軟體工程師意外取得近 7,000 台 DJI Romo 掃地機器人的控制權 https://www.popsci.com/technology/robot-vacuum-army/
一名軟體工程師 Sammy Azdoufal 原本只是想把新買的 DJI Romo 掃地機器人,用遊戲手把來操控,於是自製遙控 App,並使用 AI(人工智慧)程式碼助理協助他逆向分析掃地機器人與 DJI 雲端後端的通訊方式。沒想到他在取得自家裝置的驗證憑證後,竟意外發現同一組憑證可讓他存取並控制近 7,000 台、分布 24 國的 Romo:不只可遠端操控移動,還能看即時攝影機畫面、開啟麥克風、查看地圖與狀態資料,等於把大量連網家電變成潛在的居家監控工具,而屋主可能完全不知情。
報導指出,問題核心在於後端驗證邏輯失誤:伺服器不僅驗證單一裝置的安全權杖(token),還把 Azdoufal 當成一批裝置的「擁有者」,導致他能看到其他裝置的即時影像與音訊,甚至可彙整出住家的 2D 平面圖,並從 IP 位址推估掃地機器人的大略位置。Azdoufal 強調自己並非刻意入侵,而是「走著走著就踩到洞」;他選擇沒有利用此漏洞,而是把發現告訴媒體並促成通報。DJI 表示他們在 1 月底內部檢視時發現影響 DJI Home(DJI 的家用裝置管理 App)的漏洞,已於 2 月 8 日與 2 月 10 日分兩次更新修補,且為自動推送、不需使用者額外操作,並稱後續會再強化安全措施但未說明細節。
文章把這起事件放進更大的智慧家庭隱私焦慮中:近期 Ring(亞馬遜旗下門鈴攝影機)因宣傳寵物協尋「搜尋隊」功能被質疑可能擴大監控;同時也有報導提到 Google 可為協助刑案調查而取回 Nest Doorbell(Google 智慧門鈴)影像,即使外界原以為已刪除,讓消費者對「自己到底能掌控多少敏感資料」再度起疑。再加上美國政界多年來對 DJI 等中國科技製造商的國安疑慮(證據與界線仍常被質疑不夠清楚),也被用來合理化部分產品禁令;在智慧家庭裝置持續普及、甚至走向更具互動性的家用人形機器人(如 Tesla、Figure、1X 等)之際,越來越多攝影機與麥克風進入私領域,讓單一後端漏洞的破壞性被放大,而 AI 程式碼工具降低攻擊門檻也使風險更難忽視。
Hacker News 留言區則以黑色幽默回應:有高讚留言把這起事件形容成「不小心成為神」,因為他突然能號令成千上萬台掃地機器人,並開玩笑說要命令「手下」去清除世間的小罪惡(也就是把地板掃乾淨)。這種戲謔語氣一方面凸顯事件的荒謬感,另一方面也點出同一個核心不安:當家電高度連網、又依賴雲端控管時,一個設計或驗證失誤就可能讓個人瞬間取得難以想像的權力與隱私存取範圍。
https://news.ycombinator.com/item?id=47111400
Ryan He
npub1yz…2sm0c
2026-02-25 02:55:41 UTC
Author Public Key
npub1yzzkwcxxj064yq9e0wvtxhr0l2n2lz0w22aw88gf2qcn82mk7kksm2sm0cSeen on
wss://relay.ditto.pubPublished at
2026-02-25 02:55:41 UTCEvent JSON
{
"id": "721a342c1d6ab032798b52483e38d85dc41ac8e98534f6de5a16e3304e382272",
"pubkey": "20856760c693f55200b97b98b35c6ffaa6af89ee52bae39d09503133ab76f5ad",
"created_at": 1771988141,
"kind": 1,
"tags": [
[
"proxy",
"https://mistyreverie.org/notes/aj50au68xmh40732",
"activitypub"
],
[
"client",
"Mostr",
"31990:6be38f8c63df7dbf84db7ec4a6e6fbbd8d19dca3b980efad18585c46f04b26f9:mostr",
"wss://relay.ditto.pub"
]
],
"content": "軟體工程師意外取得近 7,000 台 DJI Romo 掃地機器人的控制權 https://www.popsci.com/technology/robot-vacuum-army/\n\n一名軟體工程師 Sammy Azdoufal 原本只是想把新買的 DJI Romo 掃地機器人,用遊戲手把來操控,於是自製遙控 App,並使用 AI(人工智慧)程式碼助理協助他逆向分析掃地機器人與 DJI 雲端後端的通訊方式。沒想到他在取得自家裝置的驗證憑證後,竟意外發現同一組憑證可讓他存取並控制近 7,000 台、分布 24 國的 Romo:不只可遠端操控移動,還能看即時攝影機畫面、開啟麥克風、查看地圖與狀態資料,等於把大量連網家電變成潛在的居家監控工具,而屋主可能完全不知情。\n\n報導指出,問題核心在於後端驗證邏輯失誤:伺服器不僅驗證單一裝置的安全權杖(token),還把 Azdoufal 當成一批裝置的「擁有者」,導致他能看到其他裝置的即時影像與音訊,甚至可彙整出住家的 2D 平面圖,並從 IP 位址推估掃地機器人的大略位置。Azdoufal 強調自己並非刻意入侵,而是「走著走著就踩到洞」;他選擇沒有利用此漏洞,而是把發現告訴媒體並促成通報。DJI 表示他們在 1 月底內部檢視時發現影響 DJI Home(DJI 的家用裝置管理 App)的漏洞,已於 2 月 8 日與 2 月 10 日分兩次更新修補,且為自動推送、不需使用者額外操作,並稱後續會再強化安全措施但未說明細節。\n\n文章把這起事件放進更大的智慧家庭隱私焦慮中:近期 Ring(亞馬遜旗下門鈴攝影機)因宣傳寵物協尋「搜尋隊」功能被質疑可能擴大監控;同時也有報導提到 Google 可為協助刑案調查而取回 Nest Doorbell(Google 智慧門鈴)影像,即使外界原以為已刪除,讓消費者對「自己到底能掌控多少敏感資料」再度起疑。再加上美國政界多年來對 DJI 等中國科技製造商的國安疑慮(證據與界線仍常被質疑不夠清楚),也被用來合理化部分產品禁令;在智慧家庭裝置持續普及、甚至走向更具互動性的家用人形機器人(如 Tesla、Figure、1X 等)之際,越來越多攝影機與麥克風進入私領域,讓單一後端漏洞的破壞性被放大,而 AI 程式碼工具降低攻擊門檻也使風險更難忽視。\n\nHacker News 留言區則以黑色幽默回應:有高讚留言把這起事件形容成「不小心成為神」,因為他突然能號令成千上萬台掃地機器人,並開玩笑說要命令「手下」去清除世間的小罪惡(也就是把地板掃乾淨)。這種戲謔語氣一方面凸顯事件的荒謬感,另一方面也點出同一個核心不安:當家電高度連網、又依賴雲端控管時,一個設計或驗證失誤就可能讓個人瞬間取得難以想像的權力與隱私存取範圍。\n\nhttps://news.ycombinator.com/item?id=47111400",
"sig": "beb20476c6e77b1d1f476850ceb0e2827fe4ef0379c1945bc9d8bd305b9788e4968658100a2ee66449aacb5784be6516a32ac2dc6faa3749c5c81a26ebfec00b"
}