《Popular Science》文章 男子意外获得 7000 台扫地机器人控制权

1. 事件起因：只是想用手柄控制扫地机器人一位软件工程师 Sammy Azdoufal 想用游戏手柄操控自己的 DJI Romo 扫地机器人。为此，他尝试自己写一个控制 App，并用 AI 编码助手来分析机器人与 DJI 云端服务器的通信方式。结果他发现：同一套凭证不仅能访问自己的机器人，还能访问全球近 7000 台机器人。

2. 巨大漏洞：7000 台机器人对他“敞开大门”由于 DJI 后端服务器的验证机制存在严重缺陷，他意外获得了：• 实时摄像头画面• 麦克风音频• 家庭地图（2D 平面图）• 机器人状态数据• 机器人所在 IP 地址（可推测大致位置）这些机器人分布在 24 个国家。换句话说，他无意间获得了一个 “扫地机器人军队” 的控制权。

3. 他没有利用漏洞，而是选择上报Azdoufal 没有滥用权限，而是将发现报告给媒体 The Verge，后者立即通知 DJI。DJI 表示漏洞已在 2 月 8 日与 10 日通过两次更新修复，无需用户操作。

4. 事件暴露更大的问题：智能家居的隐私风险文章指出，这次事件凸显了智能家居设备的长期隐患：智能设备越来越多，但安全性并未同步提升：• Ring、Nest 等品牌近期也因隐私争议登上新闻• 美国两党议员长期担忧X国制造的智能设备存在安全风险• 智能家居设备往往在“最私密的空间”运行，却安全性薄弱未来风险更大：• 越来越多家庭将引入带摄像头、麦克风的机器人• Tesla、Figure 等公司正在研发类人家用机器人• 这些机器人需要深入了解家庭环境，隐私暴露风险更高

5. 讽刺的是：他只是想用手柄开扫地机器人最终，Azdoufal 的确成功用 PS5 手柄操控了自己的 Romo。但他也无意间揭开了一个全球性的安全漏洞。 网图