2021年,百特医疗以惊天巨资125亿美元收购Hillrom时,整个医疗界都看到了其野心——抢占后疫情时代家用呼吸机这片广阔的蓝海市场。
其核心目标,正是Hillrom旗下的明星产品Life2000呼吸机系统。然而,其产品却遭三年三召回,最终却以永久退市落幕。
2025年11月26日,美国食品药品监督管理局(FDA)对Life2000呼吸机系统发布最高级别的 I类召回令,简单点说就是强制永久退市,这款设备再也不能上市销售和使用。
此次原因是:该设备因存在严重网络安全漏洞——未经授权者可通过物理访问修改治疗参数或窃取数据,可能导致呼吸支持失效甚至危及患者生命,被认定为存在”严重伤害或死亡风险”。
紧接着,百特医疗就宣布:永久停产并停用Life2000呼吸机系统。但是值得注意的是,截至2025年4月10日,百特尚未报告与此问题相关的严重伤害或死亡事件。那么,从战略核心到被永久“处决”,Life2000呼吸机系统究竟经历了什么?
丨“明星产品”三年三召回的慢性崩塌之路
Life2000 系统
据公开资料显示,该设备由Baxter于2021年通过125亿美元收购Hillrom时纳入麾下,作为轻便可穿戴式设备,它主打成人机械通气支持,不管是医院场景还是家庭护理,都能通过气管插管或面罩提供正压通气,还靠独特的POV技术提升患者活动性,该系统还包括Life2000呼吸机及配套压缩机,仅供具备资质的医护人员在医生指导下操作,适用于需通过气管插管或面罩接受正压通气的成年患者。
但是令人唏嘘的是,2023年到2025年短短三年间,设备问题不断,三次登上FDA召回名单:
2023年,氧饱和度风险召回。设备氧气去饱和问题浮出水面——设备连接第三方制氧机时,患者可能出现氧饱和度降低风险,其影响主要是涉及数千套系统,百特报告有住院病例但无死亡记录。因此,百特选择软件升级补救。
2024年5月,电池充电故障紧急召回。电池充电系统缺陷导致设备在使用中突然断电,影响设备续航,其间影响美国市场2510台设备,涉及软件版本06.08.00.00。于是,百特再次召回,更换电池组件。值得注意的是,FDA于7月10日正式列为I级召回,强调可能引发治疗中断风险。
2024年10月,气体压力报警缺陷修正。设备可能无法触发低气体压力警报,存在治疗中断隐患。最终,百特选择更新使用说明,要求连接压力气源(压缩机/氧气瓶/墙源)后启动设备,并参考指南使用。
2025年4—11月,网络安全问题成为压垮的最后一道防线。
4月,致命漏洞彻底引爆。内部测试显示,未经授权的物理接触者可直接更改治疗设置或窃取患者数据,会导致呼吸支持失效甚至危及生命,紧急召回启动。11月26日,FDA将其定性为一级召回——最高风险等级。百特放弃修复,选择永久停产。
其实,在百特完成对 Hillrom 收购的同一年份,Hillrom 便报告了存在严重的 Log4j 漏洞。这一漏洞使得 Life2000 的代码、固件以及网络接口等层面,均有可能遗留下“技术债”。
实际上,这并非是百特在收购过程中有所疏忽,而是源于过往行业所形成的普遍认知:在对医疗设备开展尽职调查时,往往更侧重于设备的性能表现与合规性,而相对忽视了网络安全方面的审查。
然而,数字化进程所带来的风险,无法通过简单的“纸面整合”来消除。要切实应对这类风险,需要从代码编写、固件更新到系统设计等各个环节进行全面且深入的接管。
从2023 年至 2025 年,百特经历了三次产品召回事件,这些召回事件如同在一根绳索上不断增添重物,最终,网络安全问题成为了压垮骆驼的最后一根稻草。
丨此次为何是“永久停产”,而非修复?
面对最高级别的召回,百特做出了一个看似极端却必然的选择:放弃修复,永久停产。此次原因也令人不寒而栗,主要出于以下两点:
重大网络安全漏洞:未经授权的人员,通过物理接触设备,便能绕过安全防护,直接修改治疗参数或窃取患者数据。要知道,物理篡改难以追踪,医护人员可能无法立即察觉参数修改。这意味着,对依赖机械通气的患者而言,无异于生命支持的控制权直接旁落。
灾难性的设计缺陷:该设备存在设计缺陷,专家对该漏洞的严重程度给予了最高等级 CVSS v4 10.0 分的评价,表明该缺陷具有极高的可利用性和灾难性的影响。
这一决定本身即是答案:产品所存在的漏洞已深深扎根于其根基之处,无法凭借补丁来加以修复。这也成为百特史上最严重的医疗设备安全事件。尤为关键的是,这些问题并非由“使用不当”所引发,而是自设计阶段便潜藏的根本性缺陷。此类缺陷根本无法通过后续的软件更新实现彻底修复,这也是 Baxter 最终做出永久退市这一决定的根本缘由。
丨联网医疗设备的“阿喀琉斯之踵”
当然,2025年,FDA已发出多起联网医疗设备网络安全召回。
2025年10月10日,Abiomed的自动Impella控制器被划为最严重风险等级。一旦遭恶意入侵,攻击者将能直接操控设备运行,导致血液动力学支持中断、器械失控,甚至危及患者生命。
2025年1月30日,FDA曾发布安全通讯,警告Contec CMS8000和Epsimed MN-120患者监护仪存在可被未授权访问与控制的漏洞,可能直接引发患者伤害。
医疗物联网(IoMT)在连接设备与数据的同时,也带来了严峻的安全隐患。对此,2025年6月27日,FDA发布新版《医疗器械网络安全指南》,包括:全生命周期的安全设计(Secure Product Development Framework)、威胁建模、SBOM(软件物料清单)、渗透测试、固件完整性验证以及代码来源可追踪性。
言简意赅就是:网络安全不再是补充材料,而是介入审评的基础条件。
FDA还特别强调,网络安全需成为产品设计起点,而非事后补丁,真实性、授权机制、可用性等五大原则需贯穿研发全流程。
丨写到最后
此次百特因网络安全问题所遭受的惨痛代价,清晰释放出强烈信号:网络安全已从医疗器械研发阶段的附加项,转变为进入美国市场的“刚需入口”。
过去,行业聚焦设备的机械稳定性、算法准确性和电源可靠性;而未来,参数可变性、固件可信度、代码完整性以及整个数字生命链的安全性或将成为焦点。Life2000 的退市其实是时代变革的信号,它警示行业真正的医疗进步在于设备的可信度。
同时,Life2000 的案例对于中国企业而言绝非遥远的“海外案例”,而是对未来出海征程的预演。
一方面,出海美国,门槛从“性能”转向“安全体系”。旧问题成基础要求,新要求如 SBOM 完整性等是关键,没有完善的安全体系,企业将无法获得市场准入。
另一方面,随着中国市场家用呼吸机、homecare 监护、可穿戴健康设备、AI + 远程康复、慢病长期管理设备等领域的快速发展,设备的网络化进程远超安全体系建设速度。Life2000 的退市表明,安全建设滞后将付出高昂代价。
此外,下一轮全球医疗技术竞争将聚焦于“安全治理能力”。系统架构、软件验证、固件保护、供应链安全、漏洞响应体系等原本属于IT领域的概念,正成为医疗设备行业的核心竞争力。
未来,系统透明、代码可信、架构安全的企业将成为行业领先者。中国企业需提前布局,重视网络安全建设,提升安全治理能力,以应对日益激烈的市场竞争和严格的准入要求。
