近年來越來越多醫院導入機器人以節省人力與降低感染風險，Aethon公司所生產之醫院機器人Tug為其中一種，可用於藥物發送、清掃及運送備品，並可做到開門、搭乘電梯，以及在醫院移動時不會撞到人或物體，惟資安廠商Cynerio於Tug中發現名為JekyllBot:5之5項零時差漏洞。

Cynerio發現之JekyllBot:5漏洞，分別位於Tug伺服器之JavaScript、API實作及WebSocket協定。其中，允許攻擊者連接Tug伺服器WebSocket以接管機器人，意指可操作它遞送物資或移動位置，並可讓攻擊者新增具管理權限的用戶帳號與刪改現有帳號，以及存取用戶之加密憑證，甚至能竊取cookie資料、劫持對話資料、進行網路釣魚等行為。

研究人員發現此5項漏洞並不需要高技術能力，亦不需特殊權限，惟被入侵將造成莫大傷害，如干擾送藥或實驗室樣本、擾亂醫院電梯或門鎖、暗中拍攝病患與醫護人員、在醫院中亂移動撞傷人、竊取醫療紀錄或進行其他網路攻擊或間諜行為等。Aethon已提供修補程式並部署至機器人伺服器，廠商亦修補防火牆漏洞，防堵駭客使其無法由外部進行遠端存取。
 

https://www.cynerio.com/blog/cynerio-discovers-and-discloses-jekyllbot-5-a-series-of-critical-zero-day-vulnerabilities-allowing-attackers-to-remotely-control-hospital-robots