Све је почело као безазлена идеја: софтверски инжењер из Шпаније желео је да свом роботу усисивачу дода мало личног печата. Завршило се тако што је, потпуно ненамерно, добио приступ хиљадама камера, микрофона и тлоцрта станова широм света.
Сами Аздуфал, софтверски инжењер и стручњак за вештачку интелигенцију, купио је врхунски роботски усисивач "DJI Romo", уређај кинеске производње вредан око 2.000 долара, способан да извиди станове, брише подове и самостално се креће уз помоћ сензора. Како пише "Попјулар сајенс", Аздуфал је убрзо схватио да га званична апликација ограничава више него што би желео.
Када "Плејстејшн" откључа туђе дневне собе
Незадовољан фабричким софтвером, Аздуфал је одлучио да робота контролише помоћу џојстика за "Плејстејшн 5". Уз помоћ вештачке интелигенције, асистента за програмирање, кренуо је у реверзни инжењеринг комуникације између усисивача и клауд сервера компаније DJI.
Уместо ситног "тјунинга", наишао је на озбиљну безбедносну пукотину: аутентификациони токен за његов лични уређај омогућавао је приступ не само његовом роботу, већ и скоро 7.000 других "DJI Romo" јединица распоређених у 24 земље.
Приступ је укључивао: камере, микрофоне, прецизне мапе станова, податке о кретању и статусу уређаја. Другим речима, могао је да изврши увиђај у 7.000 домова.
Серијски број као кључ
Да би проверио размере проблема, новинари "Де Верџа" замолили су колегу који је тестирао "DJI Romo" да пошаље серијски број уређаја. Било је довољно свега 14 цифара да Аздуфал види како му робот чисти дневну собу, да му је батерија на 80 одсто и да генерише прецизан тлоцрт стана. И то са тачним димензијама сваке просторије. И све то само уз помоћ лаптопа који се налазио у другој држави.
У другом случају, Аздуфал је без икаквог ПИН-а отворио видео-пренос сопственог робота, ушао у дневну собу и махнуо камери, док су новинари то гледали уживо. Сличан приступ омогућио је и једном ИТ директору у Француској, чак и пре него што је робот био званично упарен са апликацијом.
У погрешним рукама, оваква рањивост могла је да омогући надзор приватних простора, прислушкивање разговора или чак даљинско управљање уређајима без знања власника. Ај-Пи адресе су додатно откривале приближне локације корисника, продубљујући проблем.
DJI је, након што је обавештен, реаговао брзо: компанија је крајем јануара 2026. идентификовала пропуст, 8. фебруара издала прву "закрпу", а већ 10. фебруара завршила додатно ажурирање.
Шири проблем: технологија, Кина и амерички регулатори
Међитим, штета по углед већ је била начињена. Инцидент долази у тренутку појачаног надзора америчких регулатора над кинеским технолошким компанијама. У децембру 2025. године, Федерал комјуникејшнс комишн (ФКК) додала је DJI и друге произвођаче на тзв. "листу забрањених субјеката", чиме је практично блокирала одобравање нових модела за америчко тржиште.
DJI је због тога поднео тужбу Апелационом суду САД, тврдећи да ФКК није изнела довољно доказа о угрожавању националне безбедности.
"Одлука непажљиво ограничава пословање DJI-ја у САД и ускраћује америчким корисницима приступ најновијој технологији", навела је компанија у саопштењу које преноси Ројтерс.
Председник ФКК-а Брендан Кар поручио је да регулатор "неће гледати на другу страну" када је реч о компанијама које, како тврди, представљају безбедносни ризик.
Прича о "војсци од 7.000 робота" можда звучи као технолошка анегдота, али она отвара озбиљно питање: колико су наши паметни уређаји заиста безбедни – и ко све може да завири у наше дневне собе док ми мислимо да усисавамо под.