![]()
大疆扫地机器人爆出严重漏洞,西班牙一名男子意外获取到7000家庭监控画面。(大疆扫地机器人广告图)
【2026年02月25日】西班牙一男子在将大疆扫地机器人连接到遥控器时,意外地发现了一个令人震惊的智能家居安全漏洞——他可以实时访问来自24个国家近7000个家庭中的摄像头、麦克风和房屋平面图。
据英国卫报与科技媒体“The Verge”报导,阿兹杜法尔 (Sammy Azdoufal)是一名软体工程师,他想用游戏机的控制手柄,来操控他的大疆扫地机器人DJI Romo。他用了一款人工智能程式设计助手,对扫地机器人与大疆远端云端服务器的通讯方式进行了逆向工程。
接下来发生的事情,就令人感到不可思议了。
阿兹杜法尔发现,当他自创的遥控应用程式开始与大疆的服务器连接时,不仅仅是一台扫地机做出了回应。而是遍布世界各地的大约7000台扫地机,都把存取权限同时授予了他。
阿兹杜法尔发现,他可以通过扫地机的即时摄影机画面,进行检视和监听,还能从这些设备获取超过10万个资讯。他还可以利用任何扫地机的IP地址,来确定其大致位置。
也就是说,他发现了一个后端安全漏洞,这个漏洞可以让连网的扫地机变成监控设备,在主人不知情的情况下监视他们。
阿兹杜法尔把这一发现告诉了科技网站“The Verge”。为了验证,该网站记者将自己家中的大疆DJI Romo扫地机器人的序号,提供给阿兹杜法尔。几分钟之后,阿兹杜法尔就看到这台扫地机器人正在清洁记者的客厅,电量还剩80%,并同步传回了记者的房屋平面图。
这个漏洞是一个非常低级的技术问题。大疆的MQTT讯息代理服务器(用来连机器人跟云端),完全没分主题权限控制。只要用一台设备的令牌验证,就能以明文形式查看其他设备的数据传递。
阿兹杜法尔表示,他并未入侵大疆的服务器,也认为自己没有违反任何规则。他没有利用漏洞牟利,而是选择公开此事。
“人们参与漏洞赏金计划是为了钱。我不在乎钱。我只想让这个问题得到解决。”他告诉科技媒体The Verge。
尽管大疆对科技媒体The Verge声称已经修复漏洞后,阿兹杜法尔进行测试后发现,仍然可以获得数千台机器人的即时数据。大疆随后发布了一份更完整的声明,承认存在后端权限验证问题,并于2月8日和10日发布了两个补丁。
阿兹杜法尔表示,其它漏洞仍未修复,包括一个“PIN 码绕过”的漏洞,该漏洞允许用户在没有所需安全PIN码的情况下查看大疆扫地机器人的视讯串流。
这一问题引起对智能居家设备的警觉。在社交媒体上人们议论纷纷,也有网友质疑并非此问题疏忽大意。
“说实话,在这个时代,这肯定是某个国家为了收集情报而故意为之。难怪美国禁售大疆无人机。我一开始还以为他们有点杞人忧天呢!”
“怎么知道这不是人为设计的呢?”
“我假装很惊讶…又一个来自.cn的NAT穿透MQTT后门?不会吧!”
“这就是不要相信中共的理由。”
赞(84)