Китайська технологічна фірма DJI виплатить 30 тисяч доларів досліднику безпеки Семмі Аздуфалу за виявлення серйозних вразливостей у роботах-пилососах Romo. Завдяки цій помилці він зміг отримати доступ до мережі приблизно 7000 пристроїв і безперешкодно переглядати відео з них. У компанії повідомили, що частину проблем вже усунуто, а повне оновлення системи планують завершити протягом місяця, передає The Verge.
Аздуфал випадково виявив цю проблему, коли намагався керувати своїм пилососом DJI через геймпад PlayStation за допомогою Claude Code. У процесі він отримав доступ до мережі приблизно 7000 роботів-пилососів, що потенційно дозволяло переглядати відео з пристроїв у чужих домівках.
DJI підтвердила виплату винагороди, хоча не назвала імені дослідника та не уточнила, за яке саме відкриття він отримав гроші. У компанії лише зазначили, що “нагородили” дослідника безпеки за його зусилля.
Компанія підтвердила, що одна з вразливостей дозволяла переглядати відео з пилососів Romo без введення захисного PIN-коду. Речниця DJI Дейзі Конг додала: “Питання безпеки PIN-коду було вирішено наприкінці лютого”.
“Ми також розпочали оновлення всієї системи. Це включає серію оновлень, які, як ми сподіваємося, будуть повністю впроваджені протягом одного місяця”, — зазначили в компанії.
DJI опублікувала повідомлення про посилення безпеки Romo й в офіційному блозі. У ньому компанія стверджує, що початкову проблему виявила самостійно, але водночас відзначила внесок “двох незалежних дослідників безпеки”.
Крім того, компанія оголосила про намір розширити співпрацю з дослідниками безпеки. За даними з блогу DJI, найближчим часом будуть запроваджені нові механізми взаємодії з фахівцями, які допомагають виявляти вразливості.
Нещодавно нова модель штучного інтелекту Claude Opus 4.6 від компанії Anthropic виявила понад 100 вразливостей у коді браузера Firefox лише за два тижні тестування. Першу вразливість ШІ знайшов вже за 20 хвилин, а загальна кількість критичних помилок перевищила річні показники традиційного пошуку.