此修復過程的一部分，舊有伺服器和舊有存取通道將繼續被逐一淘汰。

我們還在加速 OTA 安全更新和額外的伺服器端保護。首波更新預計將在一週內開始推出。重要提示：一個安全韌體更新正在推送到所有 Yarbo 設備。要接收此更新，請將您的 Yarbo 連接到互聯網。更新應用後，您可以恢復到您偏好的網路設定。如果您在此期間希望將設備保持離線，可以這樣做，而不會影響您的保固或服務涵蓋範圍。我們將在更新準備就緒時通知您，以便您可以短暫連接以應用更新。

此修復工作不僅限於單一修復或軟體更新。我們正在利用此過程來加強我們產品背後的長期安全架構和治理標準。

這些努力包括加強存取控制標準、改進身份驗證和授權模型、提高使用者對遠端診斷功能的可见性和控制力，以及進一步減少相關系統和基礎設施中不必要的舊有支援機制。

我們還將繼續擴大我們的內部安全審查、修復和治理流程，以支持未來更強的長期安全實踐。我們的目標是確保安全、透明和使用者信任能夠融入未來 Yarbo 系統和服務的基礎。

外部報告中的一些項目描述了真實的安全問題，而另一些則需要澄清，因為它們不適用於目前出貨的 Yarbo 產品，或不代表獨立的安全漏洞。

報告還提到 FRP 客戶端可能透過排程任務或服務恢復機制重新啟動。我們承認這可能會使手動禁用遠端存取通道變得更加困難，但核心問題在於遠端通道本身的存在、權限和策略。我們的修復重點是禁用或限制通道、引入允許列表和可審計性，以及移除不必要的持續遠端存取路徑。

報告提到文件監控行為，可以恢復某些已刪除的文件或服務。此機制最初設計為一種防禦性可靠性措施，以防止關鍵服務文件被意外刪除或損壞。它本身並非設計為遠端存取功能。

儘管如此，我們認識到任何使使用者難以移除與遠端存取相關組件的機制都可能引起信任問題。我們正在審查哪些文件應繼續受到保護，哪些組件應被移除、簡化或置於使用者控制之下。

歷史或非生產配置

一些發現涉及歷史基礎設施、舊有雲服務、經銷商特定客製化或內部測試配置。這些仍在審查中，並在必要時進行清理，但應將它們與目前出貨的生產單元的預設行為區分開來。

我們的目標是精確：我們不會淡化已確認的安全問題，但我們也希望使用者了解哪些發現適用於生產設備，哪些僅適用於歷史或客製化配置，以及哪些正在作為更廣泛的加固工作的一部分進行處理。

為了將來改進安全報告，我們將推出一個專門的安全響應通道和安全聯繫流程，用於漏洞報告和負責任的披露：

公眾還可以在我們官方網站「探索」部分下的 Yarbo 安全中心頁面上找到我們的安全聯繫資訊。