كشف باحثون في مجال الأمن السيبراني عن ثغرة خطيرة في روبوتات شركة Unitree Robotics، تشمل الروبوتات ذات الأرجل الأربعة (Quadruped) والروبوتات الشبيهة بالبشر (Humanoid)، ما أثار مخاوف من إمكانية شن هجمات سيبرانية واسعة النطاق.
في 20 سبتمبر 2025، أعلن الباحثان أندرياس ماركيس وكيفن فينيستيرري عن ما سُمي بـ “UniPwn”، والذي يؤثر على روبوتات Unitree Go2 و B2 من فئة الأرجل الأربعة، وكذلك روبوتات G1 و H1 من فئة الإنسان الآلي، والتي تُستخدم بالفعل في المختبرات والجامعات وأقسام الشرطة.
ترتكز الثغرة على إعداد البلوتوث منخفض الطاقة (BLE) في هذه الروبوتات، إذ تستخدم مفاتيح تشفير مضمّنة في البرمجيات (hardcoded) سبق أن كُشفت على الإنترنت، ما يجعل جميع الأجهزة عرضة للهجوم بطريقة متطابقة. وبفضل هذا الأمر، يمكن للمهاجمين الحصول على صلاحيات جذرية (root access) لاسلكياً، وتحويل روبوت واحد إلى شبكة زومبي (botnet) تنتشر إلى روبوتات أخرى ضمن النطاق.
الأمر الأكثر إثارة للقلق هو أن روبوت G1 يرسل بيانات إلى خوادم في الصين كل خمس دقائق بدون إذن المستخدم، الأمر الذي قد يُستغل لشن هجمات سيبرانية أو التجسس.
وردّت شركة Unitree على هذه التقارير في بيان على LinkedIn بتاريخ 29 سبتمبر، مؤكدة أن غالبية الإصلاحات جارية وستُطرح قريبًا.
إلا أن الخبراء يحذّرون من أن هذا النوع من الثغرات في روبوتات متحركة وقوية يشكّل خطورة أكبر من عيوب أجهزة إنترنت الأشياء التقليدية. وأوصى فيكتور مايورال‑فيلش من Alias Robotics بأن يعطل المستخدمون البلوتوث ويعتمدوا على الواي فاي فقط حتى يتم تطبيق حماية أقوى.
وانتقد ماركيس شركة Unitree لأسلوبها الضعيف في التواصل مع العملاء بشأن القضايا الأمنية، متسائلاً عمّا إذا كانت هذه الأخطاء نتيجة إهمال أو أنها مقصودة في التصميم.
مع تزايد استخدام الروبوتات في المجالات العامة والبحثية والشرطية، تبرز هذه الحادثة درسًا مهمًا: في عالم الروبوتات، الأمن والشفافية ليسا خيارًا بل ضرورة حتمية.
