一名软件工程师在尝试用游戏手柄控制自己的扫地机器人时,无意中发现了一个严重的服务器安全漏洞。这个漏洞让他能够访问全球近 7000 台同款机器人的实时摄像头、麦克风和家庭地图数据。尽管大疆(DJI)公司已经修复了此问题,但这一事件暴露了智能家居设备普遍存在的隐私风险,尤其是在人工智能和更复杂家用机器人不断发展的背景下,用户隐私安全正面临着更大的挑战。
一个意外的发现
软件工程师 Sammy Azdoufal 只是想实现一个简单的目标:用游戏手柄远程控制他的大疆 Romo 扫地机器人。在借助 AI 编码工具逆向工程设备与云服务器的通信方式时,他偶然发现了一个巨大的安全漏洞。
他很快意识到,用来验证他自己设备所有权的 安全凭证,竟然同样适用于全球范围内的其他设备。这个后台安全漏洞,让他意外地获得了对一个庞大机器人网络的访问权限。
在心怀不轨的人手中,这些遍布全球的机器人可能会在主人毫不知情的情况下,变成一个庞大的监视工具。
幸运的是,Azdoufal 并未利用此漏洞,而是选择将其公之于众,并联系了大疆公司。
漏洞的严重性
这个安全漏洞的波及范围非常广,涉及 24 个国家近 7000 台正在运行的机器人。通过这个漏洞,攻击者可以获取大量极其敏感的个人隐私数据。
- 实时画面与音频: 可以随时接入机器人的 摄像头和麦克风,实时监视家庭内部情况。
- 家庭地图: 能够生成并访问用户住宅的 2D 平面图。
- 地理位置: 通过设备的 IP 地址,可以大致确定其所在的 物理位置。
Azdoufal 强调,他的行为并非“黑客攻击”,他只是在进行个人项目时,无意中“绊倒”在这个巨大的安全问题上。
公司的回应与修复
在接到报告后,大疆公司迅速采取了行动。他们向外界确认,该问题已经得到解决。
- 内部审查发现: 大疆声称在一月底的内部审查中也发现了该漏洞,并立即开始修复。
- 自动部署修复: 通过两次服务器更新,问题已于二月初被彻底解决。
- 无需用户操作: 修复是自动完成的,用户不需要进行任何操作。
该公司表示,将继续实施额外的安全增强措施,但未透露具体细节。
智能家居的隐私代价
大疆的这次事件,只是智能家居领域日益增长的隐私忧虑的一个缩影。消费者在享受便利的同时,也在不断权衡隐私成本。
- 普遍存在的不安: 从 Ring 摄像头的监控争议,到 Google Nest 门铃的数据控制权问题,公众对智能设备的 监视能力 越来越警惕。
- 便利与风险并存: 讽刺的是,这些在最私密空间(家庭)中运行的设备,在安全实践方面却有着不甚光彩的历史。
- 未来的挑战: 随着技术发展,类似特斯拉、Figure 等公司正在研发的人形机器人将进入家庭。这些设备为了有效工作,需要 前所未有的权限 来访问我们生活的私密细节,这为潜在的黑客或窥探者提供了巨大的机会。
最终,普通用户将在家中部署越来越多的摄像头和麦克风。如何确保这些设备不被滥用,是所有制造商和用户都需要面对的严峻问题。