玩家用PS5手柄获得6700台大疆扫地机器人控制权 纯属意外

近日，一名DIY爱好者在尝试用PS5游戏手柄远程控制自家大疆（DJI）Romo扫地机器人时，意外发现并验证了一个严重安全漏洞。该漏洞导致全球约6700台同型号Romo机器人遭受未授权访问——攻击者可实时查看设备摄像头画面、获取家庭2D楼层平面图，甚至精确定位设备物理位置。事件经科技媒体《The Verge》独家报道后引发广泛关注，大疆官方随即确认漏洞存在，并表示已紧急完成修复。

发现该漏洞的是安全研究者萨米·阿兹杜法尔（Sammy Azdoufal）。他坦言，最初动机纯粹出于兴趣：刚入手一台Romo后，觉得“用PS5手柄操控它会很酷”，于是借助Claude Code工具对Romo与大疆云服务器之间的通信协议展开逆向分析，并自主开发了一款轻量级远程控制应用。

然而，在首次连接大疆服务器时，阿兹杜法尔意外观察到权限机制出现严重异常：他仅提取了自家设备的私有访问令牌（即用于身份认证的唯一密钥），系统却未做严格绑定校验，反而将其识别为具备全局访问能力的“通用凭证”。结果，他的应用不仅连通自身设备，更收到了来自全球范围内约7000台Romo机器人的响应。

《The Verge》记者亲临现场见证了漏洞复现全过程。在短短9分钟内，阿兹杜法尔的终端便成功接收并记录了来自24个国家的6700台Romo设备发来的逾10万条原始数据包。这些信息涵盖设备序列号、当前清洁区域、实时拍摄场景、累计行驶距离、剩余电量、充电时长，以及机器人在清扫过程中识别出的障碍物类型等高度敏感内容。

一个尤为直观的例证是托马斯·里克（Thomas Ricker）家的空间地图对比：上方图像直接由DJI服务器未经身份验证返回，清晰呈现其住宅完整2D平面结构；下方则是托马斯本人通过官方App登录后所见的地图——二者完全一致，但后者需经过严格账户绑定与设备配对。更令人担忧的是，仅凭托马斯提供的14位设备序列号，阿兹杜法尔即可精准获知该机器人正于客厅作业、当前电量为80%，并同步下载其家庭楼层图。

此外，该漏洞还绕过了Romo本地设置的安全PIN码机制，使攻击者得以直接调取实时视频流。为验证漏洞的普适性，阿兹杜法尔将一款仅具备“只读”功能的简化版应用分享给法国某IT咨询公司CTO贡扎格·丹布里库尔（Gonzague Dambricourt）。后者在**未进行任何设备配对、未安装官方App、也未输入任何账号凭证**的前提下，成功远程访问并查看了自家Romo的实时摄像头画面。

阿兹杜法尔特别强调：“我从未入侵大疆服务器，没有破解任何系统，也没有实施暴力破解或越权扫描。”他指出，问题根源在于大疆服务器端的身份验证逻辑缺陷——本应仅授权单设备访问的私有令牌，被错误地赋予了跨设备、跨账户的全局查询权限。“这不是我‘攻破’了系统，而是系统把我的钥匙当�闪送蚰�门禁卡。”

他还补充说明，整个研究过程中始终秉持负责任披露原则：每次测试结束后均主动清除所有临时采集的数据，未留存、未传播、未滥用任何用户隐私信息，亦未对任何设备实施非授权操作。目前，该漏洞已由大疆确认并完成服务端修复，相关安全补丁已随固件更新推送至全部受影响设备。