DIY爱好者发现大疆Romo扫地机器人严重越权漏洞，致6700台设备隐私泄露

近日，一名DIY爱好者在尝试用PS5游戏手柄操控其新购入的大疆Romo扫地机器人时，意外发现一个严重安全缺陷。该漏洞导致全球约6700台同型号设备暴露于未授权访问风险之下，攻击者可实时调取摄像头画面、获取家庭二维楼层平面图，并精确定位设备所在位置。

漏洞发现者为萨米·阿兹杜法尔。他原本仅出于兴趣，希望为Romo增加手柄操控功能，于是借助Claude Code工具对机器人与大疆云端服务器之间的通信协议开展逆向分析，并自主开发了一款远程控制应用。在首次连接服务器后，他发现该应用所使用的本地设备私有令牌未被正确限定作用范围——本应仅授权访问自身设备的密钥，却被服务器错误识别为具备全局访问权限，从而触发越权响应。

经现场验证，在9分钟内，该工具即从24个国家的6700台Romo设备处接收并记录超过10万条数据，内容涵盖设备序列号、清洁区域、实时环境画面、行驶里程、充电状态及障碍物识别记录等。

测试中，仅输入同事托马斯·里克提供的14位设备序列号，即可实时显示该机器人正在清洁其家中客厅、剩余电量为80%等运行状态，并同步下载其住宅未经身份验证的完整楼层平面图。此外，该工具还能绕过用户设定的安全PIN码，直接调取本地机器人摄像头的实时影像；阿兹杜法尔还将一款仅具备只读功能的应用版本分享给法国某IT咨询公司首席技术官贡扎格·丹布里库尔，后者在未完成设备配对的前提下，亦成功远程查看了自家Romo的实时画面。

阿兹杜法尔强调，其行为始终未涉及对大疆服务器的主动入侵或任何形式的暴力破解，所有操作均基于自身设备合法获取的凭证。问题根源在于服务器端权限校验机制存在设计缺陷：本应严格绑定单设备的私有令牌被错误赋予跨设备访问能力，致使大量用户数据在无认证状态下被批量返回。他同时表示，每次结束使用该工具后均主动清除全部采集数据，未将信息用于任何非授权用途。

目前相关漏洞已由大疆完成修复。