扫地机器人第一股,陷入“隐私门”
科沃斯严重安全隐患问题之后,需要认真查询问题源头、整改产品质量、杜绝问题隐患,才能重建企业护城河。
@科技新知 原创
作者丨余寐 编辑丨赛柯
智能家居的普及让万物互联时代变得愈发具象,打通了科技与人类生活的最后一道屏障。因此,产品安全与数据保护,无疑是人类让渡自身隐私——尤其是在家,这个最隐蔽角落的底线。
而近日,一件令人细思极恐的事发生了。在Def Con黑客大会上,家庭服务机器人品牌科沃斯被点名了。两位研究人员测试了科沃斯旗下的扫地机器人等多款产品,发现存在严重的安全漏洞:他们可以通过蓝牙轻松入侵并远程控制用户设备,并访问操作系统中的摄像头、麦克风等功能。
也就是说,扫地机器人可以成为一个近乎于“间谍”的存在。
8月13日,科沃斯方面作出回应,称实现上述攻击需要很多特殊的前提条件,且这些攻击方式仅对单台设备有效,不具备可复制性,因此在日常生活中发生攻击事件的概率很低,即使发生对用户隐私的侵犯程度也不大,用户无需担忧。
不过,在「科技新知」查看了这次研究的更多细节后,的确很难放下担忧。对品牌来说,如何修复市场的信任体系,也成了无法回避的问题。
Part.1
监视疑云
贴在科沃斯上的标签显示出它的市场地位——“扫地机器人第一股”。据官网,其服务超过5000万家庭用户,推出了中国第一台扫地机器人,旗下洗地机连续4年全国销量第一。
如今,科沃斯被“隐私门”风波推至风口浪尖。
先来看看这次测试的可信度。Def Con黑客大会,是全球最大、最具影响力的计算机安全大会之一,有着“黑客奥斯卡”之称。参与者不仅有全球顶尖的安全领域研究人员,还有安全局、调查局等政府机构的官员。
此次曝光科沃斯的两名安全研究人员是Giese和Braelynn。他们测试了科沃斯旗下的多款热销产品以确保其漏洞的普遍性,包括:
Ecovacs Deebot 900,Deebot N8/T8,Deebot N9/T9,Deebot N10/T10,Deebot X1,Deebot T20,Deebot X2,Goat G1,Spybot Airbot Z1,Airbot AVA以及Airbot ANDY系列。
研究人员称,他们曾联系科沃斯报告这些漏洞,但从未收到公司的回复。他们认为,这些漏洞如未修复,可能会被黑客利用。
根据研究人员的说法,科沃斯的家居机器人没有指示器等设备来提醒人们摄像头和麦克风已打开。尽管一些特定型号可以每五分钟播放一次音频,通知用户摄像头已开启,但可以被黑客轻松停掉。
通过被黑客入侵的Ecovacs设备看到的一只狗。(来源:Giese 和 Braelynn)
“黑客完全可以删除或用空文件覆盖该音频文件,这样一来,如果有人远程访问摄像头,则不再播放警告。”
除此之外,Giese和Braelynn还指出科沃斯设备的其他问题。比如:
即使删除用户的帐户,存储在机器人上的数据仍然会保留在科沃斯的云服务器上,认证令牌也继续留存在云端,让某人能够在删除帐户后继续访问,并有可能窥探接盘二手机器人的用户。
此外,一旦一台科沃斯机器人被“黑”,只要该设备在其它科沃斯机器人的范围内,那些设备也可能被攻击。
Giese在接受媒体采访时直言:“他们的安全性真的,真的,真的,真的很差(Their security was really, really, really, really bad)”。
事实上,科沃斯并非首个敲响扫地机器人隐私警钟的品牌。
2020年秋天,一张女子坐在马桶上如厕的照片出现在网络论坛上。除此之外,还有很多人们在家庭生活的场景,连面部表情都清晰可见。由于这些照片全都是仰视角度,很快,“偷拍者”的身份就暴露了——扫地机器人。
泄漏出的照片中,一位年轻女子正坐在自家马桶上。
彼时报道称,这些照片是由知名扫地机器人品牌iRobot拍摄的,这一功能主要用于机器学习和产品改进。委内瑞拉一家负责给iRobot进行图像标记的工作人员未遵守隐私协议,将照片泄露在了网络上。
事实上,Giese早在几年前就盯上了iRobot。他发现,iRobot管理软件中有一个名为“AI服务器”的文件夹,具有图像上传功能。如此分析,一些公司所谓的“摄像头数据永远不会被发送到云端”,其实很难成立。
更何况,如果这些公司自己不说,或没有遭到黑客攻击的话,没有人能够验证他们以“训练模型”为由从客户那里具体收集了什么。有时,公司会采用一些含糊的措辞差异来描述其数据使用政策,例如,它们可能会说自己是“共享”数据,而不是“出售”数据。
2022年,美国《麻省理工科技评论》曾对12个扫地机器人品牌的隐私政策进行了审查,发现包括iRobot、科沃斯等品牌都存在文字游戏。
如此,在数据使用的天平上,用户很容易成为弱势的一方。对如何避免相关隐患变为现实,科沃斯近日向媒体表示,公司将使用技术手段,限制第二账户登录、加强蓝牙设备相互连接的二次验证、增加物理操作触发蓝牙连接等方式强化产品在蓝牙连接方面的安全性。
科沃斯方面还称:“对方指出的产品问题并非‘漏洞’,而是行业共同面对的问题。”
Part.2
何以至此
比起产品问题,科沃斯近年被关注更多的仿佛是资本市场上的数字。毕竟曾经“扫地茅”的光环太吸睛了。
2018年,科沃斯圆梦上交所。从2020年4月起,只一年多光景,科沃斯市值狂飙,从15元/股涨到244.64元/股,涨幅超1600%。但好景不长,科沃斯股价便开始急速下跌。
与此同时,扫地机器人行业的新秀渐渐崛起,如成立于2014年的石头科技。与脱胎于制造业的科沃斯不同,石头科技背靠“小米系”,天然根植于互联网用户思维中。
来源:石头科技官网
老大哥地位不稳。2023年,科沃斯实现营收155.02亿元,归母净利润6.12亿元,同比下降63.96%。同期,石头科技营收虽然只有86.54亿元,但归母净利润达到20.51亿元,同比增长73.32%。
此次安全漏洞的曝光或许对科沃斯只是“偶然事件”,但偶发的背后早有必然的征兆。这些数据的另一面,便是科沃斯增长故事所遇到的挑战。
产品出了问题,首先看企业的经营策略发生了哪些变化。回溯科沃斯的发展史,的确能发现一些拐点。科沃斯创始人钱东奇眼光独到,有“风口之王”之称。1998年,他毅然放弃当时走向下坡路的吸尘器代工业务,决心建立自主品牌,押宝扫地机器人赛道。
乘着中国消费市场升级的东风,科沃斯发展提速,让钱东奇一跃成为国内的“机器人大王”。2018年,60岁的钱老将科沃斯交棒给儿子钱程。
据媒体报道,钱程主导建设了科沃斯的国际事业部,一心想扩充市场。他先是提出了“全球化、多品类、高科技”的九字经营策略,又推动科沃斯退出了赖以起家的服务机器人OEM业务及低端扫地机器人市场,试图聚焦中高端赛道。
围绕“多品类”,钱程一方面开辟机器人系列新产品,先后推出多功能空气净化机器人、擦窗机器人、扫拖吸一体机器人等家用清洁机器人产品,同时也布局了割草机器人等,试图突破室内场景的局限。
钱程的预判没有错,海外市场的确挣钱。但他没想到的是,科沃斯却在国内大本营失守了。在竞争激烈的行业价格战面前,科沃斯产品阵营的缺失,让其十分被动,只能硬着头皮降价促销。新产品火候未到,却要让利争夺市场,更是让企业陷入“增收不增利”的尴尬局面。
2023年的财报中,科沃斯方面也将利润“腰斩”的部分原因归咎于行业竞争加剧和国内市场中低价格段产品布局缺失。
对科技企业来说,面对日新月异的智能化生态,持续的创新研发费用是保持竞争力的核心。而相比同类品牌,近年科沃斯的研发投入比并不高,长期在5%上下徘徊。2023年虽整体费用稍提升,但占比仍低于其竞品。
与之形成对比的是销售费用的逐年上涨。据「科技新知」统计,自2020年至2023年,科沃斯销售费用占当年营业收入的比例逐年攀升。以2023年为例,科沃斯的销售费用为52.97亿元,同比增长14.60%,占总营收之比达34.17%。其中,占比最大的项目是广告营销及平台服务费,共计38亿元。
在对科沃斯的分析中,“重营销轻研发”策略受到普遍质疑。这或许也是其近年技术迭代稍显滞后的原因之一。据媒体报道,2023年5月,追觅针对“清洁死角”推出了搭载仿生机械臂技术的X20系列。而科沃斯则是在同年8月,才推出了对标的旗舰新品X2系列,只是将扫地机器人的形状从圆形修改为方形,厚度缩减得更窄。
Part.3
何以为本
科沃斯或许本可以避免这场风波。比如在收到两位黑客的问询时,甚至更早之前。
多家媒体注意到,在此之前,社交平台上早有网友表示了对科沃斯扫地机器人偷窥隐私的担忧。
来源:科沃斯官网截图有网友称,他发现自家购买的科沃斯Z1的摄像头,在没有人操作的情况下会自己升降,因此怀疑这个摄像头能自己打开关闭。另一网友也怀疑自家的扫地机器人是个“偷窥狂”,并得到评论区网友的认同。对方表示,她家的科沃斯机器人充电灯突然亮起,还发出了一个男人的声音,她没办法不怀疑自己被偷窥和监视了。
在此节点出事,科沃斯没赶上好时候。在经历渗透率增长瓶颈后,2024年上半年扫地机器人终于实现量额齐升,占据清洁电器市场头部份额,领跑市场大盘。奥维云网推总数据显示,2024上半年扫地机器人销额销量均实现两位数增长,销额同比18.8%,销量同比11.9%。
扫地机器人企业通过功能升级,形成技术壁垒,方才推动了市场复苏。未来,行业若想继续向上发展,必然将与用户需求产生更紧密的交织。那么,数据安全与用户体验,都将是企业不容出错的要点。
在去年8月的科沃斯新品发布会上,钱程曾炮轰友商:“靠抄袭得来的产品,永远只能是形似,更谈不上什么用户体验。”
而在“隐私门”风波里,科沃斯产品的问题,已经平等地变为行业共同面对的问题。
隐私安全问题绝无小事。企业与其叮嘱用户无需担忧,不如认真回归问题源头,钻研技术,提升产品,杜绝隐患,这样才能让用户吃下定心丸,也才能真正给企业构建护城河。