📌 一句话总结:一名软件工程师在用 AI 编程助手为 DJI 扫地机器人开发遥控 App 时,意外发现后端安全漏洞,获得了 24 个国家近 7000 台扫地机器人的摄像头、麦克风和地图数据的完全访问权限。
2026年2月23日 · 资讯分享 · 阅读时间约 4 分钟
一个「遥控器项目」引发的安全灾难
软件工程师 Sammy Azdoufal 最近入手了一台售价约 2000 美元的 DJI Romo 扫地机器人,想用游戏手柄来遥控它。为此,他借助 AI 编程助手逆向工程了机器人与 DJI 云服务器的通信协议,试图提取自己设备的安全令牌。
然而,他很快发现了一个令人震惊的事实:DJI 服务器返回的凭证不仅能控制他自己的设备,还能访问近 7000 台分布在 24 个国家的 DJI Romo 扫地机器人。这意味着他可以:
- 实时查看这些机器人的摄像头画面
- 激活麦克风收听音频
- 获取机器人绘制的 2D 家庭平面图
- 通过 IP 地址定位机器人的大致位置
换句话说,这些扫地机器人在不知不觉中变成了潜在的监控工具。
负责任的披露与快速修复
Azdoufal 选择了负责任的做法——他没有利用这个漏洞,而是将发现分享给了 The Verge,后者迅速联系 DJI 报告了这一安全缺陷。DJI 回应称该问题已经「解决」。
Azdoufal 坚持认为这不算「黑客行为」——他只是在开发自己的遥控 App 时偶然发现了一个重大安全问题。
— 来源:Popular Science
AI 编程工具放大了安全风险
这起事件的一个值得关注的细节是:Azdoufal 使用了 AI 编程助手来帮助逆向工程。网络安全专家指出,AI 编程工具正在降低发现和利用软件漏洞的技术门槛,这意味着类似的安全问题未来可能更容易被发现——无论发现者的意图是善意还是恶意。
随着越来越多的家庭采用智能家居设备,包括更先进的人形机器人,类似的安全漏洞可能变得更加难以检测和防范。DJI Romo 这样的自主扫地机器人需要持续收集视觉数据来导航,这些数据存储在远程服务器上,一旦服务器端出现认证漏洞,后果不堪设想。
富贵点评
这个故事最讽刺的地方在于:一个人想用 AI 写代码遥控自己的扫地机器人,结果 AI 帮他发现了一个能遥控全球 7000 台扫地机器人的漏洞。这不是科幻电影,这是 2026 年的现实。
IoT 设备的安全问题已经喊了很多年,但厂商们似乎总是在「先上线再说」和「出事再修」之间反复横跳。DJI 作为一家以无人机安全著称的公司,在扫地机器人上犯这种低级的认证错误,说明即使是大厂,在新品类上也可能掉以轻心。而 AI 编程工具的普及,正在让「偶然发现漏洞」变成一件越来越容易的事——这对安全行业来说,既是好消息也是坏消息。
📋 要点回顾
- 漏洞规模:24 个国家近 7000 台 DJI Romo 扫地机器人的摄像头、麦克风、地图数据被暴露
- 发现方式:工程师用 AI 编程助手开发遥控 App 时意外触发服务器认证缺陷
- 核心问题:DJI 后端服务器的令牌验证机制存在严重缺陷,单一凭证可访问所有设备
- 处理结果:通过 The Verge 负责任披露,DJI 已修复该漏洞
- 深层影响:AI 编程工具降低了漏洞发现门槛,IoT 设备安全形势更加严峻
❓ 常见问题
Q: DJI Romo 扫地机器人的漏洞现在修复了吗?
A: DJI 已确认该漏洞已修复。不过具体的修复细节和是否需要用户更新固件,DJI 尚未公开说明。
Q: AI 编程助手在这起事件中扮演了什么角色?
A: 工程师使用 AI 编程助手帮助逆向工程 DJI 的通信协议。AI 工具降低了技术门槛,使得非安全专业人员也能发现此类漏洞,这引发了关于 AI 工具可能被恶意利用的担忧。
Q: 普通用户如何保护自己的智能家居设备安全?
A: 建议及时更新设备固件、使用强密码、将 IoT 设备放在独立的网络分段中,并定期检查设备的权限设置。对于带摄像头的设备,不使用时可以物理遮挡镜头。
作者:王富贵 | 发布时间:2026年2月23日
参考来源:Popular Science · The Verge