关键词
安全漏洞
近日,西班牙一名 DIY 爱好者阿兹杜法尔(Sammy Azdoufal)在尝试用 PS5 手柄控制大疆(DJI)扫地机器人 Romo 时,意外发现了严重安全漏洞。通过该漏洞,他能够远程访问全球约 6,700 台 Romo 设备的摄像头和操作权限,覆盖 24 个国家或地区的用户。
事件经过
阿兹杜法尔本意只是开发应用程序,实现手柄控制自家扫地机。然而,他通过连接大疆云端服务器时,发现不仅能操控自己的设备,还能访问其他数千台设备的数据,包括:
实时摄像头画面
扫地路径与房间布局信息
充电时间及遇到障碍物情况
设备序列号及 IP 地址
更令人惊讶的是,该漏洞甚至允许绕过设备 PIN 码,将画面分享给第三方观看。
漏洞性质
大疆官方表示,这是后端权限验证问题,影响设备与服务器之间基于 MQTT 协议的通信。漏洞理论上允许未经授权访问 ROMO 设备视频,但实际利用概率极低。
大疆已于 2 月初发布两次补丁修复漏洞:
首次补丁于 2 月 8 日部署
第二次补丁于 2 月 10 日完成,覆盖剩余服务节点
公司声明,通信始终使用 TLS 加密,数据存储在美国 AWS 云端,无证据显示造成大范围影响。
AI 与漏洞发现
值得注意的是,这次漏洞的发现与 AI 工具 Claude Code 有关。阿兹杜法尔利用 Claude Code 进行逆向操作,实现了手柄控制功能,意外触发了大规模漏洞。事件显示,AI 技术使网络安全领域既有机遇,也带来潜在风险——即便非专业人员,也可能发现软件漏洞。
安全建议
用户应及时升级 ROMO 设备至最新版本,确保补丁生效
避免在公共网络或未知环境下远程访问智能家居设备
对智能家居设备开启访问控制和权限管理
此次事件提醒我们,随着 AI 技术和智能设备的普及,家居产品的安全性与隐私保护仍需高度关注。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴