Hacker News
A software engineer accidentally discovered a major security flaw in DJI's cloud servers that granted him access to live feeds and data from 7,000 robot vacuums worldwide while trying to build a custom remote-control app.
AI 生成摘要
一名軟體工程師在嘗試開發自定義遠端控制應用程式時,意外發現了 DJI 雲端伺服器的重大安全漏洞,使他能夠存取全球七千台掃地機器人的即時影像與數據。
一名軟體工程師 Sammy Azdoufal 在嘗試為其新購入的 DJI Romo 掃地機器人編寫自定義遙控程式時,意外發現了嚴重的後端安全漏洞。透過 AI 輔助逆向工程,他發現原本用於驗證個人設備的憑證,竟然能讓他直接取得全球 24 個國家、近 7,000 台掃地機器人的即時攝影機畫面、麥克風音訊及室內地圖數據。
在 Hacker News 的討論中,社群成員對於物聯網設備的安全性表達了深切的憂慮與諷刺。許多網友對掃地機器人配備麥克風感到不解,雖然有人指出這可能是為了語音控制功能,但多數人認為這類功能在隱私風險面前顯得得不償失。有評論者直言,這種能遠端監控貓咪或居家環境的「功能」,本質上就是一種合法的監視工具。針對 DJI 此次的技術疏失,社群普遍認為這並非單純的意外,而是企業在開發流程上的嚴重失職。有觀點指出,如此大規模的權限漏洞意味著開發過程中缺乏基本的安全審核,甚至可能多層級的管理人員都默許了這種「一組憑證通吃全系統」的低級錯誤,呼籲政府應對這類技術失能的公司課以重罰。
此外,討論區也引發了一場關於「科技從業者與一般消費者」對待智慧家居態度的辯論。網友引用了一個經典笑話:一般科技愛好者家中滿是聯網設備,但真正從事科技產業的人,家裡的烤麵包機旁邊可能放著一把斧頭,隨時準備應對設備叛變。這種對聯網設備的極度不信任感在專業社群中產生共鳴,不少人強調「離線運作」應是家電的基本屬性,而非選配功能。更有工程師分享了類似的慘痛經驗,指出其他品牌的智慧恆溫器也曾出現過完全相同的漏洞,顯示物聯網產業在權限控管上存在系統性的崩壞。
對於如何自保,社群內部也出現了技術性的建議。部分資深用戶主張,購買這類產品後應立即刷入開源韌體,徹底切斷與廠商雲端伺服器的聯繫。然而,也有人反思 AI 工具在其中的角色,認為 AI 雖然降低了發現漏洞的門檻,但真正的問題核心仍在於廠商對後端安全架構的忽視。整體而言,HN 社群對智慧家居的未來抱持悲觀態度,認為只要廠商持續追求雲端化與數據收集,這類「意外成為上帝」的資安事件只會層出不窮。