【科技纵览】凤凰网科技3月7日报道,援引The Verge消息,大疆已确认向安全研究员萨米·阿兹杜法尔(Sammy Azdoufal)发放3万美元(约合人民币21万元)的漏洞赏金。该笔奖金源于其在尝试用PlayStation手柄控制自家DJI Romo扫地机器人时,意外触发一项严重安全缺陷。
阿兹杜法尔在开发自定义控制程序过程中,通过逆向分析发现其设备连接的MQTT服务器未实施有效访问控制,导致全球约7000台同型号设备的实时视频流、房间地图及运行状态等敏感数据被非授权访问。用户甚至无需输入安全PIN码即可查看他人家庭画面,构成显著隐私风险。
大疆官方发言人指出,上述“无需PIN码访问视频”问题已于2月底修复。但针对另一项更核心、尚未公开细节的后端验证漏洞,公司正推进全系统架构升级,预计全部补丁将在一个月内部署完毕。尽管大疆在当日声明中称最初漏洞系内部审查发现,但仍明确承认向外部研究人员提供了奖励。
值得注意的是,大疆强调Romo产品此前已通过ETSI、欧盟及UL等多项国际安全认证。然而,面对借助AI编程工具如Claude Code进行的协议逆向工程,现有防护机制暴露出明显短板。为此,公司承诺将加强与安全研究社区合作,并建立新的外部审计机制。
目前,DJI Romo扫地机器人已从大疆美国官网下架,但在中国大陆官网仍可正常购买。此事件再次凸显智能家居设备在便利性与安全性之间的深层张力——即便通过多重认证,面对非传统攻击路径,其防御体系仍可能瞬间瓦解。
