Kyberbezpečnost humanoidních robotů
Humanoidní robot dnes není jen chytrý stroj na nohou. Je to mobilní kyber‑fyzický uzel, který kombinuje senzory, middleware, síťové služby, vzdálenou správu a stále častěji i AI modely. Právě tahle kombinace dělá z humanoidů výrazně citlivější kategorii než běžné průmyslové roboty nebo kamery. Chyba už neznamená jen ztrátu dat, ale i riziko pro bezpečnost provozu, soukromí a fyzické prostředí. Systematizace znalostí z roku 2025 proto navrhuje hodnotit humanoidy jako samostatnou bezpečnostní třídu se sedmi vrstvami rizik a uvádí, že cloudové prvky typu telemetrie a OTA aktualizací jsou dnes už součástí jejich běžného ekosystému. [1]
Proč je Unitree G1 bezpečnostní téma
Podle oficiálních materiálů výrobce Unitree Robotics [2] má G1 depth kameru a 3D LiDAR, pole čtyř mikrofonů, Wi‑Fi 6, Bluetooth 5.2 a podporu OTA aktualizací. Vývojářská dokumentace zároveň uvádí, že hlava G1 používá kameru Intel RealSense D435i, tedy senzoriku vhodnou nejen pro navigaci, ale i pro detailní vizuální sběr dat. Z pohledu obrany to znamená jednoduchou věc. G1 není jen robotická platforma, ale také vysoce mobilní sběrné zařízení pro audio, video, prostorová data a provozní telemetrii. [3]
Oficiální aplikace Explore APP navíc umožňuje zobrazovat reálný stav stroje, teploty a alarmy, provádět kalibraci kloubů i IMU a obsahuje návody typu „Adding G1 & Network Setting“ nebo „Remote Control Connection“. Samotná dokumentace pro SLAM pak výslovně předpokládá, že operátor je ve stejné LAN jako robot a že běží příslušné služby. Veřejně dostupná dokumentace sama potvrzuje, že reálné nasazení G1 počítá se síťovým provozem, vzdálenou správou a provozem více služeb nad daty ze senzorů. [4]
Co dnes skutečně víme o riziku úniku dat
Nejdůležitější veřejné důkazy přinesly v září 2025 dva texty od výzkumníků z Alias Robotics [5]. Stručnější práce Cybersecurity AI: Humanoid Robots as Attack Vectors shrnuje, že na analyzovaném G1 běžely pravidelné přenosy multimodální telemetrie na vzdálené servery každých 300 sekund. Rozsáhlejší studie The Cybersecurity of a Humanoid Robot k tomu přidává síťové záznamy a ukázku telemetrického payloadu, který měl obsahovat mimo jiné stav baterie, IMU, polohy motorů, běžící služby a systémové využití prostředků. [6]
Tato rozsáhlejší studie dále tvrdí, že na robotu běželo více než 40 DDS datových toků vhodných k agregaci a přenosu. Uvádí kontinuální audio capture přes DDS topic rt/audio_msg, vizuální a depth stream přes RealSense kameru a topics pro video streaming, a také LiDAR point cloudy, voxelové mapy, GNSS a odometrii, které mohou odhalit nejen to: „co robot vidí,“ ale i to, jak vypadá prostor, kde se pohybuje. Právě tady je důležité nezjednodušovat. I IMU, stav motorů nebo odometrie mohou být citlivá data, protože při dlouhodobém sběru vypovídají o trase pohybu, způsobu používání zařízení a nepřímo i o dispozici prostoru a provozních návycích. [7]
Současně je potřeba držet se střízlivého závěru. Veřejná přímá evidence pro G1 je zatím úzká a stojí hlavně na dvojici bezpečnostních prací z roku 2025, které pozdější survey články a advisories dále citují. To ale vůbec neznamená, že lze problém ignorovat. Survey o kyberbezpečnosti humanoidů používá G1 EDU jako případovou studii a připomíná, že u humanoidů je třeba počítat s odposlechem audio/video streamů, replay útoky na IMU a odometrii i se zneužitím middleware. Navíc NIST [8] v databázi CVE eviduje pro rodinu Go2/G1/H1/B2 BLE command injection zranitelnost na společné firmware základně a starší model Go1 měl evidovaný i backdoor pro vzdálené ovládání. Praktický závěr je proto jasný. Riziko je veřejně doložené, byť zatím ne masově nezávisle zreplikované na všech verzích firmware. [9]
Které zdroje mají pro rozhodování největší hodnotu
The Cybersecurity of a Humanoid Robot: An Early Study via the Unitree G1
Nejdůležitější veřejná práce pro technické týmy, která obsahuje reverse engineering, mapu služeb, síťové chování, telemetrické payloady i praktické implikace pro audio, video, LiDAR a IMU. [10]
Cybersecurity AI: Humanoid Robots as Attack Vectors
Dobrý manažerský souhrn, který kondenzuje klíčové zjištění, že G1 může fungovat jako surveillance node i jako platforma pro další kybernetické operace. [11]
SoK: Cybersecurity Assessment of Humanoid Ecosystem
Tento dokument není o exfiltraci na konkrétním kusu G1, ale je velmi důležitý pro threat model. Zasazuje G1 EDU do širšího kontextu a ukazuje, že u humanoidů je třeba současně řešit sensing, middleware, rozhodovací vrstvu a cloudové služby. [12]
Vision-Language Models on the Edge for Real-Time Robotic Perception
Tento dokument je relevantní proto, že na G1 přímo ukazuje praktický rozdíl mezi cloudovým offloadingem multimodálních dat a edge nasazením. Autoři výslovně popisují privacy rizika při posílání raw video/audio do cloudu a argumentují pro edge zpracování. [13]
Cybersecurity of Teleoperated Quadruped Robots
Sekundární, ale užitečný survey, protože přebírá zjištění o G1 telemetrii a audio capture a vysvětluje, proč jsou kvůli sdílené architektuře relevantní i pro další roboty stejného výrobce. [14]
Tři realistické modely obrany
Při návrhu cybersecurity opatření dává smysl přistupovat k humanoidu jako k OT‑like aktivu. Podle definice NIST sem patří programovatelné systémy, které přímo působí na fyzické prostředí nebo je monitorují, což na humanoida přesně platí. Norma řady ISA[15]/IEC[16] 62443 pak stojí na rozdělení systému do zón a konduitů, stanovení cílových security levels a navazujících technických požadavcích na systém. [17]
První varianta – izolovaný síťový perimetr podle IEC 62443
Je ve většině organizací nejrozumnější řešení. Prakticky to znamená samostatnou OT zónu pro robota, ideálně oddělený switch nebo minimálně samostatný VLAN segment, žádnou přímou expozici do veřejné sítě, přísná egress pravidla, princip „deny all, permit by exception,“ a směrování povoleného provozu přes vlastní autentizovanou proxy nebo broker v DMZ. NIST k tomu doporučuje segmentaci, explicitně autorizovanou komunikaci mezi segmenty, stejně přísná pravidla pro odchozí provoz jako pro příchozí, centralizované logování a síťový monitoring. Další veřejné OT doporučení navíc říká, že přístup zvenčí má být brokerovaný přes bezpečnou gateway v DMZ a monitorovaný. Pro práci s LLM/VLM je vhodné robot od cloudu odstínit a modely provozovat lokálně na edge uzlu uvnitř stejné bezpečnostní zóny. G1 paper o edge VLM přímo ukazuje, že přesun inference z cloudu k datům snižuje privacy rizika i závislost na WAN konektivitě. [18]
Druhá varianta – offline deployment
Dává nejvyšší jistotu proti exfiltraci, ale za cenu omezení funkcí. Samotná bezpečnostní studie o G1 říká velmi přímo, že pro skutečně citlivá prostředí je air‑gap jediná cesta, která může zabránit úniku dat, ale současně výrazně omezuje funkcionalitu a popírá část zamýšlených use casů. To dobře odpovídá i oficiálním materiálům. G1 je navržen s OTA, síťovým nastavením, vzdáleným ovládáním, LAN službami pro SLAM a aplikací pro diagnostiku a kalibraci. Offline režim proto dává smysl hlavně tam, kde robot plní konkrétní, předem definované úkoly a organizace je ochotna obětovat komfort, vzdálenou správu i část AI workflow. [19]
Třetí varianta – zásah do firmware
Přepis interního firmware nebo hluboký zásah do binárních souborů. Jedná se o technicky největší a provozně nejnáročnější zásah. Veřejná studie o G1 popisuje, že pokusy telemetrii vypnout narážely na automatický restart procesů přes master_service, šifrované konfigurační soubory, ochranu proti debugování a binární obfuskaci. Oficiální záruční podmínky výrobce navíc říkají, že neoprávněná modifikace, rozebrání či otevření zařízení ruší záruku, a výslovně upozorňují i na škody vzniklé ve vývojářském režimu s vlastními programy. V praxi tedy tato cesta dává smysl jen tam, kde je cílem suverénní provoz za cenu vlastního dlouhodobého vývoje, vlastní servisní kompetence a akceptace ztráty části originální funkcionality včetně aplikace, OTA a některých servisních workflow. [20]
Doporučená výchozí architektura
Pro většinu podnikových, výzkumných a veřejných nasazení doporučujeme G1 provozovat jako nedůvěryhodný OT uzel v oddělené zóně, bez přímého internetu, s vlastním firewallem, autentizovanou proxy v DMZ, lokálním edge uzlem pro ASR/VLM/LLM a s centrálním observability serverem, který sbírá logy z firewallu, proxy, aplikací, síťových toků a robotických služeb. Tím se přesně naplní to, co od IEC 62443 a OT guidance čekáme. Bezpečné konduity, omezené datové toky, monitorovatelné rozhraní a auditní stopa nad tím, kdo se robota ptal, jaké příkazy přijal a kam se pokusil komunikovat. [21]
Pokud má robot vstupovat do prostor s citlivým know‑how, osobními údaji, zdravotnickou dokumentací nebo neveřejnou výzkumnou infrastrukturou, měla by být součástí přejímky vždy i praktická validační zkouška. Packet capture při prvním zapnutí, inventory všech aktivních služeb, baseline provozu, allowlist povolených komunikací a průběžný monitoring odchylek. Veřejně dostupný stav poznání totiž neříká, že „každý humanoid je automaticky špion,“ ale říká dost jasně, že bez síťové segmentace, řízeného egressu a důsledného logování se humanoid velmi rychle může stát chodícím senzorickým bodem s nejasnou datovou suverenitou. [22]
Zdroje
Doktorand v oboru informatiky na Fakultě elektrotechnické ČVUT v Praze a výzkumný pracovník i team leader v RICAIP Testbed Prague na CIIRC ČVUT. Navazuje na magisterské studium v oboru Průmysl 4.0 na Fakultě strojní ČVUT. Ve své práci se zaměřuje na virtuální uvádění do provozu, digitální dvojčata, průmyslový metaverse a přístupy sim-to-real, v jejichž rámci propojuje akademický výzkum s konkrétními průmyslovými aplikacemi. Významnou součástí jeho odborného zaměření je také využití platformy NVIDIA Omniverse pro návrh, simulaci a validaci komplexních průmyslových scénářů. V rámci aktivit ICHR se věnuje rozvoji partnerství a podpoře spolupráce mezi výzkumnou sférou a průmyslem.