日前，一名DIY愛好者在嘗試用PlayStation 5手柄控制其新購(gòu)的大疆(DJI)Romo掃地機(jī)器人時(shí)，意外揭露并觸發(fā)了一個(gè)嚴(yán)重的系統(tǒng)安全漏洞。利用該漏洞，可未經(jīng)授權(quán)訪問(wèn)全球范圍內(nèi)約6700臺(tái)同型號(hào)機(jī)器人，不僅能查看其實(shí)時(shí)攝像頭畫面，獲取家庭內(nèi)部的2D樓層平面圖，甚至能追蹤設(shè)備的具體位置。

　　該事件的發(fā)現(xiàn)者薩米·阿茲杜法爾向媒體表示，其初衷只是想探索使用游戲手柄來(lái)控制Romo的趣味性，于是便利用Claude Code軟件對(duì)機(jī)器人與大疆服務(wù)器間的通信協(xié)議進(jìn)行了反向工程分析，并據(jù)此自行編寫了一款遠(yuǎn)程控制應(yīng)用。但令人意外的是，這款應(yīng)用在連接服務(wù)器后出現(xiàn)了嚴(yán)重的權(quán)限控制失誤。

　　“我原本只是為了獲取我自己設(shè)備的訪問(wèn)密鑰，服務(wù)器卻向我返回了全球近7000臺(tái)設(shè)備的私密數(shù)據(jù)。”阿茲杜法爾解釋道。他獲取的本應(yīng)是僅用于驗(yàn)證其自身設(shè)備的私有令牌，卻被大疆的服務(wù)器錯(cuò)誤地授予了查看數(shù)千臺(tái)其他陌生家庭設(shè)備的通用權(quán)限。根據(jù)演示記錄，在短短9分鐘內(nèi)，他的工具便捕捉到了來(lái)自24個(gè)國(guó)家的Romo設(shè)備發(fā)送出的超10萬(wàn)條消息，內(nèi)容覆蓋設(shè)備序列號(hào)、清潔活動(dòng)、攝像頭所見畫面、行駛距離、充電狀況以及環(huán)境障礙物等諸多敏感數(shù)據(jù)。他甚至僅僅依靠同事提供的14位設(shè)備序列號(hào)，便能精準(zhǔn)調(diào)出對(duì)方家中的樓層平面圖，并實(shí)時(shí)查看機(jī)器人正在清潔客廳且電量剩余80%的狀態(tài)。此外，他還能繞過(guò)自家設(shè)備的安全PIN碼，直接啟動(dòng)攝像頭實(shí)時(shí)流傳輸，并允許他人在未配對(duì)的情況下遠(yuǎn)程觀看。

　　在The Verge記者現(xiàn)場(chǎng)驗(yàn)證并報(bào)道此事后，大疆官方已作出回應(yīng)，表示安全團(tuán)隊(duì)已完成了對(duì)此漏洞的修復(fù)工作。阿茲杜法爾強(qiáng)調(diào)，整個(gè)過(guò)程并未涉及對(duì)大疆服務(wù)器的黑客攻擊或入侵行為，他所使用的全部是公開的通信接口，并稱每次測(cè)試后都會(huì)立即清除獲取的所有他人數(shù)據(jù)，未曾濫用這些信息以侵犯用戶隱私。這一事件凸顯了智能家居設(shè)備在安全設(shè)計(jì)上的潛在風(fēng)險(xiǎn)。