一、事件要点:论文指控三大问题
2025年9月26日,国际学术网站 arXiv 发布论文,题为《Security Analysis of the Unitree G1 Humanoid Robot》。论文通过拆解和抓包测试,指控中国人形机器人 Unitree G1 存在以下三大问题:
用户不知情的数据回传:论文称,该机器人在开机后每隔5分钟,自动向位于中国境内的服务器发送系统状态与传感器数据(包括位置、动作、电机温度、摄像头与麦克风信号等),且用户无法关闭。
弱加密和“通用密钥”问题:研究者声称,产品内部使用过时的加密算法和固定密钥,不同设备间密钥完全相同,可能被第三方解密数据内容。
蓝牙配网漏洞可远程控制:论文指出,通过蓝牙连接过程中的命令注入漏洞,攻击者可“获取设备控制权”,甚至利用设备发起网络攻击。
研究者据此推断,该产品可能违反欧盟GDPR与美国CCPA等隐私法规,并呼吁加强监管。
二、关注度高、放大风险强
该论文发布后迅速登上欧美科技舆论平台热榜,截至发布当天浏览量超过45万次,获得近300次转发、900余次点赞、400余次收藏。
欧美舆论普遍聚焦“中国产科技企业是否窃取用户隐私”,呼吁政府调查或禁用中国产智能设备。
此类论文往往会被:
监管机构引用:作为调查或立法风险评估的依据;
政界和媒体放大:与“国家安全”或“间谍风险”挂钩;
商业采购采用:被客户或合作方用作合规尽调参考。
即便该论文尚未同行评审,它已具备“政策证据化”潜力,可能对中国智能设备企业国际形象与市场准入造成实质影响。
我们认为,此事件反映出的并非单一品牌问题,而是所有在欧美市场涉及数据收集的中国科技企业都应高度警惕的合规信号。
包括:智能硬件与物联网厂商、人工智能公司、App开发者与SaaS平台、跨境云服务与大模型输出企业。
任何“默认联网回传”“未说明数据目的”“未提供用户关闭选项”的设计,未来都可能被放大为“安全隐患”或“间谍活动”。
立刻启动数据合规自查:检查产品、应用或后台服务是否存在未经用户明确授权的数据传输。
提升透明度与用户控制权:在用户界面中明示数据用途与存储位置,提供关闭或本地化选项。
针对欧美市场推出“本地合规版”:本地存储+第三方审计,满足GDPR、CCPA、NIS2等要求。
建立危机响应机制:准备英文问答与新闻通稿模板,出现舆情时48小时内回应。
五、对政策制定者的启示
建议制定《中国智能设备海外合规指引》,明确数据出境、用户授权、默认设置等标准。
推动行业协会建立海外负面研究快速回应机制,协调企业联合发声。
鼓励企业通过国际标准认证(如ISO 27001、IEC 62443),增强合规公信力。
这篇 arXiv 论文虽为学术预印本,但已形成高关注度与安全叙事化的传播格局。在当前地缘政治背景下,任何涉及跨境数据采集的中国企业,哪怕并非机器人制造商,都应将“数据可控、可见、可解释”作为海外合规底线。
我们建议企业以此次事件为警示,提前完成合规体检与外部沟通准备,避免成为类似报告的下一个案例样本。
如需获取数据合规自查清单或应急回应模板,欢迎联系 Morgan Lewis 中国业务团队。
附录:发帖人及论文作者背景
一、发帖人:Séb Krier
现任职务:据公开资料,Séb Krier 目前为 Google DeepMind 的 AGI 政策发展负责人(AGI Policy Development Lead),主要负责通用人工智能(AGI)相关政策、伦理与合规战略。
职业背景:
曾任英国政府“人工智能办公室(Office for Artificial Intelligence)”监管负责人(Head of Regulation),参与英国 AI 监管框架制定;
拥有法律与公共政策双重背景,在 AI 治理、政策制定与国际数据流动等领域具有发言权;
其研究与评论常发表于 Knight Columbia Center、AI Policy Perspectives 等政策与学术平台。
行业影响力:
Krier 属于欧美 AI 政策圈中较为活跃的“技术政策专家”型人物,兼具科技公司和政府监管视角;
由于其任职机构(DeepMind)及政策专长,其公开发言往往被视为反映 AI 治理界的主流安全关切,易被政策圈、媒体与智库引用;
因此,其发帖虽非官方声明,但可能被外界视为行业或政策信号,尤其在“数据跨境”“中国科技风险”等敏感话题中具有放大效应。
二、论文作者及研究机构
论文标题:《Security Analysis of the Unitree G1 Humanoid Robot》
作者:Francesco Petroni(主要作者)、Marco Vellani、Giorgio Fontana,均来自意大利安全研究机构 Zanichelli Venture Lab (ZVL),并与意大利帕维亚大学(University of Pavia)与博洛尼亚大学(University of Bologna)有合作背景。
研究机构背景:
Zanichelli Venture Lab (ZVL) 是一家聚焦 AI 安全与网络安全评估的私营研究实验室,部分研究得到欧盟创新委员会(EIC)资助;
该机构近期在 arXiv 平台发表多篇针对智能设备与 AI 模型安全漏洞的分析论文,研究风格偏向“漏洞披露 + 合规风险提醒”;
作者团队亦参与开发名为Cybersecurity AI (CAI) 的自动化分析框架,旨在评估 AI 系统潜在攻击面与隐私风险。
作者立场特征:
论文多以技术分析为切入,结论常指向“存在潜在隐私泄露或合规风险”;
虽无证据显示该团队具有政治背景或特定资金动机,但其研究成果往往被欧美安全媒体、政策评论者快速引用,进而形成舆论链条。
三、Morgan Lewis 评估
发帖人 Krier 兼具 DeepMind 政策身份与英国政府监管背景,其转发评论具有“放大器”效应;
论文团队来自欧盟创新资助背景的独立研究机构,技术方法具一定专业性,但尚未经同行评审,部分推断可能存在夸大风险;
由于双方身份叠加(AI 政策专家 + 安全研究机构),该事件极易在政策、媒体、合规圈层形成共鸣,触发对中国智能设备和跨境数据流动的放大审视。
廖律师在数据隐私、保护和网络安全领域拥有丰富的经验。廖律师为中国公司提供全球数据治理方面的建议,并协助他们进入海外市场,包括公共和数据隐私考虑、从海外到中国/欧盟的跨境数据传输、数据保护协议分析和监管合规摘要等问题。廖律师还为中国公司提供建议,帮助他们应对地缘政治问题的影响。通过合规尽职调查、起草与美国当局的沟通文件以及与第三方审计公司合作进行全面的 IT 安全评估,确保遵守美国政府对敏感个人数据收集、跨境传输和国家安全利益的担忧,提供战略支持。廖律师被《亚洲法律杂志》评为中国十五佳网络安全和数据保护律师。在跨境业务领域,廖律师还被《Lawdragon》评选为全球优秀数据安全律师。同时廖律师还入选BTI Consulting Group 客户服务全明星榜单,该年度榜单每年都会列出300名因其知识、复杂问题解决能力和对客户的响应能力而脱颖而出的美国律师。
教育背景
哈佛大学法学院, 2008, 法律硕士
华东政法大学, 2004, 法律硕士
江西师范大学, 2000, 法律学士
胡曦彦 律师
胡律师在数据隐私、数据安全和网络安全领域拥有丰富的经验。她经常为跨国公司提供有关个人信息保护、隐私政策、数据本地化、跨境数据传输、数据泄露应急响应、并购交易中的数据合规尽职调查以及与生命科学、汽车和金融行业相关的特定行业问题的法律咨询。同时,胡律师还就美国出口管制及制裁,制裁风险及合规事宜向中国客户提供法律支持。
教育背景
华东政法大学, 2014, 法学硕士, 国际金融法, 荣誉毕业生
交通大学, 2011, 法学学士
摩根路易斯律师事务所因其卓越的客户服务、法律创新能力及对业界的杰出贡献而驰名。我们的办公室遍布全球,横跨北美州、亚洲、欧洲及中东地区。在全球2200名律师及专业人士的精诚合作下,我们致力于为全球各领域的跨国公司乃至初创型公司提供最精英的法律服务。如需了解更多信息,请访问我们的网站:www.morganlewis.com