软件工程师意外控制近7000台扫地机器人 引发网络安全警报
一名软件工程师在开发遥控扫地机器人应用时,意外发现可通过AI编码助手逆向工程获取DJI扫地机器人云端服务器的访问权限,从而控制全球近7000台设备。
该工程师Sammy Azdoufal在调试过程中发现,其设备的认证凭证可被用于访问其他用户设备的实时摄像头画面、麦克风音频、地图数据及运行状态信息。这些设备遍布24个国家,部分设备还暴露了用户家庭的2D平面图及大致地理位置。
该漏洞本质上是云端后端的安全缺陷,使联网机器人可能被滥用于监控,且用户完全不知情。Azdoufal未利用此漏洞牟利,而是向The Verge披露,后者迅速联系DJI报告问题。
DJI向Popular Science确认,已通过两次更新修复漏洞:首次补丁于2月8日部署,后续更新于2月10日完成,全面消除风险。
该事件凸显物联网设备在隐私保护和网络安全方面的薄弱环节,引发对智能家电数据安全的广泛讨论。
编辑点评
此次事件暴露了智能物联网设备在安全架构上的系统性风险。DJI作为全球领先的消费级无人机与智能硬件企业,其扫地机器人用户遍及多国,此次漏洞若被恶意利用,可能构成大规模监控威胁,影响范围远超单一家庭。尽管事件未造成实际损害,但其潜在危害性极高,尤其在当前全球对数据主权和隐私保护日益重视的背景下,可能引发多国监管机构对智能设备安全标准的重新审视。未来,类似漏洞或推动国际社会加快制定统一的IoT安全认证体系,尤其在涉及视频、音频等敏感数据采集的设备上。同时,该事件也凸显AI辅助开发工具在加速创新的同时,可能无意中暴露系统脆弱性,企业需在开发流程中嵌入更严格的安全审查机制。