日前，一名DIY愛好者在嘗試用PlayStation 5手柄控制其新購的大疆(DJI)Romo掃地機器人時，意外揭露并觸發(fā)了一個嚴重的系統安全漏洞。利用該漏洞，可未經授權訪問全球范圍內約6700臺同型號機器人，不僅能查看其實時攝像頭畫面，獲取家庭內部的2D樓層平面圖，甚至能追蹤設備的具體位置。

　　該事件的發(fā)現者薩米·阿茲杜法爾向媒體表示，其初衷只是想探索使用游戲手柄來控制Romo的趣味性，于是便利用Claude Code軟件對機器人與大疆服務器間的通信協議進行了反向工程分析，并據此自行編寫了一款遠程控制應用。但令人意外的是，這款應用在連接服務器后出現了嚴重的權限控制失誤。

　　“我原本只是為了獲取我自己設備的訪問密鑰，服務器卻向我返回了全球近7000臺設備的私密數據。”阿茲杜法爾解釋道。他獲取的本應是僅用于驗證其自身設備的私有令牌，卻被大疆的服務器錯誤地授予了查看數千臺其他陌生家庭設備的通用權限。根據演示記錄，在短短9分鐘內，他的工具便捕捉到了來自24個國家的Romo設備發(fā)送出的超10萬條消息，內容覆蓋設備序列號、清潔活動、攝像頭所見畫面、行駛距離、充電狀況以及環(huán)境障礙物等諸多敏感數據。他甚至僅僅依靠同事提供的14位設備序列號，便能精準調出對方家中的樓層平面圖，并實時查看機器人正在清潔客廳且電量剩余80%的狀態(tài)。此外，他還能繞過自家設備的安全PIN碼，直接啟動攝像頭實時流傳輸，并允許他人在未配對的情況下遠程觀看。

　　在The Verge記者現場驗證并報道此事后，大疆官方已作出回應，表示安全團隊已完成了對此漏洞的修復工作。阿茲杜法爾強調，整個過程并未涉及對大疆服務器的黑客攻擊或入侵行為，他所使用的全部是公開的通信接口，并稱每次測試后都會立即清除獲取的所有他人數據，未曾濫用這些信息以侵犯用戶隱私。這一事件凸顯了智能家居設備在安全設計上的潛在風險。