文章总结： 西班牙DIY爱好者利用AI工具ClaudeCode逆向大疆扫地机器人Romo时，意外发现后端权限验证漏洞，可远程访问全球约6700台设备的摄像头、操作权限及敏感数据。大疆已发布两次补丁修复该基于MQTT协议的通信漏洞，并声明通信经TLS加密且无证据显示大范围影响。事件凸显AI技术降低漏洞发现门槛及智能家居安全风险，建议用户及时升级设备并加强访问控制。 综合评分： 78 文章分类： IoT安全,漏洞分析,AI安全,威胁情报,安全意识

大疆扫地机被曝安全漏洞，6700台设备可被远程控制

信安在线资讯

2026年2月27日 09:30 北京

近日，西班牙一名 DIY 爱好者阿兹杜法尔（Sammy Azdoufal）在尝试用 PS5 手柄控制大疆（DJI）扫地机器人 Romo 时，意外发现了严重安全漏洞。通过该漏洞，他能够远程访问全球约 6,700 台 Romo 设备的摄像头和操作权限，覆盖 24 个国家或地区的用户。

事件经过

阿兹杜法尔本意只是开发应用程序，实现手柄控制自家扫地机。然而，他通过连接大疆云端服务器时，发现不仅能操控自己的设备，还能访问其他数千台设备的数据，包括：

• 实时摄像头画面
• 扫地路径与房间布局信息
• 充电时间及遇到障碍物情况
• 设备序列号及 IP 地址

更令人惊讶的是，该漏洞甚至允许绕过设备 PIN 码，将画面分享给第三方观看。

#

漏洞性质

大疆官方表示，这是后端权限验证问题，影响设备与服务器之间基于 MQTT 协议的通信。漏洞理论上允许未经授权访问 ROMO 设备视频，但实际利用概率极低。

大疆已于 2 月初发布两次补丁修复漏洞：

• 首次补丁于 2 月 8 日部署
• 第二次补丁于 2 月 10 日完成，覆盖剩余服务节点

公司声明，通信始终使用 TLS 加密，数据存储在美国 AWS 云端，无证据显示造成大范围影响。

#

AI 与漏洞发现

值得注意的是，这次漏洞的发现与 AI 工具 Claude Code 有关。阿兹杜法尔利用 Claude Code 进行逆向操作，实现了手柄控制功能，意外触发了大规模漏洞。事件显示，AI 技术使网络安全领域既有机遇，也带来潜在风险——即便非专业人员，也可能发现软件漏洞。

#

安全建议

• 用户应及时升级 ROMO 设备至最新版本，确保补丁生效

• 避免在公共网络或未知环境下远程访问智能家居设备

• 对智能家居设备开启访问控制和权限

  管理

此次事件提醒我们，随着 AI 技术和智能设备的普及，家居产品的安全性与隐私保护仍需高度关注。

原文来源：安全圈

end

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安在线资讯 《大疆扫地机被曝安全漏洞，6700台设备可被远程控制》