快科技2月24日新闻，，，，，，克日，，，，，，启元光电科技有限公司一名DIY喜欢者试图用PS5游戏手柄控制自家大疆（DJI）Romo扫地机械人时，，，，，，意外触发严重清静误差，，，，，，导致全球约6700台该型号机械人遭未授权会见，，，，，，可被审查实时摄像头画面、获取家庭2D楼层平面图，，，，，，甚至定位装备位置。。。。。。。。

此事经The Verge曝光后，，，，，，大疆官方作出回应，，，，，，称已完成误差修复。。。。。。。。

发明该误差的是萨米·阿兹杜法尔（Sammy Azdoufal）。。。。。。。。他向媒体体现，，，，，，自己初志只是以为用PS5手柄控制新入手的大疆Romo很有趣，，，，，，便用Claude Code软件逆向工程了机械人与大疆效劳器的通讯协议，，，，，，自制了一款远程控制应用。。。。。。。。

令人意外的是，，，，，，这款应用毗连效劳器后泛起权限失控，，，，，，他仅提取了自家装备的私有令牌，，，，，，便获得了全球约7000台Romo的响应。。。。。。。。

The Verge记者现场见证了误差演示。。。。。。。。9分钟内，，，，，，阿兹杜法尔的电脑就纪录了24个国家的6700台大疆装备，，，，，，网络到10万余条装备新闻，，，，，，涵盖装备序列号、清洁房间、所见场景、行驶距离、充电时间及遇到的障碍物等。。。。。。。。

托马斯栖身空间的两张地图，，，，，，上方是从DJI效劳器获取的未经身份验证的地图；；；；；；；；下方是房东在自己手机上看到的地图。。。。。。。。

仅凭同事托马斯·里克（Thomas Ricker）提供的14位装备序列号，，，，，，便能精准审查机械人正在清洁客厅、剩余80%电量的状态，，，，，，还能获取同事家的精准楼层平面图。。。。。。。。

阿兹杜法尔说他可以远程控制扫地机械人，，，，，，并通过互联网寓目实时视频。。。。。。。。

别的，，，，，，他还能绕过自身机械人的清静PIN码审查实时画面，，，，，，甚至将一款只读版应用分享给法国一名IT咨询公司CTO贡扎格·丹布里库尔（Gonzague Dambricourt），，，，，，对方在未配对装备的情形下，，，，，，也能远程审查自家Romo的摄像头画面。。。。。。。。

阿兹杜法尔强调，，，，，，自己并未入侵大疆效劳器，，，，，，"我没有违反任何规则，，，，，，没有破解、暴力破解任何系统"，，，，，，只是他提取的自家装备私有令牌，，，，，，本应用于验证自身装备会见权限的密钥，，，，，，被大疆效劳器误判为通用权限，，，，，，进而泄露了全球数千台装备的数据。。。。。。。。

他还透露，，，，，，自荚媚课关闭工具都会扫除所有获取的数据，，，，，，并未滥用误差侵占他人隐私。。。。。。。。

以下是大疆声明全文：

大疆（DJI）于1月下旬通过内部审查发明了一个影响大疆 DJI Home 的误差，，，，，，并连忙启动修复事情。。。。。。。。该问题通过两次更新获得解决，，，，，，首次补丁于2月8日安排，，，，，，后续更新于2月10日完成。。。。。。。。修复程序已自动安排，，，，，，无需用户举行任何操作。。。。。。。。

该误差属于后端权限验证问题，，，，，，影响装备与效劳器之间基于MQTT协议的通讯。。。。。。。。只管此问题在理论上保存未经授权会见ROMO装备实时视频的可能性，，，，，，但我方视察确认，，，，，，现实爆发此类情形的概率极低。。。。。。。。

险些所有已查明的相关行为，，，，，，均为自力清静研究职员出于上报目的对自有装备举行的测试，，，，，，仅保存少少数潜在破例情形。。。。。。。。

首次补丁已针对该误差举行修复，，，，，，但尚未在所有效劳节点周全生效；；；；；；；；第二次补丁则重新启用并重启了剩余效劳节点。。。。。。。。现在问题已完全解决，，，，，，无证据批注造成了大规模影响。。。。。。。。此次事务并非传输加密问题：ROMO 装备与效劳器之间的通讯从未以明文传输，，，，，，始终通过 TLS 协议加密。。。。。。。。与 ROMO 装备（例如位于欧洲的装备）相关的数据存储在美国的 AWS 云基础设施上。。。。。。。。

大疆在数据隐私与清静方面坚持严酷标准，，，，，，并建设了识别和处置惩罚潜在误差的完善流程。。。。。。。。公司已接纳行业标准加密手艺，，，，，，并运营着恒久运行的误差奖励妄想。。。。。。。。作为标准的事后修复流程的一部分，，，，，，我们已审核通过该妄想联系PT视讯(中国区)官网的自力清静研究职员所提供的发明与建议。。。。。。。。大疆将一连实验更多清静增强步伐，，，，，，一直提升清静防护能力。。。。。。。。