如果你以为黑客都是那种躲在地下室、满屏代码、眼神阴鸷的怪人,那你想错了。
有时候,他们只是一个想用PS5手柄玩扫地机的极客。
Sammy Azdoufal 就是这么个“倒霉蛋”。
他原本只想给自己的大疆扫地机写个远程控制APP,顺便用AI助手逆向工程了一下服务器接口。
结果,服务器不仅没拦他,反而把大门敞开,甚至贴心地递给他一把“万能钥匙”。
翻车现场
事情得从这台名叫 DJI Romo 的扫地机说起。
这玩意儿不便宜,售价大概2000美元,个头长得像只大号梗犬,不仅能扫地拖地,还配了一堆传感器和摄像头。
Sammy 觉得官方APP不够劲,想搞个私人定制——能不能像玩游戏一样,用手柄操控扫地机?
想法很美好,现实很魔幻。
为了实现这个“伟大”的娱乐项目,他借助AI编码助手,破解了扫地机与云端服务器的通信方式。
理论上,服务器应该验证他的身份,只给他自己那台机器的权限。
但是,
同一个凭证,竟然让他拥有了近7000台扫地机的最高权限。
这可不是简单的开关机。
这意味着,他能看到这些机器分布在24个国家的实时位置,能偷听家里的声音,甚至能查看这些家庭的实时摄像头画面和2D户型图
你的客厅,正在全网“裸奔”
老实讲,看到这里我背脊有点发凉。
Sammy 声称自己并没有真的去控制别人的设备(也就是没真的去“偷看”),但技术上的事实是:他完全可以这么做。
只要他愿意,他可以让这7000台机器同时启动,或者在几千个客厅里大声播放音乐,甚至把画面录下来打包出售。
这听起来像个荒诞的段子。就像评论里那个关于 Steven Wright 的笑话:
“我家里有个开关啥也不管,但我偶尔还是会按几下。昨天,我接到一个德国女人的电话,她说,‘别按了,行吗?’”
现在的智能设备,把这个笑话变成了现实版的恐怖故事。
更有意思的是,这甚至不算传统意义上的“黑客攻击”。
Sammy 没有攻破防火墙,也没有暴力破解密码,他只是拿到了一个本不该存在的“超级管理员”权限。
正如一位网友在评论区吐槽的:
“这种公司真该被罚款。到底有多少层审核人员同意了让所有设备共用一个密码?这是规模惊人的无能。”
大疆的“补丁”与行业的“烂疮”
好在,Sammy 是个白帽子。他没搞事,而是把漏洞丢给了 The Verge,后者迅速联系了大疆。
大疆的反应倒是挺快,发了个声明说:问题已经解决,补丁在2月8日和10日分两次推送到位了,用户不需要任何操作。
I can confirm that @DJIGlobal has finally fixed the HUGE vulnerability they had on their servers... It allowed to take remote control (movements, microphone, camera) of over 10 000 robots… pic.twitter.com/1UunMmNXX
— Gonzague 👨🏼💻 (@gonzague) February 11, 2026
“已修复”、“已解决”,这六个字听起来很安心,但仔细一想又很让人不安。
如果不是 Sammy 想玩手柄,这个漏洞会存在多久?会不会已经被别有用心的人利用了?
这事儿不是孤例。
前阵子 Ring 摄像头的广告被骂是“监控特洛伊木马”,Google Nest 也在被质疑能否真正删除用户视频。
智能家居的隐私问题,就像打地鼠,按下去一个,又冒出一个。
评论区有人给出了极其硬核的建议:“稍微懂点技术的人,应该只买那种支持开源固件 Valetudo 的扫地机,买回来第一件事就是把原厂系统刷掉。”
我觉得这建议挺对,但问题是,不懂技术的咋办
谁来守住卧室的门?
这次的主角 DJI Romo 还只是个扫地机,虽然长了摄像头和麦克风,但好歹它只能在地上爬。
但你看现在的科技圈,Tesla、Figure 这些公司正在疯狂卷“人形机器人”。1X 的公司甚至已经开始卖能洗碗、能夹核桃的人形机器人了。
这玩意儿要是进了家门,那就不止是扫地那么简单了。它们需要更高级的视觉、更灵敏的听觉,甚至需要理解你的生活习惯。
对于一个黑客来说,现在的扫地机可能只是个“电子狗”,未来的人形机器人,那就是一个潜伏在你家里的“全能管家”。
如果那时候,服务器依然像这次一样,给每个黑客发一张“万能通行证”呢?
这就不仅仅是隐私泄露的问题,而是物理安全的问题了
Sammy 最终还是实现了他的愿望——用手柄控制了自己的扫地机。
他在视频里玩得不亦乐乎,算是给这场惊心动魄的“意外”画上了一个轻松的句号。
但我们呢?
当我们把越来越多的摄像头、麦克风、甚至机器人请进家门时,我们到底是在拥抱便利,还是在为陌生人打开了一扇无法关闭的后门?
参考链接:
https://www.popsci.com/technology/robot-vacuum-army/