2月24日，据国内媒体报道，一名DIY爱好者用PS5游戏手柄控制自家大疆（DJI）Romo扫地机器人时，意外触发严重安全漏洞，导致全球约6700台该型号机器人遭未授权访问，可被查看实时摄像头画面、获取家庭2D楼层平面图，甚至定位设备位置。
发现该漏洞的是萨米·阿兹杜法尔（Sammy Azdoufal）。他向媒体表示，自己初衷只是觉得用PS5手柄控制新入手的大疆Romo很有趣，便用Claude Code软件逆向工程了机器人与大疆服务器的通信协议，自制了一款远程控制应用。

令人意外的是，这款应用连接服务器后出现权限失控，他仅提取了自家设备的私有令牌，便获得了全球约7000台Romo的响应。

The Verge记者现场见证了漏洞演示。9分钟内，阿兹杜法尔的电脑就记录了24个国家的6700台大疆设备，收集到10万余条设备消息，涵盖设备序列号、清洁房间、所见场景、行驶距离、充电时间及遇到的障碍物等。

仅凭同事托马斯·里克（Thomas Ricker）提供的14位设备序列号，便能精准查看机器人正在清洁客厅、剩余80%电量的状态，还能获取同事家的精准楼层平面图。

此外，他还能绕过自身机器人的安全PIN码查看实时画面，甚至将一款只读版应用分享给法国一名IT咨询公司CTO贡扎格·丹布里库尔（Gonzague Dambricourt），对方在未配对设备的情况下，也能远程查看自家Romo的摄像头画面。

阿兹杜法尔强调，自己并未入侵大疆服务器，"我没有违反任何规则，没有破解、暴力破解任何系统"，只是他提取的自家设备私有令牌，本应用于验证自身设备访问权限的密钥，被大疆服务器误判为通用权限，进而泄露了全球数千台设备的数据。

大疆方面回应：大疆（DJI）于1月下旬通过内部审查发现了一个影响大疆 DJI Home 的漏洞，并立即启动修复工作。该问题通过两次更新得到解决，首次补丁于2月8日部署，后续更新于2月10日完成。修复程序已自动部署，无需用户进行任何操作。

点击图片查看原图

点击图片查看原图

点击图片查看原图