男子意外控制了7000台机器人吸尘器
Source: Hacker News
流行科学每日通讯 💡
突破、发现以及 DIY 小技巧——每周发送六天。
Source: https://www.popsci.com/story/reviews/best-robot-vacuum/
一次 DJI 机器人吸尘器的黑客攻击曝光了数千个家庭
一位软件工程师尝试用游戏手柄控制他的新 DJI 机器人吸尘器,却意外地看到了成千上万其他人的家居画面。
在构建自己的遥控应用时,Sammy Azdoufal 使用 AI 编码助手逆向分析了机器人与 DJI 远程云服务器的通信方式。他很快发现,能够让他查看和控制自己设备的同一套凭证,也能访问:
- 实时摄像头画面
- 麦克风音频
- 地图和状态数据
……来自 24 个国家的近 7,000 台其他吸尘器。后端的安全漏洞实际上暴露了一支互联网连接的机器人军团,如果落入不法之手,可能会成为监视工具——而设备所有者根本不知情。
DJI Romo。图片来源:DJI
幸运的是,Azdoufal 并未利用该缺陷。他将发现分享给 The Verge,后者随即联系 DJI 报告此漏洞。DJI 向 Popular Science 表示,问题已 得到解决,但此事凸显了网络安全专家的警告:互联网连接的机器人和其他智能家居设备是黑客的极具吸引力的目标。
“互联网连接的机器人是黑客的极具吸引力的目标。” – Popular Science(来源: arXiv 预印本)
随着越来越多的家庭采用家用机器人——包括更新、更具交互性的类人模型(示例)——类似的漏洞可能会变得更难检测。AI 驱动的编码工具降低了非技术用户利用软件缺陷的门槛,可能会放大这些风险。
社区反应
我可以确认 @DJIGlobal 已经终于修复了他们服务器上存在的巨大漏洞。
该漏洞是由技术高超的 @n0tsa 发现的,他已向 DJI 报告。
它允许对超过 10,000 台机器人进行远程控制(移动、麦克风、摄像头)……
— Gonzague 👨🏼💻
February 11 2026
误入巨大的安全漏洞
机器人指的是 DJI Romo——一款去年在中国首次推出的自主家用吸尘机器人,现正向其他国家扩展。它的零售价约为 2,000 美元,停靠在基座时大小约相当于一只大型梗犬或一台小冰箱。和其他机器人吸尘器一样,它配备了多种传感器,用于感知周围环境并检测障碍物。用户可以通过 App 进行预约和控制,但它的设计目标是大部分时间自行完成清扫和拖地工作。
设备工作原理
- Romo(以及任何现代自主吸尘器)会持续收集其所在建筑的视觉数据。
- 为了正确导航,它必须了解每个房间的具体信息(例如厨房与卧室的区别)。
- 部分传感器数据会存储在 DJI 的服务器上,而不是保存在设备本身。
为了让 Azdoufal 的 DIY‑controller 想法得以实现,他需要让自己的 App 与 DJI 服务器通信,并提取一个能够证明自己是机器人所有者的安全令牌。
漏洞详情
服务器在验证单个令牌时出现失误,竟然为 一大批机器人 授予了访问权限,等同于把他视为每台机器人的所有者。这个失误使 Azdoufal 能够:
- 接入实时摄像头画面。
- 激活机器人的麦克风。
- 生成机器人所在住宅的二维平面图。
- 根据机器人的 IP 地址推断出大致位置。
Azdoufal 坚称这些行为并不构成“黑客攻击”;他只是“偶然发现了一个重大安全问题”。
“DJI 在一月下旬通过内部审查发现了影响 DJI Home 的漏洞,并立即启动了修复工作,” DJI 对 Popular Science 透露。
“该问题通过两次更新得到解决,首次补丁于 2 月 8 日发布,随后在 2 月 10 日完成了后续更新。修复已自动部署,用户无需采取任何操作。”
DJI 补充称,计划“继续实施更多安全增强措施”,但未具体说明这些措施的内容。
相关链接: 最佳机器人吸尘器
房主正与智能家居的隐私代价搏斗
DJI 的安全担忧出现在人们对智能家居技术监控能力日益不安的时期。本月早些时候,Ring 摄像头用户在社交媒体上刷屏,因为该公司宠物寻找“搜索派对”功能的争议广告被部分人解读为更广泛监控的特洛伊木马。
与此同时,有报道称 Google 能够调取 Nest 门铃摄像头的视频录像,以协助一起绑架案的调查(尽管此前有迹象表明该录像已被删除),这重新点燃了关于消费者对其敏感数据究竟拥有多少控制权的辩论。
美国两党立法者多年来一直警告,DJI 以及其他中国科技制造商构成独特的安全威胁。尽管这些主张的证据并不明确,但它们帮助为禁售某些中国制造的产品提供了理由。
许多机器人吸尘器和其他智能家居设备的讽刺之处在于,作为一个类别,它们长期存在可疑的安全做法——即便它们运行在我们最私密的空间中。所有迹象表明,普通人很快会欢迎更多摄像头和麦克风进入家中,而不是更少。
- 截至 2020 年,市场研究公司 Parks Associates 估计 5400 万美国家庭 至少安装了一件智能家居设备。
- 其他调查显示,已经拥有设备的家庭往往想要更多。
更加复杂的设备正在到来
进入家庭的具体设备类型正变得更加复杂。虽然仍处于早期阶段,但 Tesla、Figure 等公司正竞相打造能够居家生活并执行家务的类人自主机器人。
一家名为 1X 的公司已经在零售其中一种类人机器人,声称它可以洗碗和剥核桃——尽管常常需要人类的帮助。最终,要让这些家庭机器人有效运作,它们将需要前所未有地访问主人家中的细节信息。对跟踪者或黑客而言,这将是潜在的金矿。
个人轶事
正如他所承诺的,Azdoufal 最终卷入了这场混乱,尽管他只想用摇杆驱动他的机器人。就此而言,任务完成:
使用 PS5 手柄控制 DJI Romo 吸尘器
2025 PopSci – 最佳新事物
本年度 50 项最重要的创新