一、问题发现 西班牙技术开发人员萨米·阿兹杜法尔在尝试用游戏手柄连接自家大疆 Romo 扫地机器人时,发现设备存在系统性安全缺陷。测试中,他不仅能控制自己的设备,还通过云端服务器接口获得了全球数千台同型号设备的访问权限。经核实,受影响设备分布在美国、德国、日本等主要市场,部分设备甚至可能被第三方直接查看实时监控画面。 二、技术成因 大疆安全团队确认,漏洞来自设备与服务器之间使用的 MQTT 通信协议在权限校验上的缺陷。虽然数据传输采用 TLS 加密,但身份认证环节存在设计疏漏,攻击者可通过伪造合法请求获取控制权。此次事件也反映出智能家居领域常见的“重功能、轻安全”问题:为简化使用流程而弱化验证,容易留下隐患。 三、实际影响 尽管厂商表示漏洞被实际利用的可能性较低,安全专家仍指出三类主要风险:一是家庭隐私数据可能泄露,包括室内布局、生活规律等信息;二是设备可能被植入恶意程序并被纳入僵尸网络;三是品牌信任度受影响。数据显示,2023 年全球智能家居设备遭攻击事件同比增长 67%,此次事件再次引发行业对安全问题的关注。 四、应对措施 大疆在 2 月 8 日至 10 日紧急部署两轮系统更新,修复云端服务节点漏洞。公司声明用户数据托管在美国 AWS 云平台,并称未发现实际入侵案例。网络安全机构建议用户:尽快将设备固件升级至最新版本;关闭不必要的远程访问功能;定期修改默认密码。中国信通院专家提出,智能设备应强制落实“最小权限原则”,并对用户数据访问进行更严格的隔离与控制。 五、行业前瞻 随着物联网设备数量突破 200 亿台,安全标准滞后的问题愈发突出。欧盟已启动《网络弹性法案》立法程序,要求智能设备制造商对产品全生命周期安全负责。国内相应机构也在加快制定《智能家居安全技术规范》,未来或将建立漏洞披露奖励机制,推动“白帽黑客”参与的协同治理。业内分析认为,此次事件可能促进行业从“事后修补”向“主动防御”转变。
智能家居的便利与安全需要长期平衡。这次大疆扫地机器人漏洞事件表明,技术升级必须同步强化安全防护。企业和用户都应提高安全意识,正视联网设备带来的风险。只有制造商落实安全责任、用户做好基础防护、行业规范持续完善,智能家居才能在更可靠的安全底座上普及。