工程师意外控制数千台扫地机器人，揭示重大安全漏洞

全球 - 艾赫巴里通讯社

工程师意外控制数千台扫地机器人，揭示重大安全漏洞

在一个事件中，智能家居生态系统日益增长的网络安全风险被清晰地揭示出来。一名软件工程师无意中发现了一个严重的安全漏洞，使他未经授权地访问了数千台大疆Romo扫地机器人。最初只是一个旨在增强设备功能的个人项目，很快就演变成了一个关于互联网连接设备中普遍存在的监控和隐私侵犯潜力的关键揭示。

涉事工程师萨米·阿兹杜法尔（Sammy Azdoufal）开始了一项看似无害的尝试：使用视频游戏控制器来操纵他的新大疆扫地机器人。在他开发自定义遥控应用程序的过程中，阿兹杜法尔利用了AI编码助手来帮助逆向工程机器人与大疆远程云服务器之间的通信协议。令他惊讶的是，他很快发现，允许他操作自己设备的凭据也提供了对24个不同国家近7,000台其他大疆Romo设备的实时摄像头画面、麦克风音频、详细的平面地图和状态数据的无限制访问。这不仅仅是一个小故障；这是一个后端安全漏洞，它有效地暴露了整个互联网连接机器人舰队，如果被恶意行为者利用，这些机器人可能会在未经其所有者知晓或同意的情况下，被武器化为强大的、秘密的监控工具。

至关重要的是，阿兹杜法尔选择了道德披露而非利用。他立即将他令人震惊的发现分享给了科技新闻媒体The Verge，后者反过来联系了大疆报告了这一关键漏洞。尽管大疆已向《大众科学》表示问题已“解决”，但这一戏剧性事件有力地证实了网络安全专家长期以来的警告。这些专业人士一直警告说，互联网连接机器人和其他智能家居设备的普及，为黑客创造了一个日益有吸引力且脆弱的目标环境。该事件进一步强调了人工智能驱动的编码工具等快速发展的技术如何无意中降低利用软件漏洞的门槛，从而可能放大整个数字领域的安全担忧。

这场争议的核心设备是大疆Romo，这是一款去年在中国首次推出并正在逐步扩大其全球市场份额的自主家用吸尘器。这款售价约2000美元的精密设备配备了一系列传感器，旨在在家居环境中进行复杂的导航和障碍物检测。为了使这种现代自主吸尘器 optimally 运行，它需要持续收集视觉数据，并能够区分厨房和卧室等各种家庭空间。这些敏感传感器数据的重要部分远程存储在大疆的云服务器上，而不仅仅是设备本身。阿兹杜法尔的DIY控制器项目要求他的应用程序与这些服务器通信，以提取验证其所有权的密钥。关键的错误在于，大疆的服务器没有验证阿兹杜法尔设备的单个、唯一的密钥，而是无意中授予了他相当于主访问权限，实际上将他视为整个机器人队伍的所有者。这一疏忽使他能够访问实时摄像头画面、激活麦克风、编译2D平面图，甚至通过IP地址确定大致地理位置——所有这些在他看来都不是传统的“黑客行为”，而是偶然发现了系统性安全漏洞。

大疆确认其“在1月底通过内部审查发现了影响大疆之家的漏洞，并立即启动了修复工作。”该公司表示，该问题已通过两次更新解决，首次补丁于2月8日部署，后续更新于2月10日完成，两者均在无需用户干预的情况下自动应用。虽然大疆计划“实施额外的安全增强措施”，但具体细节尚未披露。

大疆的这些安全担忧恰逢智能家居技术监控能力引发普遍不安的时期。近期事件，如Ring摄像头“搜索派对”功能引发的争议，以及谷歌在有证据表明已删除的情况下，仍为绑架调查检索Nest门铃录像的报道，都重新引发了关于消费者对敏感数据控制权的激烈辩论。此外，美国两党议员长期以来一直警告称，大疆和其他中国科技制造商构成独特的国家安全威胁，导致对某些中国制造产品实施了限制，尽管相关证据仍是持续辩论的主题。

许多扫地机器人和其他智能家居设备的内在讽刺在于，尽管它们在我们家中最为私密的区域运行，但它们却有着可疑的安全实践历史。预测表明，普通家庭很快将集成更多的摄像头和麦克风。市场研究公司Parks Associates估计，截至2020年，美国有5400万家庭至少拥有一台智能家居设备，趋势表明人们渴望拥有更多。随着特斯拉、Figure和1X等公司竞相开发用于家务的先进人形机器人，这些设备将需要对主人家庭的私密细节拥有前所未有的访问权限。对于跟踪者或黑客来说，这种访问代表着潜在的个人信息金矿。虽然阿兹杜法尔成功实现了用操纵杆控制其机器人的目标，但他的旅程却无意中暴露了一个更重要、更紧迫的安全问题，影响着全球数百万智能家居用户。

艾赫巴里通讯社