玩家用PS5手柄獲得6700台大疆掃地機器人控製權 純屬意外

日前一名DIY愛好者試圖用PS5遊戲手柄控製自家大疆（DJI）Romo掃地機器人時，用P意外意外觸發嚴重安全漏洞，手掃地導致全球約6700台該型號機器人遭未授權訪問，柄獲可被查看實時攝像頭畫麵、得台大疆獲取家庭2D樓層平麵圖，機器甚至定位設備位置。人控

此事經The 製權Verge曝光後，大疆官方作出回應，純屬稱已完成漏洞修複。用P意外

發現該漏洞的手掃地是薩米·阿茲杜法爾（Sammy Azdoufal）。他向媒體表示，柄獲自己初衷隻是得台大疆覺得用PS5手柄控製新入手的大疆Romo很有趣，便用Claude Code軟件逆向工程了機器人與大疆服務器的機器通信協議，自製了一款遠程控製應用。人控

令人意外的製權是，這款應用連接服務器後出現權限失控，他僅提取了自家設備的私有令牌，便獲得了全球約7000台Romo的響應。

The Verge記者現場見證了漏洞演示。9分鍾內，阿茲杜法爾的電腦就記錄了24個國家的6700台大疆設備，收集到10萬餘條設備消息，涵蓋設備序列號、清潔房間、所見場景、行駛距離、充電時間及遇到的障礙物等。

托馬斯居住空間的兩張地圖，上方是從DJI服務器獲取的未經身份驗證的地圖；下方是房主在自己手機上看到的地圖。

僅憑同事托馬斯·裏克（Thomas Ricker）提供的14位設備序列號，便能精準查看機器人正在清潔客廳、剩餘80%電量的狀態，還能獲取同事家的精準樓層平麵圖。

此外，他還能繞過自身機器人的安全PIN碼查看實時畫麵，甚至將一款隻讀版應用分享給法國一名IT谘詢公司CTO貢紮格·丹布裏庫爾（Gonzague Dambricourt），對方在未配對設備的情況下，也能遠程查看自家Romo的攝像頭畫麵。

阿茲杜法爾強調，自己並未入侵大疆服務器，“我沒有違反任何規則，沒有破解、暴力破解任何係統”，隻是他提取的自家設備私有令牌，本應用於驗證自身設備訪問權限的密鑰，被大疆服務器誤判為通用權限，進而泄露了全球數千台設備的數據。

他還透露，自己每次關閉工具都會清除所有獲取的數據，並未濫用漏洞侵犯他人隱私。