近日，一名DIY愛好者試圖用PS5遊戲手柄控制自家大疆（DJI）Romo掃地機器人時，意外觸發嚴重安全漏洞，導致全球約6700台該型號機器人遭未授權訪問，可被查看即時攝像頭畫面、獲取家庭2D樓層平面圖，甚至定位設備位置。

此事經The Verge曝光後，大疆官方作出回應，稱已完成漏洞修復。

發現該漏洞的是薩米·阿茲杜法爾（Sammy Azdoufal）。他向媒體表示，自己初衷只是覺得用PS5手柄控制新入手的大疆Romo很有趣，便用Claude Code軟件逆向工程了機器人與大疆服務器的通信協議，自製了一款遠程控制應用。

令人意外的是，這款應用連接服務器後出現權限失控，他僅提取了自家設備的私有令牌，便獲得了全球約7000台Romo的響應。

The Verge記者現場見證了漏洞演示。9分鐘內，阿茲杜法爾的電腦就記錄了24個國家的6700台大疆設備，收集到10萬餘條設備消息，涵蓋設備序列號、清潔房間、所見場景、行駛距離、充電時間及遇到的障礙物等。

僅憑同事托馬斯·裏克（Thomas Ricker）提供的14位設備序列號，便能精準查看機器人正在清潔客廳、剩餘80%電量的狀態，還能獲取同事家的精準樓層平面圖。

此外，他還能繞過自身機器人的安全PIN碼查看即時畫面，甚至將一款只讀版應用分享給法國一名IT諮詢公司CTO貢扎格·丹布里庫爾（Gonzague Dambricourt），對方在未配對設備的情況下，也能遠程查看自家Romo的攝像頭畫面。

阿茲杜法爾強調，自己並未入侵大疆服務器，「我沒有違反任何規則，沒有破解、暴力破解任何系統」，只是他提取的自家設備私有令牌，本應用於驗證自身設備訪問權限的密鑰，被大疆服務器誤判為通用權限，進而泄露了全球數千台設備的數據。

他還透露，自己每次關閉工具都會清除所有獲取的數據，並未濫用漏洞侵犯他人隱私。

以下是大疆聲明全文：

大疆（DJI）於1月下旬通過內部審查發現了一個影響大疆DJI Home的漏洞，並立即啟動修復工作。該問題通過兩次更新得到解決，首次補丁於2月8日部署，後續更新於2月10日完成。修復程序已自動部署，無需用戶進行任何操作。

該漏洞屬於後端權限驗證問題，影響設備與服務器之間基於MQTT協議的通信。儘管此問題在理論上存在未經授權訪問ROMO設備即時視頻的可能性，但我方調查確認，實際發生此類情況的概率極低。

幾乎所有已查明的相關行為，均為獨立安全研究人員出於上報目的對自有設備進行的測試，僅存在極少數潛在例外情況。

首次補丁已針對該漏洞進行修復，但尚未在所有服務節點全面生效；第二次補丁則重新啟用並重啟了剩餘服務節點。目前問題已完全解決，無證據表明造成了大範圍影響。此次事件並非傳輸加密問題：ROMO設備與服務器之間的通信從未以明文傳輸，始終通過TLS協議加密。與ROMO設備（例如位於歐洲的設備）相關的數據存儲在美國的AWS雲基礎設施上。

大疆在數據隱私與安全方面堅持嚴格標準，並建立了識別和處理潛在漏洞的完善流程。公司已採用行業標準加密技術，並運營着長期運行的漏洞獎勵計劃。作為標準的事後修復流程的一部分，我們已審核通過該計劃聯繫我們的獨立安全研究人員所提供的發現與建議。大疆將持續實施更多安全增強措施，不斷提升安全防護能力。

相關閲讀：全球首個代孕機械人1年內中國問世？聲稱用人工子宮模仿孕育過程（點擊連結看全文）

【本文獲「快科技」授權轉載，微信公眾號：mydrivers】