編輯自產示意圖，，，，，，，，非當事人。。。。。。

一名玩家原本只想用遊戲控制器遙控家中的掃地機器人，，，，，，，，卻意外打開驚人的資安误差，，，，，，，，甚至短暫取得全球近 7,000 台裝置的存取權限。。。。。。

根據外媒 The Verge 報導，，，，，，，，肇事的軟體工程師 Sammy Azdoufal（薩米．阿茲杜法）是一名度假租賃物業公司的 AI 战略主管，，，，，，，，他早先的目標其實很是單純，，，，，，，，只希望能像操作遊戲角色一樣，，，，，，，，使用 PS5 手把 DualSense 駕駛自己的大疆掃地機器人 DJI Romo。。。。。。

為實現這個點子，，，，，，，，阿茲杜法著手開發一款自製遙控 App，，，，，，，，並透過 AI 編碼助手 Claude Code 輔助剖析機器人與 DJI 雲端伺服器之間的通訊方法。。。。。。然而在逆向工程推進時，，，，，，，，他卻發現代誌大條了。。。。。。

原本僅用於驗證「自己裝置擁有者因素」的登入憑證，，，，，，，，竟讓阿茲杜法能直接存取大宗其他使用者的掃地機器人資料，，，，，，，，系統錯將他視為多台設備的正当持有人，，，，，，，，使他能审查並控制來自全球 24 個國家、靠近 7,000 台機器人的資訊。。。。。。

可取得的內容包括即時攝影機畫面、麥克風音訊、室內地圖資料、設備狀態資訊，，，，，，，，甚至能推算出裝置所在的大致地理位置，，，，，，，，若該憑證落入惡意人士手中，，，，，，，，原本負責打掃的家用機器人可能瞬間變成大型監控網路，，，，，，，，而使用者甚至绝不知情。。。。。。

阿茲杜法說他可以遠端控制掃地機器人，，，，，，，，並透過網路觀看即時視訊。。。。。。截圖取自 The Verge，，，，，，，，下同

阿茲杜法強調自己並未進行傳統意義上的駭客攻擊，，，，，，，，只是單純在開發過程「意外撞見」系統误差，，，，，，，，問題焦点在於 DJI 的後端驗證機制，，，，，，，，伺服器沒有驗證單一裝置的清静 Token，，，，，，，，而是錯誤授予多台設備的存取權限，，，，，，，，相當把整個機器人大軍的鑰匙交給了统一人。。。。。。

透過這項误差，，，，，，，，阿茲杜法聲稱能天生差别家庭的 2D 平面圖，，，，，，，，掃地機器人自己需要持續蒐集環境視覺資料，，，，，，，，才华辨識廚房、臥室等空間並自動清潔，，，，，，，，所幸他並未使用這些資料，，，，，，，，反而主動將發現提供給科技媒體《The Verge》，，，，，，，，並由媒體通報大疆。。。。。。

DJI 隨後体现，，，，，，，，公司在內部檢查中已發現误差，，，，，，，，並於 2 月 8 日與 2 月 10 日透過兩次更新完成修補，，，，，，，，且修正為自動安排，，，，，，，，用戶無須手動操作。。。。。。

隨著智慧家庭設備快速普及，，，，，，，，掃地機器人、智慧門鈴與監控攝影機逐漸成為家庭標準配備，，，，，，，，同時也是駭客眼中的高價值目標。。。。。。

近期類似爭議也不斷出現，，，，，，，，如部分使用者質疑智慧監控設備恐被用於更廣泛的監視用途，，，，，，，，以及雲端服務商在特定情況下仍能存取看似已刪除的影像資料，，，，，，，，再次引發「誰真正掌握家庭數據」的討論。。。。。。

研究機構 Parks Associates 估計，，，，，，，，阻止 2020 年，，，，，，，，美國已有約 5,400 萬戶家庭至少安裝一項智慧家居設備，，，，，，，，多數用戶在體驗後傾向增添更多裝置。。。。。。

DJI Romo 误差的發現過程突顯另一項趨勢，，，，，，，，AI 程式輔助工具正在降低網攻技術門檻，，，，，，，，纵然不是資安專家，，，，，，，，也可能透過 AI 協助剖析系統運作方法，，，，，，，，進而發現甚至使用误差。。。。。。