#安全资讯 国产 KVM 切换器被发现内置麦克风，原因未知，并且还被发现硬编码密码或密钥，存在严重的安全隐患。NanoKVM 是深圳矽速推出的产品，该产品被研究人员发现存在极小的麦克风，并且 SSH 密码也是预设的，Web 登录界面的加密密钥也是硬编码的，在连接到公网后可能会被攻击。查看全文：https://ourl.co/111311

来自斯洛文尼亚的安全研究人员在 2025 年 2 月发布分析报告揭露 NanoKVM 切换器存在的安全问题，研究人员本着负责任的态度将多种安全问题报告给制造商，经过多次沟通后目前制造商已经对漏洞进行修复。

这款远程管理设备是深圳矽速科技有限公司 (Sipeed) 生产的，基于 RISC-V 架构，提供 HDMI 采集、USB HID 仿真、远程电源控制以及基于浏览器的连接 PC。

部分专业用户和 IT 管理员会使用 KVM 切换器来方便日常的使用，KVM 切换器不需要在目标设备上安装任何软件即可从 BIOS 到操作系统内部全程运行，用来远程维护也是非常方便的。

研究人员在这款切换器中发现多种安全问题：

首先是制造商在设备出厂时预设密码并且开放 SSH 权限，这意味着如果设备连接到公网则很容易被扫描到并远程控制，研究人员报告漏洞后制造商进行了修复。

其次这款切换器提供 Web 访问界面，但 Web 访问界面缺乏最基本的安全保护措施，例如 CSRF 防御和任何使活动会话失效的机制，更糟糕的是用于 Web 界面登录密码的加密密钥是硬编码的，并且所有设备全部相同，在研究人员多次向制造商解释这个问题后，制造商才承认这个问题。

最后这款切换器因为未知原因在内部安装了个非常小的麦克风，在官方介绍中并没有提到任何关于麦克风的内容，但系统包含诸如 amixer 和 arecord 之类的 ALSA 工具，可以用来激活麦克风。

目前没有任何证据表明麦克风遭到恶意利用，但为什么要安装麦克风并且没有公布就让人非常担忧了，毕竟激活麦克风后可以用来监听。

拆卸麦克风：

这个麦克风尺寸非常小因此想要拆解倒是有些麻烦，不过担心安全问题的用户还是需要考虑彻底拆卸这个麦克风确保安全性，毕竟对 KVM 切换器来说安装麦克风是完全没有必要的。

另外 NanoKVM 名义上是开源的，所以已经有社区成员开始移植包括 Debian 和 Ubuntu 等操作系统提升安全性，或许 Sipeed 也需要考虑加强安全措施和透明度，这样才可以解决社区的担忧。