工程师触发大疆云端漏洞，控制全球7000台扫地机器人

工程师Sammy Azdoufal利用AI辅助改装DJI Romo时，意外触发云端漏洞，获得全球24国近7000台机器人的监控权。

软件工程师 Sammy Azdoufal 最初只是想干一件很酷的事：用游戏手柄来操控他新买的 DJI Romo 扫地机器人。谁也没想到，这个小小的极客尝试，竟然让他意外掌握了一支遍布全球的机器人大军。

Sammy Azdoufal 在开发自己的远程控制程序时，使用了一个AI编程助手。他的目标是逆向破解机器人与大疆创新(DJI)云服务器之间的通信方式，以便获取证明自己是设备主人的安全令牌。然而，当他成功登录后，眼前的一幕让他惊呆了。服务器并没有只验证他一个人的身份，而是给了他访问近 7000台机器人的权限，这些设备分布在 24个国家。

这意味着，Sammy Azdoufal 只需要坐在家里，就能实时看到成千上万个家庭的摄像头画面，听到麦克风采集的声音，甚至能看到这些机器人绘制的家庭详细平面图。通过查看设备的互联网协议地址，他还能大致确定这些家庭的具体位置。虽然这听起来像是一次蓄意的黑客攻击，但 Sammy Azdoufal 坚称这纯粹是个意外，他只是无意中撞见了一个巨大的后端安全漏洞。

这次涉及的设备是 DJI Romo，一款去年在中国上市、目前正推向全球市场的全自动家用扫地机。它的售价约为 2000美元，个头相当于一只小型犬。为了能在大房子里自由穿梭并分辨厨房和卧室，它必须不断采集周围的视觉数据。为了减轻机器人的负担，其中一部分传感器数据会上传到公司的云端服务器存储，而正是这个环节出了差错。

Sammy Azdoufal 并没有利用这个漏洞做坏事，而是迅速将发现告知了 The Verge 网站。该网站随后联系了 大疆创新。公司回应称，他们在 1月底就通过内部审查发现了这一漏洞，并分别于 2026年2月8日 和 2月10日 两次推送了自动补丁。公司表示问题已经解决，修复程序是自动部署的，用户不需要进行任何操作。

虽然危机暂时解除了，但这起事件再次引发了人们对智能家居隐私风险的担忧。这并不是孤例，本月早些时候，亚马逊(Amazon) 旗下的 Ring 摄像头和 谷歌(Google) 的 Nest 门铃也都因数据泄露和视频控制权问题引发过激烈讨论。

随着智能家居设备越来越普及，我们家里的摄像头和麦克风只会越来越多。目前，特斯拉(Tesla) 和 1X 等公司还在竞相研发能做家务的人形机器人。这些机器人仆人要想干好活，必须深度接入主人的私人生活细节。如果网络安全防护跟不上，这些方便生活的工具在黑客或别有用心的人眼中就是一座数据金矿。

这次事件也给喜欢使用人工智能工具的开发者提了个醒。虽然 AI 工具让编程变得更简单，但也可能更容易放大软件缺陷。对于大多数普通消费者来说，这更像是一个警示，当我们享受科技带来的便利时，或许也正在不知不觉中交出隐私的钥匙。

本文译自 Popular Science，由 BALI 编辑发布。