日前，一名DIY愛好者在嘗試用PlayStation 5手柄控制其新購的大疆(DJI)Romo掃地機器人時，意外揭露并觸發(fā)了一個嚴重的系統(tǒng)安全漏洞。利用該漏洞，可未經(jīng)授權訪問全球范圍內約6700臺同型號機器人，不僅能查看其實時攝像頭畫面，獲取家庭內部的2D樓層平面圖，甚至能追蹤設備的具體位置。

　　該事件的發(fā)現(xiàn)者薩米·阿茲杜法爾向媒體表示，其初衷只是想探索使用游戲手柄來控制Romo的趣味性，于是便利用Claude Code軟件對機器人與大疆服務器間的通信協(xié)議進行了反向工程分析，并據(jù)此自行編寫了一款遠程控制應用。但令人意外的是，這款應用在連接服務器后出現(xiàn)了嚴重的權限控制失誤。

　　“我原本只是為了獲取我自己設備的訪問密鑰，服務器卻向我返回了全球近7000臺設備的私密數(shù)據(jù)。”阿茲杜法爾解釋道。他獲取的本應是僅用于驗證其自身設備的私有令牌，卻被大疆的服務器錯誤地授予了查看數(shù)千臺其他陌生家庭設備的通用權限。根據(jù)演示記錄，在短短9分鐘內，他的工具便捕捉到了來自24個國家的Romo設備發(fā)送出的超10萬條消息，內容覆蓋設備序列號、清潔活動、攝像頭所見畫面、行駛距離、充電狀況以及環(huán)境障礙物等諸多敏感數(shù)據(jù)。他甚至僅僅依靠同事提供的14位設備序列號，便能精準調出對方家中的樓層平面圖，并實時查看機器人正在清潔客廳且電量剩余80%的狀態(tài)。此外，他還能繞過自家設備的安全PIN碼，直接啟動攝像頭實時流傳輸，并允許他人在未配對的情況下遠程觀看。

　　在The Verge記者現(xiàn)場驗證并報道此事后，大疆官方已作出回應，表示安全團隊已完成了對此漏洞的修復工作。阿茲杜法爾強調，整個過程并未涉及對大疆服務器的黑客攻擊或入侵行為，他所使用的全部是公開的通信接口，并稱每次測試后都會立即清除獲取的所有他人數(shù)據(jù)，未曾濫用這些信息以侵犯用戶隱私。這一事件凸顯了智能家居設備在安全設計上的潛在風險。