文章总结： 西班牙爱好者利用AI工具意外发现大疆Romo扫地机后端权限漏洞，致使全球6700台设备面临远程控制与隐私泄露风险，涉及摄像头画面与设备信息等。大疆确认系MQTT协议验证问题，已紧急发布两次补丁修复。事件揭示了AI辅助漏洞发现的趋势及智能家居安全隐患，建议用户及时升级固件并在非可信网络下谨慎远程访问。 综合评分： 78 文章分类： IoT安全,漏洞分析,安全大事件,AI安全

【安全圈】大疆扫地机被曝安全漏洞，6700台设备可被远程控制

安全圈

2026年2月26日 19:01 美国

关键词

安全漏洞

近日，西班牙一名 DIY 爱好者阿兹杜法尔（Sammy Azdoufal）在尝试用 PS5 手柄控制大疆（DJI）扫地机器人 Romo 时，意外发现了严重安全漏洞。通过该漏洞，他能够远程访问全球约 6,700 台 Romo 设备的摄像头和操作权限，覆盖 24 个国家或地区的用户。

事件经过

阿兹杜法尔本意只是开发应用程序，实现手柄控制自家扫地机。然而，他通过连接大疆云端服务器时，发现不仅能操控自己的设备，还能访问其他数千台设备的数据，包括：

• 实时摄像头画面
• 扫地路径与房间布局信息
• 充电时间及遇到障碍物情况
• 设备序列号及 IP 地址

更令人惊讶的是，该漏洞甚至允许绕过设备 PIN 码，将画面分享给第三方观看。

漏洞性质

大疆官方表示，这是后端权限验证问题，影响设备与服务器之间基于 MQTT 协议的通信。漏洞理论上允许未经授权访问 ROMO 设备视频，但实际利用概率极低。

大疆已于 2 月初发布两次补丁修复漏洞：

• 首次补丁于 2 月 8 日部署
• 第二次补丁于 2 月 10 日完成，覆盖剩余服务节点

公司声明，通信始终使用 TLS 加密，数据存储在美国 AWS 云端，无证据显示造成大范围影响。

AI 与漏洞发现

值得注意的是，这次漏洞的发现与 AI 工具 Claude Code 有关。阿兹杜法尔利用 Claude Code 进行逆向操作，实现了手柄控制功能，意外触发了大规模漏洞。事件显示，AI 技术使网络安全领域既有机遇，也带来潜在风险——即便非专业人员，也可能发现软件漏洞。

安全建议

• 用户应及时升级 ROMO 设备至最新版本，确保补丁生效
• 避免在公共网络或未知环境下远程访问智能家居设备
• 对智能家居设备开启访问控制和权限管理

此次事件提醒我们，随着 AI 技术和智能设备的普及，家居产品的安全性与隐私保护仍需高度关注。

END

阅读推荐

【安全圈】男子为向健身房要装修款远程破坏计算机系统被拘

【安全圈】AI 竟能 “挖穿” 大疆扫地机？普通人靠 Claude 入侵全球 6700 台设备，智能家居安全警钟炸响

【安全圈】外包商系统遭黑客入侵，沃尔沃集团近1.7万名北美员工资料外泄

【安全圈】OpenClaw 被大规模利用，上千实例沦陷

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】大疆扫地机被曝安全漏洞，6700台设备可被远程控制》