Unitree Go1 Robot Dog Backdoor Control Channel 漏洞信息(CVE-2025-2894)

一、漏洞 CVE-2025-2894 基础信息

漏洞信息

                                        # Unitree Go1 机器狗后门控制通道

## 漏洞描述

### 概述
Go1，一款被称为“全球首款消费级智能仿生四足机器人伴侣”的设备中存在未记录的后门。通过该后门，制造商以及任何持有正确API密钥的人都可通过CloudSail远程访问服务对受影响的机器人设备进行完全控制。

### 影响版本（如有）
未提供具体影响版本信息

### 细节
- **类型**：未记录的后门漏洞
- **触发条件**：持有正确的API密钥即可利用该后门。
- **技术细节**：通过CloudSail远程访问服务进行远程控制。

### 影响
- 制造商和任何持有可能正确API密钥的人都能完全控制此机器人设备。
- 潜在威胁包括但不限于未经授权的物理移动、数据窃取以及滥用等。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Unitree Go1 Robot Dog Backdoor Control Channel

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Go1 also known as "The World's First Intelligence Bionic Quadruped Robot Companion of Consumer Level," contains an undocumented backdoor that can enable the manufacturer, and anyone in possession of the correct API key, complete remote control over the affected robotic device using the CloudSail remote access service.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

隐藏功能

来源：美国国家漏洞数据库 NVD

漏洞标题

Unitree Go 1 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Unitree Go 1是中国Unitree公司的一款机器狗。 Unitree Go 1存在安全漏洞，该漏洞源于未记录的后门，可能导致制造商或持有API密钥者完全远程控制设备。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-2894 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-2894 的情报信息

标题： YushuTechUnitreeGo1/Unitree_report.pdf at main · MAVProxyUser/YushuTechUnitreeGo1 · GitHub -- 🔗来源链接

标签： technical-description
神龙速读
https://x.com/d0tslash/status/1730989109332607208 related
标题： Zhexi Oray Tunnel Backdoor in Go1 has been disclosed please advise... · Issue #120 · unitreerobotics/unitree_ros -- 🔗来源链接

标签： issue-tracking
神龙速读
标题： CVE-2025-2894 :: AHA! -- 🔗来源链接

标签： third-party-advisory
神龙速读
标题： Chinese robotics manufacturer left backdoor in product -- 🔗来源链接

标签： media-coverage
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-2894