大疆扫地机被Claude Code逆向并发掘漏洞可远程控制扫地机 目前已修复

多数智能扫地机都附带摄像头和远程控制功能，并且多数核心功能还都依赖于云端，这可以让用户在客户端应用程序上控制扫地机启动、清洁、查看实时画面和规划清扫路线等。

但智能家居产品拥有的权限越多，潜在的安全风险也越大，例如有研究人员就在 DJI 大疆新推出的扫地机器人中发现安全漏洞，借助漏洞这名研究人员可以访问全球 24 个国家或地区的 6,700 台扫地机 (还有数千个扫地机基站)。

漏洞还是 Claude Code 发现的：

说起来发现漏洞的萨米・阿兹杜法尔并非安全研究人员 (本职工作是某度假物业管理公司的 AI 主管)，阿兹杜法尔购买了大疆的 Romo 扫地机器人，他想尝试能不能通过 PS5 手柄来控制机器人。

最初这个尝试仅仅只是娱乐目的，随后阿兹杜法尔利用 Claude Code 编写程序(其实涉及到逆向)用来连接大疆的云服务器，只不过让人意外的是阿兹杜法尔不仅成功连接自己的扫地机，还连接其他 6,700 台扫地机。

成功连接扫地机后阿兹杜法尔能够操纵扫地机，包括移动以及开启摄像头查看拍摄的画面、调取扫地机序列号以及 IP 地址等，还可以查看扫地机生成的详细平面度以及其他运行数据 (还有个 14 位数的代码可以绕过任何设备的 PIN 码)。

随后向大疆报告漏洞：

在阿兹杜法尔负责任的向大疆报告这个安全漏洞后，大疆立即修复漏洞并发布声明，大疆称收到报告时该公司已经在着手解决后端权限验证漏洞，但当时修复程序还没有全面部署。

不过大疆也在淡化漏洞的潜在影响，大疆称只有极少数用户成功利用这枚漏洞，而且利用漏洞的几乎都是安全研究人员 (即研究人员通常不会作恶而是测试并报告安全问题)。

然而阿兹杜法尔随后又发现其他安全漏洞，只不过这个漏洞情况似乎更严重，所以目前漏洞细节尚未公开，可能需要等待大疆完成错误修复并推送更新后再公开。

发掘漏洞变得更加轻松：

人工智能技术的快速发展让网络安全领域变得喜忧参半，好消息是安全公司 / 软件开发商都可以利用 AI 检查并修复漏洞，坏消息是黑客甚至是没有任何基础技能的人也能利用 AI 发掘漏洞。

在这次案例中阿兹杜法尔就不属于研究人员，阿兹杜法尔发现漏洞属于 Claude Code 的功劳，Claude Code 只是实现阿兹杜法尔想要通过 PS5 控制机器人的目标，也没想着能够通过漏洞连接如此多的扫地机。

所以未来黑客以及完全不懂网络安全的人可能都会利用漏洞发起攻击，这也在提高软件开发商对于软件质量的要求，如果还按照以前的模式开发则很容易遭到攻击导致数据泄露。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/