科沃斯的“洞”，有多大？|科沃斯_新浪财经

图源：科沃斯官微

“一号位”需要思考的是，怎么才能在竞争过程中变得更加皮实，能打硬仗。

苗野/发自上海

科沃斯，股价还在下跌。

截至8月16日收盘，科沃斯下跌1.23%，报37.05元/股，总市值210.89亿元，相较最高点市值蒸发了80%。

这背后是科沃斯被曝安全漏洞，深陷隐私安全的质疑。

近日，在Def Con黑客大会上，两名安全研究人员丹尼斯·吉斯（Dennis Giese）和布莱恩（Braelynn）称，科沃斯产品的主要问题在于存在一个漏洞，任何人只要使用手机，就能通过蓝牙从450英尺（约130米）远的地方连接并控制科沃斯机器人。攻击者可通过这些漏洞利用设备内置的摄像头和麦克风监视用户。

研究人员分析了科沃斯的10多款热销产品，覆盖扫地机器人、割草机器人和空气净化机器人。并表示他们曾联系科沃斯报告这些漏洞，但未收到回复，他们认为这些漏洞可能仍未修复，可能会被黑客利用。

“他们的安全性真的非常非常糟糕。”丹尼斯·吉斯在接受采访时说。

旋即“扫地机成‘偷窥工具’” “扫地机器人变身‘间谍’”“ 扫地机变‘监视工具’”等词条冲上热搜，科沃斯的股价也开始了“跌跌不休”。

8月13日，针对旗下产品存在安全漏洞的质疑，科沃斯回应称，这是技术攻防中的破解手段，但在日常生活中属于非正常手段，公司将使用限制第二账户登录、加强蓝牙设备相互连接的二次验证等技术手段强化产品在蓝牙连接方面的安全性。

但是研究人员所提及的科沃斯产品，如EcovacsDeebot900系列、EcovacsDeebotN8/T8、EcovacsAirbotANDY等多款产品均已在科沃斯官方旗舰店下架。

针对科沃斯产品可能存在的安全漏洞等问题，记者致电并发送采访提纲到科沃斯投资者联系部，截至发稿暂未获得回应。

扫地机变“监视工具”，科沃斯被曝安全漏洞

“你发送一个有效载荷，只需一秒钟，它就会重新连接到我们的机器。例如，它可以重新连接到互联网上的服务器。从那里，我们可以远程控制机器人。”丹尼斯·吉斯说，我们可以读取Wi-Fi凭证，我们可以读取所有（保存的房间）地图，访问摄像头、麦克风等等。

Def Con黑客大会被誉为黑客的“奥斯卡”，于上周末在美国拉斯维加斯举行，旨在分享安全社区的最新研究、黑客技术和知识。

上述研究人员表示，割草机器人始终开启蓝牙，扫地机器人在开机时会启用蓝牙20分钟，并且每天自动重启一次，这使得扫地机器人更难被黑客入侵。由于大多数新型科沃斯机器人都配备了至少一个摄像头和一个麦克风，一旦黑客控制了被攻击的机器人，这些机器人就可以变成“监视工具”。然而这些机器人没有硬件指示灯或任何其他指示来提醒周围的人摄像头和麦克风已打开。

图源：科沃斯官微

在黑客攻击的风险之外，研究人员还发现了科沃斯设备的其他问题，包括即使删除用户账户后，机器人上存储的数据仍会保留在科沃斯的云服务器上，身份认证令牌也会保留在云端，允许在删除账户后，用户仍可以访问扫地机器人，并有可能监视购买了二手机器人的人。

此外，割草机器人的反盗窃机制要求有人捡起机器人时输入PIN码，但PIN码以明文形式存储在割草机内部，因此黑客可以轻易找到并使用它。如果一台设备被黑客入侵，攻击者甚至还能访问附近的其他科沃斯机器人。

研究人员分析存在安全漏洞的科沃斯设备有：EcovacsDeebot900系列、EcovacsDeebotN8/T8、EcovacsDeebotN9/T9、EcovacsDeebotN10/T10、EcovacsDeebotX1、EcovacsDeebotT20、EcovacsDeebotX2、EcovacsGoatG1、EcovacsSpybotAirbotZ1、EcovacsAirbotAVA、EcovacsAirbotANDY。

“安全隐患不影响普通用户”，科沃斯否认“漏洞”

头顶“扫地机器人第一股”光环，科沃斯于2018年5月在上交所挂牌上市，并创造了千亿“扫地茅”的传奇。目前科沃斯以30.5%的份额占据扫地机器人市场的第一位。或因此让其成为研究员的分析目标。

8月13日下午，科沃斯召开“针对数据安全相关疑问回应”的电话会称，公司已成立安全委员会对产品安全性进行评估。评估认为现有产品使用的验证连接方式不会对普通用户构成威胁，因为黑客需要用专业的工具，近距离或物理接触机器才能实现破解，且不可复制。同时公司也会加强产品安全措施，包括强化证书验证、加强网络劫持应对，实时监控漏洞、定期更新加密技术等降低黑客入侵风险。

科沃斯方面认为，对方指出的产品问题并非“漏洞”，而是行业共同面对的问题，即产品在使用验证连接的过程中可能会被黑客或不法分子“钻空子”，但如果不用物理方式接触公司的产品或者不在离产品比较近的范围内，他们无法破解。从去年年底开始，科沃斯一直在更换加密算法以增加破解难度。

图源：科沃斯官微

科沃斯大中华区公关总监马宪彬表示，DennisGiese和Braelynn两位安全研究人员一直以来对我国扫地机器人企业的产品安全很感兴趣，对国内其他品牌的产品也做过一些研究。所谓“漏洞”属于技术讨论层面，在某一个特定时间，对方发现了一个可以入侵设备的途径。在态度上，公司很欢迎这种限制在技术讨论范围内的问题。

针对研究人员曝光的割草机蓝牙连接安全隐患，科沃斯方面表示，和苹果耳机类似，100米范围内，任何手机都能发现割草机器人，目前机器采用的安全机制是“PIN码验证+物理按键”的双重验证连接方式，且不断更新验证方式以防止黑客劫持割草机。

“我们认为购买产品的用户不必为这个事过虑，至少我们现在掌握的情况是不会影响到普通用户。这类安全隐患不构成对消费者日常使用的威胁，只是黑客的一种研究方式。”马宪彬表示。

实际上，在科沃斯内部，CEO钱程一直希望科沃斯能从软件、硬件、机电控制、算法等层面突破。他也舍得在研发上斥巨资，过去一年，科沃斯研发费用达8.24亿元，同比增长10.8%。但这一次安全隐私风波直指钱程口中的“高科技”，“内忧外患”下，这位企二代能否再 “坦诚检讨”力挽狂澜？

“扫地茅”业绩“扫地”，市值蒸发超千亿

昔日“扫地茅”，处在低谷中。

深陷隐私安全“质疑”的科沃斯，业绩也在遭遇下滑的困境。尤其是归母净利润从2022年到2024年一季度，一直处于负增长的趋势。

今年一季度科沃斯实现营业收入34.74亿元，同比增长7.35%；实现归母净利润2.98亿元，同比下滑8.71%。

从数据上来看，科沃斯“增收不增利”的情况在一季度有所改善。整个2023年全年，科沃斯的营业收入为155.02亿元，同比增长1.15%；归母净利润为6.12亿元，同比下降63.96%；扣除非经常性损益后的净利润为4.84亿元，同比下降70.26%。

营收增速放缓，净利润连续下滑，曾被视为高成长性的科沃斯业绩开始显露疲态。

“报告期内，国内消费市场整体复苏乏力，行业竞争加剧，叠加公司扫地机器人国内市场中低价格段降本款产品布局有所缺失，且对新业务领域投入显著增加，共同压低公司整体利润表现。”科沃斯解释称。

除此之外，高企的销售费用正在“吞噬”科沃斯的利润。

过往年报数据显示，2019年～2022年，科沃斯的销售费用从12.32亿元增至46.23亿元，销售费用率从21.58%攀升至30.18%。到了2023年，科沃斯销售费用达到52.97亿元，同比增长14.6%，销售费用率进一步上涨至34.2%。而友商石头科技2023年的销售费用为18.17亿元，占营收比重为21%。

营销上的大手笔投入未能给科沃斯带来市占率的提升。

公开数据显示，2023年，科沃斯、石头科技、追觅的扫地机器人产品线上销售额市占率分别为34.4%、23.9%、13.9%，同比变化分别为-5.5%、2.6%、7%；线下销售额市占率分别为70.6%、14%、5.6%，同比变化-14.4%、9.3%、5.5%。