DJIロボット掃除機7,000台に誤アクセス:AIコーディングツールで発見されたセキュリティ脆弱性
Original: Man accidentally gains control of 7k robot vacuums View original →
予期せぬ発見が明かした重大な脆弱性
ソフトウェアエンジニアのSammy Azdoufal氏は、DJIのロボット掃除機をゲームコントローラーで操作するカスタムアプリを開発しようとしていました。AIコーディングアシスタントを使ってデバイスがDJIのクラウドサーバーと通信する仕組みをリバースエンジニアリングした結果、予想外の事実が明らかになりました。
7,000台のデバイスへの誤アクセス
自分のデバイスへのアクセスに使用した認証情報が、24カ国にわたる約7,000台の他のDJIロボット掃除機にも同様に適用されることが判明しました。このバックエンドのセキュリティバグにより、他のユーザーのリアルタイムカメラ映像、マイク音声、室内マップ、デバイスステータスデータへのアクセスが可能な状態でした。デバイスの所有者たちは自宅の内部が露出していたことを全く知りませんでした。
スマートホームデバイスのセキュリティリスク
この事例は、カメラとマイクを搭載したロボット掃除機が単なる家電製品ではなく、潜在的な監視デバイスになり得ることを示しています。特に注目すべきは、この脆弱性がセキュリティの専門家ではなく一般の開発者によって発見された点です。AIコーディングツールの普及でリバースエンジニアリングの参入障壁が下がるにつれ、こうした発見は今後さらに増えると予測されます。
Related Articles
個人情報フィルタリングはAI開発の周辺機能ではなく本体になった。OpenAIの1.5BオープンウェイトPrivacy Filterは128,000トークンを端末内で処理し、補正版PII-Masking-300kでF1 97.43%を示した。
Hacker Newsはこの件を「Cookieなしでもセッションがつながる」タイプの深刻なプライバシー問題として受け止めた。MozillaはFirefox 150とESR 140.10.0で修正したとしているが、Tor BrowserのNew Identityにまで影響する点が議論を大きくした。
いちばん大きい変化は、機密テキストを外へ出す前に手元で消せるようになったことだ。OpenAIの1.5BパラメータPrivacy Filterは128,000トークンを扱い、修正版PII-Masking-300kでF1 97.43%を示した。
Comments (0)
No comments yet. Be the first to comment!