2025年11月26日,美國食品藥品監督管理局(FDA)對Life2000呼吸機系統發布最高級別的 I類召回令,簡單點說就是強制永久退市,這款設備再也不能上市銷售和使用。
此次原因是:該設備因存在嚴重網絡安全漏洞——未經授權者可通過物理訪問修改治療參數或竊取數據,可能導致呼吸支持失效甚至危及患者生命,被認定為存在"嚴重傷害或死亡風險"。
緊接著,百特醫療就宣布:永久停產并停用Life2000呼吸機系統。但是值得注意的是,截至2025年4月10日,百特尚未報告與此問題相關的嚴重傷害或死亡事件。那么,從戰略核心到被永久“處決”,Life2000呼吸機系統究竟經歷了什么?
丨“明星產品”三年三召回的慢性崩塌之路
Life2000 系統
據公開資料顯示,該設備由Baxter于2021年通過125億美元收購Hillrom時納入麾下,作為輕便可穿戴式設備,它主打成人機械通氣支持,不管是醫院場景還是家庭護理,都能通過氣管插管或面罩提供正壓通氣,還靠獨特的POV技術提升患者活動性,該系統還包括Life2000呼吸機及配套壓縮機,僅供具備資質的醫護人員在醫生指導下操作,適用于需通過氣管插管或面罩接受正壓通氣的成年患者。
但是令人唏噓的是,2023年到2025年短短三年間,設備問題不斷,三次登上FDA召回名單:
2023年,氧飽和度風險召回。設備氧氣去飽和問題浮出水面——設備連接第三方制氧機時,患者可能出現氧飽和度降低風險,其影響主要是涉及數千套系統,百特報告有住院病例但無死亡記錄。因此,百特選擇軟件升級補救。
2024年5月,電池充電故障緊急召回。電池充電系統缺陷導致設備在使用中突然斷電,影響設備續航,其間影響美國市場2510臺設備,涉及軟件版本06.08.00.00。于是,百特再次召回,更換電池組件。值得注意的是,FDA于7月10日正式列為I級召回,強調可能引發治療中斷風險。
2024年10月,氣體壓力報警缺陷修正。設備可能無法觸發低氣體壓力警報,存在治療中斷隱患。最終,百特選擇更新使用說明,要求連接壓力氣源(壓縮機/氧氣瓶/墻源)后啟動設備,并參考指南使用。
2025年4—11月,網絡安全問題成為壓垮的最后一道防線。
4月,致命漏洞徹底引爆。內部測試顯示,未經授權的物理接觸者可直接更改治療設置或竊取患者數據,會導致呼吸支持失效甚至危及生命,緊急召回啟動。11月26日,FDA將其定性為一級召回——最高風險等級。百特放棄修復,選擇永久停產。
其實,在百特完成對 Hillrom 收購的同一年份,Hillrom 便報告了存在嚴重的 Log4j 漏洞。這一漏洞使得 Life2000 的代碼、固件以及網絡接口等層面,均有可能遺留下“技術債”。
實際上,這并非是百特在收購過程中有所疏忽,而是源于過往行業所形成的普遍認知:在對醫療設備開展盡職調查時,往往更側重于設備的性能表現與合規性,而相對忽視了網絡安全方面的審查。
然而,數字化進程所帶來的風險,無法通過簡單的“紙面整合”來消除。要切實應對這類風險,需要從代碼編寫、固件更新到系統設計等各個環節進行全面且深入的接管。
從2023 年至 2025 年,百特經歷了三次產品召回事件,這些召回事件如同在一根繩索上不斷增添重物,最終,網絡安全問題成為了壓垮駱駝的最后一根稻草。
丨此次為何是“永久停產”,而非修復?
面對最高級別的召回,百特做出了一個看似極端卻必然的選擇:放棄修復,永久停產。此次原因也令人不寒而栗,主要出于以下兩點:
重大網絡安全漏洞:未經授權的人員,通過物理接觸設備,便能繞過安全防護,直接修改治療參數或竊取患者數據。要知道,物理篡改難以追蹤,醫護人員可能無法立即察覺參數修改。這意味著,對依賴機械通氣的患者而言,無異于生命支持的控制權直接旁落。
災難性的設計缺陷:該設備存在設計缺陷,專家對該漏洞的嚴重程度給予了最高等級 CVSS v4 10.0 分的評價,表明該缺陷具有極高的可利用性和災難性的影響。
這一決定本身即是答案:產品所存在的漏洞已深深扎根于其根基之處,無法憑借補丁來加以修復。這也成為百特史上最嚴重的醫療設備安全事件。尤為關鍵的是,這些問題并非由“使用不當”所引發,而是自設計階段便潛藏的根本性缺陷。此類缺陷根本無法通過后續的軟件更新實現徹底修復,這也是 Baxter 最終做出永久退市這一決定的根本緣由。
丨聯網醫療設備的“阿喀琉斯之踵”
當然,2025年,FDA已發出多起聯網醫療設備網絡安全召回。
2025年10月10日,Abiomed的自動Impella控制器被劃為最嚴重風險等級。一旦遭惡意入侵,攻擊者將能直接操控設備運行,導致血液動力學支持中斷、器械失控,甚至危及患者生命。
2025年1月30日,FDA曾發布安全通訊,警告Contec CMS8000和Epsimed MN-120患者監護儀存在可被未授權訪問與控制的漏洞,可能直接引發患者傷害。
醫療物聯網(IoMT)在連接設備與數據的同時,也帶來了嚴峻的安全隱患。對此,2025年6月27日,FDA發布新版《醫療器械網絡安全指南》,包括:全生命周期的安全設計(Secure Product Development Framework)、威脅建模、SBOM(軟件物料清單)、滲透測試、固件完整性驗證以及代碼來源可追蹤性。
言簡意賅就是:網絡安全不再是補充材料,而是介入審評的基礎條件。
FDA還特別強調,網絡安全需成為產品設計起點,而非事后補丁,真實性、授權機制、可用性等五大原則需貫穿研發全流程。
丨寫到最后
此次百特因網絡安全問題所遭受的慘痛代價,清晰釋放出強烈信號:網絡安全已從醫療器械研發階段的附加項,轉變為進入美國市場的“剛需入口”。
過去,行業聚焦設備的機械穩定性、算法準確性和電源可靠性;而未來,參數可變性、固件可信度、代碼完整性以及整個數字生命鏈的安全性或將成為焦點。Life2000 的退市其實是時代變革的信號,它警示行業真正的醫療進步在于設備的可信度。
同時,Life2000 的案例對于中國企業而言絕非遙遠的“海外案例”,而是對未來出海征程的預演。
一方面,出海美國,門檻從“性能”轉向“安全體系”。舊問題成基礎要求,新要求如 SBOM 完整性等是關鍵,沒有完善的安全體系,企業將無法獲得市場準入。
另一方面,隨著中國市場家用呼吸機、homecare 監護、可穿戴健康設備、AI + 遠程康復、慢病長期管理設備等領域的快速發展,設備的網絡化進程遠超安全體系建設速度。Life2000 的退市表明,安全建設滯后將付出高昂代價。
此外,下一輪全球醫療技術競爭將聚焦于“安全治理能力”。系統架構、軟件驗證、固件保護、供應鏈安全、漏洞響應體系等原本屬于IT領域的概念,正成為醫療設備行業的核心競爭力。
未來,系統透明、代碼可信、架構安全的企業將成為行業領先者。中國企業需提前布局,重視網絡安全建設,提升安全治理能力,以應對日益激烈的市場競爭和嚴格的準入要求。
分享
