大疆扫地机器人曝全球性安全漏洞
2026年2月14日,中国科技公司大疆创新(DJI)的Romo扫地机器人被曝存在重大安全缺陷。研究人员萨米·阿兹杜法尔(Sammy Azdoufal)通过自制远程控制程序发现,其个人设备在连接大疆服务器后竟引发全球7000余台同类机器人的同步响应。
漏洞细节曝光
阿兹杜法尔表示,他仅用索尼PS5手柄试图操控新购入的Romo扫地机器人,却意外发现设备通过MQTT协议(一种物联网通信协议)与大疆服务器的交互存在严重缺陷。该漏洞使攻击者可远程查看设备实时摄像头画面、获取房屋2D平面图、追踪设备位置及记录障碍物数据。仅9分钟内,其程序便收集到24国6700台设备生成的10万条数据。
安全隐患引发连锁反应
该事件虽未造成大规模隐私泄露,但凸显智能家居设备安全防护不足。2024年Ecovacs扫地机器人曾被黑客利用摄像头传播种族歧视言论,2025年韩国政府机构发现Dreame、Ecovacs等品牌存在实时视频监控漏洞。大疆声明称已通过两次补丁修复问题,但研究人员指出其服务器数据仍以明文形式存储,存在持续风险。
争议中的安全实践
阿兹杜法尔质疑大疆的自主发现能力,称其仅在漏洞曝光后采取补救措施。安全专家凯文·芬内斯特尔(Kevin Finisterre)强调,即便数据通过TLS加密传输,服务器内部权限管理缺陷仍可能导致隐私泄露。目前约10000台设备(含大疆Power电源设备)仍存在被远程操控的可能。
大疆在声明中称未发现广泛影响,但承认补丁最初未全面部署。用户数据目前存储在美国AWS云基础设施中,但研究人员指出地理服务器位置无法阻止中国员工访问。事件正在引发对智能家居行业数据安全标准的重新审视。
编辑点评
此次大疆扫地机器人漏洞事件,揭示了全球智能家居产业在安全合规方面的普遍挑战。从技术层面看,MQTT协议的权限验证漏洞和明文存储问题,暴露了物联网设备在跨地域数据管理中的风险。美国市场对大疆的警惕本就存在,此次事件可能强化其监管立场。值得注意的是,尽管大疆宣称已修复漏洞,但补丁分阶段部署和持续存在设备级安全隐患,暗示其安全体系的系统性缺陷。此事件与2024年Ecovacs、2025年Dreame等案例形成对照,反映中国科技企业全球化产品在满足美国、欧盟等市场安全标准时面临的双重压力。未来或将推动更严格的跨境数据存储法规制定,同时刺激智能家居行业安全认证体系的升级重构。