Robot-entusiasten Sammy Adoufal satte sig oprindeligt for at få AI til at hjælpe sig med et projekt, som skulle munde i, at han kunne fjernstyre sin robotstøvsuger med en PlayStation-controller.
Ai-værktøjet, Claude Code, var dog ikke alene belejlig med at afkode og overtage kommunikationsprotokollen mellem entusiasten og hans DJI Romo støvsuger.
Den endte med at tildele ham styringen til en hær af øvrige robotter, så han nu kunne kontrollere mere end 6.700 enheder fordelt på 24 lande kloden over, skriver netmediet The Verge.
Han noterede sig, at han også fik adgang til øvrige af DJI's enheder, såsom selskabets serie af 'DJI Power' powerstations.
Sikkerhedshullet gav ham omfattende adgang til de berørte enheders hjem.
Ud over muligheden for at fjernstyre robotterne i andres hjem, fik han også både live video- og lyd fra hjemmene samt detaljerede plantegninger over disse.
Sammy Adoufal understreger over for The Verge, at han ikke hackede sig ind i DJI's systemer – han hentede blot sin egen enheds private adgangstoken, hvorefter der var fri adgang til øvrige enheder.
Ifølge ham ligger sikkerhedshullet i, at al brugerdata opbevares i ukrypteret tilstand hos DJI’s servere, hvorfra de let kan tilgås af enhver, der får adgang.
DJI lapper hullet
Ovenpå sin opdagelse har robot-entusiasten kontaktet DJI, som siden har lappet sikkerhedsbristen med en række opdateringer.
”DJI har identificeret en sårbarhed i DJI Home igennem en intern undersøgelse i slutningen af januar og iværksatte fejlrettelse øjeblikkeligt. Fejlen er siden blevet fejlrettet igennem to opdateringer. Den første blev udsendt 8. februar efterfulgt af den anden 10. februar. Opdateringen installerer sig selv automatisk og kræver ingen input fra brugeren,” lyder det i en besked fra det kinesiske selskab.
Sammy Adoufal påpeger dog overfor The Verge, at der fortsat er mulighed for at streame et videofeed fra enheden uden behov for en sikkerhedskode.