物联网安全，老生常谈还是创新前沿？DePIN提供了新的想法

你们还记得Rabbit，前不久红了。 R1和AI Pin？最近，他们接连被曝出安全漏洞，使得买主的热情翻了180度。

我们仍然记得这两种设备，Rabbit R1拥有丰富的人机交互方式，如触摸屏、旋转摄像头和滚轴，可以播放歌曲、在线购物和发送信息，甚至可以通过训练学习和操作特定的应用程序。

而AI 另一方面，Pin被其开发者Humane定位为人们的“第二大脑”，希望通过创新的硬件交互技术，提供与智能手机相媲美的体验。

但是，安全研究人员最近透露，Rabbit 硬编码的API密钥嵌入R1的源代码中。这个严重的安全漏洞可能会让攻击者轻松浏览设备中的所有内容，注意“所有内容”没有死角，包括设备给出的每一个响应。

而AI 在预购期间，Pin也因评估结果不佳而失败，发货后更是无人问津。

Rabbit R1和AI Pin的遭遇，反映了AI大型智能产品在安全方面的不足是普遍存在的问题。

事实上，安全问题并不是AI大型智能产品所独有的，而是任何新技术产品都必须面对的挑战。过去，许多智能家居和可穿戴设备也暴露出类似的安全漏洞，严重威胁了用户的隐私和财产安全。

通过这篇文章，我们将探索物联网安全困境的根源，与您分享一些最新的调查统计数据，并讨论我们是否能创建一些新的安全解决方案。

智能化“侧门”？探索物联网安全困境的根源

这几个时刻守护着我们家安全的“智能护卫”，自己是否也隐藏着隐患，变成了智能“侧门”？

智能化产品的入侵方式不仅多种多样，而且多种多样。

智能锁可以解锁门，让侵略者轻松进入；智能玩具会记录玩家的声音，并在线泄漏记录；智能真空吸尘器可以远程跟踪家居布局或监控房间活动，从而帮助黑客规划进一步的活动和行动；家庭网关可以连接到假冒或恶意网站下载恶意程序，窃取个人信息或远程操作联网设备...

近日，亚马逊上销售的各种网络名人智能门铃产品的漏洞被曝光。安全研究人员发现，这些知名品牌的视频门铃产品存在严重的安全漏洞，轻度产品可能泄露用户隐私，严重危及人身安全。

更令人惊讶的是，只有通过一个泄露的设备序列号，罪犯才能“监督”你的家庭，窥探你的一举一动，而不会显示任何痕迹。即使你发现了线索，换了一个新的门铃，对方还是可以跟着后台的漏洞走。

智能门铃只是智能产品领域的冰山一角，智能家电、可穿戴设备、车联网等多个细分领域都在上演类似的安全事故。

物联网安全问题的根源在于行业生态的不完善，尽管我们已经习惯了被各种物联网硬件包围，但它仍然是一个新的领域。

虽然物联网设备的技术创新很重要，但安全和隐私保护应该是产品设计的核心。不幸的是，由于R&D能力不足、市场压力过大等因素，许多制造商对产品安全性不够重视，缺乏长远眼光。

同时，行业标准和监管机制的滞后也使问题产品利用了这一点。虽然物联网安全标准和法规相继出台，但在具体实施中仍存在诸多盲点。此外，由于客户安全意识薄弱，维权渠道不畅，不良厂商很难得到应有的惩罚。

一些国家正试图应对日益突出的智能设备安全问题。举例来说，美国联邦通信委员会(FCC)建立“美国网络信任标志”自愿网络安全产品标签计划，旨在帮助消费者选择经制造商认证的智能互联网设备，防止黑客、诈骗犯和其他网络犯罪分子入侵。亚马逊、百思买、谷歌等公司已经承诺加入这个计划，但具体推出时间尚未确定。

这些安全问题可能会成为物联网设备进一步普及的隐患，千里之堤溃于蚁穴。

IoT公司应对安全挑战的成熟度评估

外媒《消费者报告》对IoT厂商面对安全漏洞的成熟度进行了调查，并制定了包括10个问题在内的问卷，包括理想漏洞披露计划应具备的关键因素。56家受访企业的回复为我们提供了宝贵的意见。

调查结果表明，大多数制造商(72%)已经为安全研究人员提供了特殊的漏洞报告联系方式。

毫无疑问，这是一个积极的信号，表明行业已经认识到，畅通的沟通渠道是漏洞披露系统的基础。

但是，调查还发现，只有66%的受访者公开出台了正式的漏洞披露政策。

缺乏明确的“游戏规则”可能会影响研究人员的参与热情和信任。调查建议，即使是创业公司也要尽快制定和发布漏洞披露政策，向研究人员传达开放、负责、合作的态度。

完善的漏洞披露计划不仅要处理好眼前的单个漏洞，还要有一定的前瞻性。比如评价产品线漏洞的影响程度，防患于未然；建立漏洞知识库，防止类似问题频繁发生；适度参加外部安全会议和激励计划，与安全社区保持互动，紧跟形势发展。

调查报告还反映了不同企业在这些方面的差异。

值得注意的是，漏洞披露并不是一个简单的技术问题，而是涉及法律和伦理。

研究人员需要以负责任的方式工作，而制造商需要以贤明的态度对待他们的发现。双方在信息发布时间和方法上达成共识，避免因理解矛盾或处理不当而引发不必要的纠纷甚至诉讼。

令人欣慰的是，大多数受访公司都明确表示，只要研究人员遵循披露政策，他们就不会采取法律行动。这有利于营造良性互动的氛围。

总体而言，这份调查报告有喜有忧。

另一方面，IoT厂商普遍重视漏洞披露，并采取了一系列积极措施。

另外，在披露政策的完善、对研究人员的激励保障等方面，还有很大的提升空间。

但愿这一调查的结果能够引起业界对漏洞披露机制的更多思考，促进形成更成熟、更规范、更可持续的良好实践。

DePIN可能会为IoT安全插入创新之翼。

网络设备的安全问题已成为全球关注的焦点，建立健全的漏洞披露机制被视为应对的关键环节。

虽然目前业内相当一部分公司已经使用了漏洞披露计划，但仍有很大的改进空间，尤其是在直接关系到客户物理安全的产品领域，如智能锁、智能摄像头、安全系统等。

去中心化物理基础设施网络在实践物联网安全解决方案的过程中(DePIN)它为行业提供了一些有益的思考和启发。

区块链技术具有不可篡改、可追溯的特点，可用于构建IoT设备的身份验证、密钥管理等安全机制，提高设备抵御黑客攻击的能力。

基于区块链的智能合同可以实现IoT设备之间的可信互动和协同，减少对集中平台的依赖，从而减少系统的攻击面。

DePIN倡导的社区合作治理模式，鼓励所有利益相关者共同参与安全治理，也有助于加快发现和修复漏洞的速度。

DePIN构建的分布式物理基础设施也为IoT设备的安全管理提供了新的可能性，例如利用区块链构建设备的“身份文件”，以便于跟踪其软硬件版本和漏洞修复。

另外，DePIN的分散网络结构，能有效地防止单点故障，提高系统的鲁棒性和容灾能力。

分布式数据存储和计算模式也使得物联网数据的隐私保护和主权控制成为可能。基于DePIN平台的IoT应用将更加安全、可靠和高效。

当然，DePIN能在多大程度上帮助物联网安全，还有待在实践中进一步探索。

DePIN作为一种全新的技术范式，给行业带来了创新的思路，但要真正弥补IoT公司在漏洞治理上的不足，企业和整个市场都要不懈努力。

写在最后

所有这些事件都警告我们，智能设备的安全问题已经到了迫切的程度。为了提高智能设备的安全性，产业链需要多方的合作，尤其是制造商的高度重视和持续投资。

同时，我们能否探索一些创新的安全解决方案？

例如，利用区块链技术构建分散的物理基础设施网络DePIN，通过分布式账本、智能合同、数字身份认证等机制，从底层重塑IoT系统的可靠基础，使每个接入的智能终端都能获得可验证的安全保障。

它或许为智能设备的安全问题提供了全新的思路，但是未来的物联网安全，最终会由每个参与者共同撰写。

参考资料：

These Video Doorbells Have Terrible Security. Amazon Sells Them Anyway，来源：consumerreports.org

Who Ya’ Gonna Call? Why IoT Companies Should Embrace Vulnerability Disclosure Programs，来源：consumerreports.org

Going Down a Rabbit Hole to Jailbreak the R1，来源：hackster.io

本文来自微信公众号“物联网智库”（ID：作者：彭昭，36氪经授权发布，iot101)。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com