प्लेस्टेशन 5 कंट्रोलरसह रोबोट व्हॅक्यूम चालविण्याचा एक खेळकर वीकेंड प्रकल्प म्हणून जे सुरू झाले ते $30,000 पेआउट आणि जगातील सर्वात मोठ्या ड्रोन निर्मात्यासाठी एक प्रमुख सुरक्षा हिशेब देऊन संपले. 6 मार्च 2026 रोजी, अहवालांनी पुष्टी केली की DJI ने डीजेआय रोमो रोबोट व्हॅक्यूममध्ये आपत्तीजनक बॅकएंड असुरक्षा शोधल्याबद्दल सॉफ्टवेअर अभियंता सॅमी अझौफलला अधिकृतपणे भरपाई दिली आहे, ही एक त्रुटी आहे ज्यामुळे त्याला 24 देशांमधील हजारो खाजगी घरांमध्ये अनवधानाने “गॉड मोड” मिळाला.
IoT (इंटरनेट ऑफ थिंग्ज) उद्योगात धक्कादायक घटना घडवून आणणारी ही घटना भयानक वास्तवावर प्रकाश टाकते: एआय-सहाय्यित कोडिंगच्या युगात, जागतिक दर्जाचे सुरक्षा कारनामे शोधण्यातला अडथळा अक्षरशः नाहीसा झाला आहे.
स्पेनमधील एआय स्ट्रॅटेजी लीड सॅमी अझ्दौफल, जागतिक सुरक्षा संशोधक बनण्यास तयार नाही. ड्युअलसेन्स कंट्रोलर वापरून त्याचे नवीन $2,000 DJI रोमो मॅन्युअली चालवण्यासाठी त्याला फक्त मानक DJI Home ॲपला बायपास करायचे होते. हे करण्यासाठी, त्याला व्हॅक्यूम आणि डीजेआयच्या क्लाउड सर्व्हरमधील “गुप्त हँडशेक” समजून घेणे आवश्यक आहे.
क्लॉड कोड, हाय-स्पीड एजंटिक एआय कोडिंग टूलचा लाभ घेत, अझडौफल रेकॉर्ड वेळेत रोमोच्या संप्रेषण प्रोटोकॉलला उलट-अभियांत्रिकी करण्यास सक्षम होते. AI ला त्याच्या स्वतःच्या डिव्हाइसवरून मशीन-भाषा ट्रॅफिक फीड करून, त्याने यशस्वीरित्या त्याचे वैयक्तिक प्रमाणीकरण टोकन काढले. तथापि, जेव्हा त्याने ते टोकन कस्टम-बिल्ट क्लायंटद्वारे कमांड पाठवण्यासाठी वापरण्याचा प्रयत्न केला, तेव्हा त्याला फक्त त्याचे स्वतःचे व्हॅक्यूम दिसले नाही – त्याने संपूर्ण फ्लीट पाहिला.
तांत्रिक बिघाड हे ब्रोकन ऑब्जेक्ट लेव्हल ऑथोरायझेशन (BOLA) चे उत्कृष्ट प्रकरण होते. DJI च्या MQTT-आधारित मेसेजिंग वातावरणातील चुकीच्या कॉन्फिगरेशनमुळे (क्लाउडशी “बोलण्यासाठी” IoT डिव्हाइसेससाठी वापरलेला प्रोटोकॉल), Azdoufal चे टोकन ते ज्या विशिष्ट उपकरणांची चौकशी करत होते त्यांचे खरे आहे की नाही हे सत्यापित करण्यात सर्व्हर अयशस्वी झाला.
अनधिकृत विनंत्या नाकारण्याऐवजी, सर्व्हरने अनिवार्यपणे Azdoufal ला प्रत्येक सक्रिय रोमो युनिटचे “मास्टर मालक” मानले. काही मिनिटांतच त्याचा लॅपटॉप डेटाने भरून गेला 6,700 रोबोट. तो अनुक्रमांक, बॅटरी पातळी आणि सर्वात त्रासदायक म्हणजे हजारो अनोळखी लोकांच्या रिअल-टाइम क्रियाकलाप पाहू शकतो.
उल्लंघन साध्या स्थिती अद्यतनांपेक्षा खूप खोल गेले. डीजेआय रोमोचे मार्केटिंग “हाय-सेन्सिंग” फ्लॅगशिप म्हणून केले जात असल्यामुळे, ते अडथळे टाळणे आणि रिमोट मॉनिटरिंगसाठी हाय-डेफिनिशन कॅमेरे आणि मायक्रोफोनसह सुसज्ज आहे.
अझ्दौफलने शोधून काढले की तो हे करू शकतो:
थेट व्हिडिओमध्ये प्रवेश करा: व्हॅक्यूम्सच्या फ्लोअर-लेव्हल कॅमेऱ्यांमधून हाय-डेफिनिशन फीड पहा.
रिअल-टाइममध्ये ऐका: घरांमध्ये संभाषणे ऐकण्यासाठी ऑन-बोर्ड मायक्रोफोन सक्रिय करा.
मजला योजना उतारा: खाजगी निवासस्थानांचे 2D आणि 3D नकाशे तयार करा आणि डाउनलोड करा, खोलीचे लेआउट आणि फर्निचर प्लेसमेंट ओळखण्यासाठी पुरेसे अचूक.
भौगोलिक ट्रॅकिंग: रोबोटचे अंदाजे भौतिक स्थान शोधण्यासाठी IP पत्ते वापरा.
दोषाची तीव्रता सिद्ध करण्यासाठी, अझदौफल यांनी काम केले कडा नियंत्रित चाचणी आयोजित करण्यासाठी. एका पत्रकाराने Azdoufal ला दुसऱ्या देशात पुनरावलोकनासाठी वापरल्या जाणाऱ्या रोमो युनिटचा 14-अंकी अनुक्रमांक प्रदान केला.
नऊ मिनिटांपेक्षा कमी वेळात, अझ्दौफल दूरस्थपणे पत्रकाराची व्हॅक्यूम “पिंग” करू शकला. त्याने अचूकपणे अहवाल दिला की रोबोट सध्या लिव्हिंग रूम साफ करत आहे, 80% बॅटरीचे आयुष्य शिल्लक आहे आणि पत्रकाराच्या अपार्टमेंटचा नकाशा त्याच्या स्वतःच्या स्क्रीनवर यशस्वीरित्या प्रसारित केला. या रिअल-टाइम प्रात्यक्षिकाने DJI ला त्याच्या सुरुवातीच्या बगच्या डिसमिस करण्यापलीकडे जाण्यास भाग पाडले.
कॉर्पोरेट प्रतिसाद सुरुवातीला खडतर होता. DJI ने प्रथम पत्रकारांना सांगितले की जानेवारीमध्ये “अंतर्गत पुनरावलोकन” द्वारे असुरक्षितता ओळखली गेली होती आणि आधीच पॅच केली जात होती. तथापि, अझडौफलच्या थेट प्रात्यक्षिकाने हे सिद्ध केले की हा दोष फेब्रुवारीपर्यंत पूर्णपणे उघड होता.
कथा व्हायरल झाल्यानंतर, डीजेआयने पिवोट केले. कंपनीने सोशल मीडियावर औपचारिक आभार जारी केले आणि, या आठवड्यापर्यंत, अझ्दौफलला $30,000 बक्षीस देयकाची पुष्टी केली आहे. “उद्योग-मानक एन्क्रिप्शन” नेहमी ठिकाणी होते असा डीजेआय आग्रही असताना, या घटनेने हे सिद्ध केले की दुसऱ्या टोकावरील अधिकृततेचे तर्क तुटलेले असल्यास एनक्रिप्शन निरुपयोगी आहे.
“रोमो सिक्युरिटी” गाथा पासून सर्वात लक्षणीय टेकवे फक्त तुटलेल्या सर्व्हरबद्दल नाही; ते शोधण्यासाठी वापरलेल्या साधनाबद्दल आहे. Azdoufal उघडपणे कबूल करतो की एआय कोडिंग सहाय्यकांशिवाय, रिव्हर्स-इंजिनियरिंग एक जटिल मालकी प्रोटोकॉलला विशेष कामासाठी आठवडे लागले असते. AI सह, यास एक वीकेंड लागला.
हॅकिंगच्या या “लोकशाहीकरण” चा अर्थ असा आहे की उत्पादक यापुढे “अस्पष्टतेद्वारे सुरक्षितता” वर अवलंबून राहू शकत नाहीत. AI शौकीनांना त्यांच्या स्मार्ट डिव्हाइसेसच्या कोडवर पोक करणे सोपे करते म्हणून, कंपन्यांनी “झिरो ट्रस्ट” आर्किटेक्चरचा अवलंब करणे आवश्यक आहे जेथे प्रत्येक डेटा पॅकेट ऑब्जेक्ट स्तरावर सत्यापित केले जाते.
सॅमी अझ्दौफलच्या पत्नीने त्यांच्या स्वत:च्या रोबोट व्हॅक्यूमच्या कॅमेऱ्यावर टेपचा एक तुकडा ठेवल्याने जगाला आश्चर्य वाटू लागले आहे की स्वच्छ मजल्यावरील सोयी दिवाणखान्यातील मोबाइल, इंटरनेट-कनेक्ट केलेल्या गुप्तहेराच्या जोखमीच्या लायक आहे का. Azdoufal ला $30,000 पेआउट ही DJI साठी PR आपत्ती टाळण्यासाठी देय असलेली एक छोटी किंमत आहे, परंतु 7,000 मालकांसाठी जे अजाणतेपणे “अपघाती सैन्य” चा भाग होते, त्यांच्यासाठी गोपनीयतेची भावना कदाचित पूर्णपणे परत येणार नाही.
