工程師想用PS5手把控制掃地機器人，意外發現DJI 7,000台設備全曝露在網路上——獲頒3萬美元獎金

一切只是想用遊戲手把吸地板

軟體工程師 Sammy Azdoufal 擁有一台 DJI ROMO 掃地機器人。他不想透過手機 App 來操控它——他想用 PlayStation 5（PS5）手把。於是他開始逆向工程 ROMO App 與 DJI 雲端伺服器之間的授權流程。這聽起來很有威脅性，但其實只是一個不想用觸控螢幕來吸客廳地板的普通人。

然而，他發現的東西遠比預期嚴重得多。

意外「闖入」7,000 個家庭

控制 Azdoufal 那台 ROMO 的雲端伺服器，同時也控制著網路上所有其他的 DJI ROMO——總計約 7,000 台。而且完全不需要安全 PIN 碼，幾乎不需要任何驗證。

Azdoufal 可以存取數千個家庭的即時影像與音訊串流、調閱陌生人家中的 2D 樓層平面圖，甚至可以看到 IP 位址來大致定位這些用戶的居住地點。

他完全沒有主動尋找這些資訊。他只是想用遊戲手把吸地板而已。

DJI 確認支付 3 萬美元賞金

DJI 證實已向一位未具名的資安研究人員支付 3 萬美元（約新台幣 97 萬元）漏洞賞金。Azdoufal 向科技媒體《The Verge》出示了付款電子郵件。DJI 同時確認已在 2 月底修補 PIN 碼漏洞，並表示針對更深層架構問題的全面系統升級將在一個月內完成。

歷史重演？2017 年同樣的 3 萬美元

值得注意的是，這不是 DJI 第一次以 3 萬美元漏洞賞金引發爭議。

2017 年，知名資安研究人員 Kevin Finisterre 發現 DJI 不慎將其所有網域與雲端儲存帳號的私鑰發布在 GitHub 上，導致護照、政府證件、甚至疑似軍事與政府網域的飛行日誌全部暴露。DJI 確認該發現符合最高 3 萬美元賞金資格，但隨後法務部門介入。

接下來的過程是超過 130 封電子郵件、一份被四位獨立律師形容為「極具風險」且「疑似惡意擬定」的保密協議（NDA），以及援引美國《電腦詐騙與濫用法》的隱晦威脅——這是一項可處以刑事處罰的聯邦法律。Finisterre 最終拒絕簽署協議，DJI 隨即公開稱他為「駭客」並指控其行為屬於未經授權的存取。

Finisterre 放棄了那 3 萬美元，並發表了一份長達 18 頁、題為《我為何放棄 DJI 3 萬美元漏洞賞金》的完整報告。據傳同一計畫中的多位其他研究人員也得出相同結論並選擇退出。該漏洞賞金計畫在資安社群中被普遍認為是一項倉促推出、執行失當的公關操作。

結構性問題仍然存在

2026 年的今天，DJI 確實已支付 Azdoufal 的賞金，這是經過確認的事實。但仍有幾項值得關注的結構性問題：

修補時程的透明度： 審視此事件的資安研究人員公開指出，DJI 在修補實際完成之前就宣稱問題已全面解決。這與 2017 年「公開宣稱修復時間早於實際修復時間」的模式如出一轍。

缺乏資安高階主管： DJI 至今仍未設置公開的資訊安全長（CISO）或任何 C 級資安領導職位。對於一家在全球擁有數千萬台連網設備的企業來說，資安溝通由公關團隊處理——處理產品發表和展覽活動的同一批人也負責回應資安事件——這是結構性問題。

認證的實質意義： ROMO 擁有 ETSI、歐盟及 UL 安全認證，但一台取得三項官方安全認證的設備，其整個 7,000 台設備的網路卻可被任何有耐心用 PS5 手把和一個下午來逆向工程 App 的人輕易存取。這些認證究竟在認證什麼，是一個值得深思的問題。

正面看待：這次處理得更好了

Sammy 的處理方式堪稱教科書等級的負責任揭露：他發現嚴重漏洞、負責任地向公司通報、沒有在社群媒體上炫耀或將資訊出售給中間商。他靜靜地等待公司回應，這正是漏洞揭露應有的模式。

而 DJI 這次也確實做得更好了——賞金已支付、補丁正在部署，而且不像 2017 年那樣以聯邦電腦詐騙法威脅研究人員。進步就是進步，值得肯定。

值得一提的是，Azdoufal 與 Finisterre 私下相識，這意味著他對 2017 年的前車之鑑瞭然於胸。他是在充分了解風險的前提下做出判斷的。

DJI 打造了令人讚嘆的硬體，這點毋庸置疑。真正的考驗一直都是：當有人在鎧甲上發現裂縫時，DJI 會如何應對。這一次，處理得更好了。

---

原文來源： 查看原文