可远程控制玩具深陷高危漏洞风波，二十万用户隐私与设备控制权双重失守

   当用户A在Lovense应用中屏蔽某个互动对象时，一条看似寻常的API响应数据悄然划过网络流量——其中竟明晃晃嵌着对方的真实邮箱地址。这个2025年3月被安全研究人员捕捉到的异常，最终撕开了成人智能玩具巨头Lovense的系统防护网，暴露出可窃取两千万用户隐私、甚至远程操控实体设备的致命链条。

   技术分析报告揭示，攻击者仅需知晓目标用户的公开用户名（常见于成人直播平台关联账户），通过向Lovense服务器发送特定加密请求，便能获取AES-CBC算法的密钥参数。随后将用户名加密后提交至验证接口，系统即返回经伪装的假邮箱。而真正的致命点在于：当该假邮箱被转化为特定格式（如将@替换为!!!并添加_w后缀）后，通过Lovense的XMPP通信协议发起好友请求，服务器竟在响应中传回包含真实邮箱的通信标识。整个过程通过脚本自动化执行时，单次攻击耗时不足1秒。

   更严峻的威胁在于第二个漏洞。利用邮箱信息，攻击者无需密码即可直接生成账户的身份验证令牌（GToken），进而接管包括远程玩具控制、Cam101直播工具乃至管理员后台在内的核心系统。这意味着黑客不仅能定位到具体用户的真实身份，还能直接操纵其名下的联网设备——无论设备是位于私人卧室还是直播工作室。一名成人内容创作者在漏洞披露论坛的匿名回帖中写道：“想到陌生人可能控制我的设备并获取工作邮箱，这种恐惧远超过数据泄露本身”。

   面对研究人员于3月26日提交的漏洞报告，Lovense支付了3000美元赏金却提出需14个月修复周期，理由竟是‘避免强制旧版用户更新应用’。该说辞遭研究人员驳斥后，漏洞细节在90天保密期满当日被公开。耐人寻味的是，公开记录显示同类漏洞早在2023年9月就有另一名研究者提交，当时厂商宣称已修复但实际未根除风险。直至媒体实测验证漏洞仍存在，Lovense才承诺于8月初推送补丁，却拒绝公开通知受影响用户。

   此次事件折射出物联网情色设备的特殊风险矩阵：用户名为公开信息的成人内容创作者首当其冲，其职业特性导致用户名极易被批量获取；而设备联网功能的实时交互性，又将数字漏洞转化为物理伤害可能——攻击者可超频启动设备导致灼伤，或锁定设备实施勒索。更值得警惕的是，这已是Lovense自2016年来第三次曝出邮箱泄露事故，凸显企业对隐私保护的制度性轻视。

   安全专家提出两项自救建议：立即更换为与真实身份无关的一次性邮箱注册账户；在官方未全量确认漏洞修复前，暂时禁用远程控制功能。但根本症结在于厂商对兼容性的偏执压倒安全优先级，当旧设备无法支持新安全协议时，选择牺牲用户隐私而非淘汰高危旧产品，实则是将商业成本转嫁为消费者风险。在智能情趣用品日益普及的当下，此次漏洞风波敲响的不仅是技术警钟，更是企业伦理的问责铃。