DJIロボット掃除機7,000台に誤アクセス:AIコーディングツールで発見されたセキュリティ脆弱性
Original: Man accidentally gains control of 7k robot vacuums View original →
予期せぬ発見が明かした重大な脆弱性
ソフトウェアエンジニアのSammy Azdoufal氏は、DJIのロボット掃除機をゲームコントローラーで操作するカスタムアプリを開発しようとしていました。AIコーディングアシスタントを使ってデバイスがDJIのクラウドサーバーと通信する仕組みをリバースエンジニアリングした結果、予想外の事実が明らかになりました。
7,000台のデバイスへの誤アクセス
自分のデバイスへのアクセスに使用した認証情報が、24カ国にわたる約7,000台の他のDJIロボット掃除機にも同様に適用されることが判明しました。このバックエンドのセキュリティバグにより、他のユーザーのリアルタイムカメラ映像、マイク音声、室内マップ、デバイスステータスデータへのアクセスが可能な状態でした。デバイスの所有者たちは自宅の内部が露出していたことを全く知りませんでした。
スマートホームデバイスのセキュリティリスク
この事例は、カメラとマイクを搭載したロボット掃除機が単なる家電製品ではなく、潜在的な監視デバイスになり得ることを示しています。特に注目すべきは、この脆弱性がセキュリティの専門家ではなく一般の開発者によって発見された点です。AIコーディングツールの普及でリバースエンジニアリングの参入障壁が下がるにつれ、こうした発見は今後さらに増えると予測されます。
Related Articles
OpenAIはCodex SecurityをCodex web経由でresearch previewとして展開すると発表した。project contextを踏まえて、より高信頼な脆弱性検出とpatch提案を行うapplication security agentという位置づけだ。
OpenAIは3月9日にXで、AI security platform の Promptfoo を買収する計画を明らかにした。Promptfoo は open source を維持し、今回の取引は OpenAI Frontier の agentic testing・evaluation stack を強化する位置づけだ。
AnthropicはMar 6, 2026、Claudeが特定した脆弱性に適用するdisclosure policyを公開した。標準の公開期限は90日で、actively exploited critical bugには7日対応目標とhuman review要件を置く。
Comments (0)
No comments yet. Be the first to comment!