玩家意外用PS5手柄掌控6700台大疆扫地机器人
32岁的DIY爱好者萨米·阿兹杜法尔从没想过,自己“用PS5手柄控制扫地机器人”的小创意,会变成一场覆盖24个国家、6700台设备的安全事件,他的日常爱好是用代码“连接”不相关的设备——比如让游戏手柄联动咖啡机,或让智能手表控制台灯——这次的目标是新入手的大疆Romo扫地机器人:“我只是觉得,用PS5的摇杆操控机器人转弯、避障,比手机触控更有游戏感。”
为了让手柄“听懂”Romo的“语言”,阿兹杜法尔用Claude Code软件解析了机器人与大疆服务器的通信协议,并编写了一款简易远程控制应用,他的逻辑很简单:提取自己设备的专属访问密钥(用于验证自身设备权限的核心凭证),让应用通过这枚密钥与服务器建立连接,但当他启动应用的瞬间,屏幕上的内容彻底超出预期——原本只应显示自家Romo状态的界面,突然涌进了全球数千台设备的实时数据。
6700台机器人“裸奔”:权限失效的细节有多恐怖?
在The Verge记者的现场见证中,这个“失控”的应用展现了惊人的“穿透力”:
- 9分钟的“数据洪流”:应用启动后,每秒有数台设备被自动识别,9分钟内抓取了6700台Romo的10万余条数据——包括设备序列号、当前清洁的房间(客厅地毯区域”)、剩余电量(如同事托马斯家的Romo显示80%)、行驶距离,甚至遇到的障碍物类型(“沙发底下的猫玩具”)。
- 精准的“家庭地图泄露”:仅用同事提供的14位设备序列号,阿兹杜法尔就能调出对方家的2D空间地图——与托马斯手机APP里的画面完全一致,连阳台的绿植位置都分毫不差。
- 实时画面的“无门槛访问”:他绕过了自家Romo的安全PIN码,直接查看实时摄像头画面;更关键的是,当他将“只读版应用”分享给法国IT咨询公司CTO贡扎格时,对方在未配对设备的情况下,也能远程看到自己家Romo拍摄的客厅场景。
阿兹杜法尔反复强调:“我没有入侵服务器,也没有破解任何系统——我只是用了自己设备的合法密钥,但服务器却把这枚‘家门钥匙’当成了‘整栋楼的万能钥匙’。”
安全逻辑的“致命漏洞”:为什么“专属密钥”变成了“通用权限”?
问题的核心不在阿兹杜法尔的代码,而在大疆服务器的权限验证逻辑,正常情况下,设备的专属密钥应与“设备唯一标识(如SN码)”绑定——只有当两者匹配时,服务器才会开放访问权限,但在这次事件中,服务器忽略了“密钥与设备的绑定验证”,导致一枚仅属于阿兹杜法尔的密钥,被默认为“可以访问所有Romo设备”的通用权限。
这种“权限边界的模糊”并非个例,IDC 2023年智能家居安全报告显示:近三年来,全球因“权限令牌误用”引发的安全事件增长了120%,设备级令牌被误判为全局权限”是排名前三的诱因,比如2022年某品牌智能摄像头因“工厂预存令牌未清空”,导致1.2万台设备被非授权访问;2023年某智能门锁品牌因“令牌过期未失效”,泄露了3000余户家庭的开锁记录,这些案例的本质,都是“设备与服务器的信任链”出现了裂痕。
从“漏洞修复”到“行业反思”:智能家居的安全边界在哪里?
事件曝光后,大疆在48小时内完成了漏洞修复——通过“密钥与设备唯一标识的双向验证”机制,彻底杜绝了“一枚密钥访问多台设备”的可能,阿兹杜法尔也主动清除了所有获取的数据:“我不想侵犯任何人的隐私,我只是想让行业意识到:智能家居的安全边界,比我们想象的更脆弱。”
对于整个行业而言,这次事件的警示意义远超“一个漏洞的修复”,当我们将越来越多的家庭场景交给智能设备(扫地机器人、摄像头、音箱),“权限的精准性”成为了安全的核心——你的机器人不应向陌生人暴露家庭地图,你的摄像头不应让外人看到客厅的布局,而Romo的漏洞恰恰撕开了一个口子:当服务器的“信任逻辑”出现偏差,再小的好奇心,都可能引发全球性的隐私危机。
好奇心之外,是智能家居的“安全必修课”
阿兹杜法尔的经历,本质上是“玩家好奇心”与“行业安全漏洞”的碰撞——他的代码没有“攻击性”,但服务器的逻辑漏洞让“无心之举”变成了“安全事件”,而大疆的快速修复,也给行业提供了一个样本:当漏洞出现时,“快速定位问题根源+彻底修复逻辑”比“被动回应”更重要。
对于普通用户来说,这次事件也提醒我们:在连接智能家居设备时,除了关注“功能是否好用”,更要留意“权限是否合理”——比如拒绝“允许设备访问未知服务器”的请求,定期检查APP的权限列表,毕竟,家庭的隐私安全,从来不是“技术人员的事”,而是每个用户都该守住的“边界”。
更多一手游戏圈动态和智能家居安全观察,请关注53游戏网
安谋科技发布玲珑VPU IP,赋能智能驾驶、机器视觉与云游戏
Key社新作anemoi容量升至18GB,剧情能满足玩家期待吗?
PS5 Pro PSSR 2帧生成提速100微秒,2027年技术将如何改变游戏体验?