Der beliebteste menschliche Roboter der Welt: Über 50.000 Mal verkauft und erschreckend einfach zu hacken

Auf dem 39C3 haben Sicherheitsforscher gezeigt, wie sie den aktuell meistverkauften humanoiden Roboter nahezu komplett übernehmen können.

Jusuf Hatic
29.12.2025 | 20:20 Uhr

Ein Weckruf für Robotersicherheit? Auf dem 39C3 zeigen Sicherheitsforscher, wie einfach der Primus der humanoiden Roboter zu kapern ist. (© Unitree) Ein Weckruf für Robotersicherheit? Auf dem 39C3 zeigen Sicherheitsforscher, wie einfach der Primus der humanoiden Roboter zu kapern ist. (© Unitree)

Mit dem Ende des Jahres steht in Deutschland auch ein großes internationales Treffen der Hackerszene an: Vom 27. bis zum 29. Dezember lud der Chaos Computer Club (CCC) zum 39. Chaos Communication Congress (39C3) nach Hamburg ein. Unter dem Motto »Power Cycles« gab es wieder zahlreiche Vorträge zu bestaunen, die ihr euch unter anderem über die YouTube-Playlist zum 39C3 oder der offiziellen Event-Webseite ansehen könnt.

Ein Vortrag des Forscherteams »Dark Navy« rund um Shipei Qu, Zikai Xu und Xuangan Xiao nahm hierbei den Marktführer unter den humanoiden Roboter ins Visier. Das chinesische Unternehmen Unitree verkaufte den »G1«-Roboter nach Angaben der Forscher bereits mehr als 50.000 Mal. Das Problem: Laut dem Team hat es dieser Roboter mit Sicherheit nicht ganz so genau.

Video starten 56:06 Roboter-Alltag 2025: Wie nah sind wir an echten Haushalts-Bots?

Das »Air« im Modellnamen steht für luftige IT-Sicherheit

Grundsätzlich beleuchtet der Vortrag mit dem Titel »Skynet Starter Kit: From Embodied AI Jailbreak to Remote Takeover of Humanoid Robots« die Schwachstellen des Roboters in Sachen Hardware, Funkprotokollen, Netzwerkdiensten sowie der integrierten KI

Zu diesem Zweck kauften die Forscher ein »G1 Air«-Modell von Unitree, das um rund die Hälfte des eigentlichen Einkaufspreises günstiger ist, dafür aber auch nur einige vorgegebene Bewegungen ausführen kann.

Ziel des Experiments war, nicht nur Root-Zugriff, sondern auch Kontrolle über Motoren und Sensorik im Unitree G1 Air zu erlangen. So viel vorweg: Das ist den Forschern auch restlos gelungen. Den vollständigen Vortrag findet ihr im verlinkten YouTube-Video.

Empfohlener redaktioneller Inhalt

An dieser Stelle findest du einen externen Inhalt von YouTube, der den Artikel ergänzt.
Du kannst ihn dir mit einem Klick anzeigen lassen und wieder ausblenden.

Ich bin damit einverstanden, dass mir Inhalte von YouTube angezeigt werden.

Personenbezogene Daten können an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Link zum YouTube-Inhalt

LoRa- und Bluetooth-Schwachstellen in der Fernbedienung

Ein Einstiegspunkt bildet die Funkfernbedienung des G1 Air. Diese kommuniziert über LoRa-Radio (»Long Range«) mit einem SX1280-Chip und verwendet einen festen sechsstelligen PIN-Code für das Pairing.

Forscher Shipei Qu konnte das Blackbox-Protokoll - also des nicht öffentlich einsehbaren internen Aufbaus - hier mittels eines SDR-Geräts und GNU-Radio exakt nachbilden. Durch Brute-Force-Methoden wurde schließlich das Sync-Wort sowie die ständig wechselnden Funk-Frequenzen entschlüsselt.

  • Die Konsequenz: Jeder mit abgefangenen Paketen kann die Fernbedienung umgehen und den Roboter steuern – etwa die erwähnten Drehbewegungen oder Vor-/Rückwärtsgänge.
  • In einer Live-Demo kontrollieren die Forscher den Roboter per PC, während die Original-Fernbedienung ausgeschaltet bleibt.
  • Zusätzlich existiert eine bekannte Bluetooth-Schwachstelle aus älteren Unitree-Modellen (Go1/Go2), die auch im G1 wirkt. Sie ermöglicht unmittelbaren Root-Zugriff ohne Authentifizierung.

Unitree bestätigte bereits, dass kein Firmware-Update für die Hardware möglich ist, verspricht aber sicherere Protokolle in Folgemodellen.

Mehr zum Thema
Roboter statt Menschen: Amazon hat ausgerechnet, was die Umstellung in den nächsten Jahren bringen könnte
von Martin Brinkmann
Roboter statt Menschen: Amazon hat ausgerechnet, was die Umstellung in den nächsten Jahren bringen könnte

Die Netzwerk-Angriffsvektoren: WebRTC und MQTT

Im Netzwerkbereich nutzen die Forscher WebRTC und MQTT, die die zentralen Kommunikationskanäle des G1 darstellen.

  • Bei Unitree G1 fungiert WebRTC als eine Art »offenes Tor« zum Roboter. Im LAN-Modus – also wenn sich ein Angreifer im selben lokalen Netzwerk befindet – reicht die bloße IP-Adresse des Roboters aus, um eine Verbindung aufzubauen.
  • MQTT ist ein »Message Broker« – ein System, das Nachrichten ähnlich wie ein Postbote zwischen Geräten weiterleitet. MQTT funktioniert nach dem »Publish-Subscribe«-Modell: Ein Gerät veröffentlicht eine Nachricht zu einem bestimmten Thema, und andere Geräte abonnieren dieses Thema und erhalten die Nachricht.

Das kritische Problem bei Unitree: Die Authentifizierung ist trivial. Der Username ist die Seriennummer des Roboters – eine Information, die öffentlich oder leicht einsehbar ist; das Passwort ist wiederum daraus ableitbar. Ein Angreifer, der die Seriennummer kennt, kann sich also als legitimer Nutzer ausgeben. Durch Abfangen von Cloud-Nachrichten extrahieren die Forscher zudem JWT-Tokens, die User-Rechte simulieren.

Mit diesen JWT-Tokens umgehen die Angreifer die Cloud-Authentifizierung komplett. Sie können WebRTC-Sitzungen starten, den Roboter vom ursprünglichen Besitzer abtrennen oder Kamerabilder live streamen.

Die Forscher betonen, dass MQTT-Themen theoretisch »strikt getrennt« sind. Doch der Token-Bypass schafft einen »Skeleton Key« – einen Universalschlüssel, der alle Türen öffnet und damit einen vollständigen Pfad zur Fernkontrolle bietet.

Mehr zum Thema
Was kommt nach KI? Nvidia hat schon jetzt das nächste große Ding für sich entdeckt
von Jusuf Hatic
Was kommt nach KI? Nvidia hat schon jetzt das nächste große Ding für sich entdeckt

Der KI-Jailbreak: Wenn künstliche Intelligenz zur Waffe wird

Der G1 integriert auch einen Voice-LLM-Assistenten, der Sprachbefehle in Aktionen umwandelt. Xu entdeckte eine eval()-Funktion im Rotate-Handler (der Komponente, die Drehbewegungen steuert), die LLM-Ausgaben als Python-Code ausführt.

In Python gilt eval() gewissermaßen als »gefährlicher Befehl«, der beliebigen Code ausführt. Normalerweise sollte eval() nur vertrauenswürdige Eingaben verarbeiten – doch hier führt der Code direkt die Ausgaben des KI-Modells aus, ohne zu prüfen, ob sie sicher sind.

  • Per WebRTC und einer »Man-in-the-Middle«-Attacke leiten die Forscher den LLM-API-Endpunkt, sodass der Roboter mit einem gefälschten Server der Angreifer kommuniziert.
  • Ein Trigger-Satz löst im Anschluss eine sogenannte »Remote Code Execution« (RCE, Fernsteuerung) aus und ermöglicht so direkte Kommunikation für Motorsteuerung. In einer GeekCon-2025-Demo rennt der Roboter auf einen Menschen zu und führt einen Schlag gegen einen (hoffentlich eingeweihten) Besucher aus.

Der Unitree G1 zeigt somit ein Szenario von Sicherheitsmängeln auf mehreren Ebenen wie aus dem Lehrbuch: Das Netzwerk ist für lokale Angreifer offen (WebRTC ohne Authentifizierung), die Authentifizierung ist trivial zu brechen (MQTT mit ableitbarem Passwort), und die KI wird zum RCE-Einfallstor (eval() ohne Validierung).

zu den Kommentaren (5)
Kommentare(5)
Kommentar-Regeln von GameStar
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Kommentare einblenden

Nur angemeldete Benutzer können kommentieren und bewerten.

Ich habe ein Konto
Kostenlos registrieren
Neueste zuerst
Älteste zuerst
Top Kommentare
Aktuelle News
alle anzeigen
Kostenlos bei Epic: Für 0 Euro könnt ihr jetzt eine zweite Karriere als Profi-Elektriker starten, ohne das Haus zu verlassen   3     5

vor 45 Minuten

Kostenlos bei Epic: Für 0 Euro könnt ihr jetzt eine zweite Karriere als Profi-Elektriker starten, ohne das Haus zu verlassen
Endspurt beim Steam Spring Sale: Unsere wichtigsten Empfehlungen im schnellen Überblick kurz vor Schluss   1

vor 2 Stunden

Endspurt beim Steam Spring Sale: Unsere wichtigsten Empfehlungen im schnellen Überblick kurz vor Schluss
Scrubs: Sind JD und Elliot in der neuen Staffel noch ein Paar? Wir kennen jetzt die offizielle Antwort   10     1

vor 2 Stunden

Scrubs: Sind JD und Elliot in der neuen Staffel noch ein Paar? Wir kennen jetzt die offizielle Antwort
Ein Problem, das es seit dem ersten Smartphone gibt, könnte endlich gelöst worden sein - und das durch Nagellack   2

vor 17 Stunden

Ein Problem, das es seit dem ersten Smartphone gibt, könnte endlich gelöst worden sein - und das durch Nagellack
mehr anzeigen