В феврале 2026 года мир умного дома снова вздрогнул. История, начавшаяся как безобидный DIY-эксперимент, превратилась в один из самых громких инцидентов с безопасностью IoT-устройств за последние годы.
Как всё началось
Сэмми Аздуфал (Sammy Azdoufal) — специалист по ИИ и цифровым технологиям в компании по аренде жилья — купил новый флагманский робот-пылесос DJI Romo за ~$2000. Устройство оснащено камерой, микрофоном, мощным всасыванием и продвинутой навигацией. Но Сэмми захотел большего: управлять пылесосом как машинкой в видеоигре — с помощью геймпада DualSense от PlayStation 5.
«Просто потому что это звучало весело», — признался он The Verge.
Чтобы быстро написать приложение, Аздуфал обратился к ИИ-кодеру Claude Code. Нейросеть помогла разобрать протоколы связи DJI, MQTT-трафик и сгенерировать код. Всё шло по плану… пока приложение не запустилось.
«Мой пылесос — всего лишь одна капля в океане»
Сэмми извлёк приватный токен своего устройства. Из-за критической ошибки в проверке прав доступа на бэкенде (backend permission validation issue) токен начал работать как «мастер-ключ». Серверы разрешали подписываться на все топики с wildcard #. В результате его ноутбук за считанные минуты увидел:
- ~7000 робот-пылесосов DJI Romo в 24 странах,
- плюс портативные электростанции DJI Power — итого более 10 000 устройств,
- более 100 000 сообщений в реальном времени.
Он мог: управлять движением удалённо, смотреть прямую трансляцию с камеры (включая комнаты домов), слушать через микрофон, получать детальные 2D-карты этажей, видеть IP-адреса, статус уборки и даже обходить PIN-код для видео.
Важно: он не ломал серверы, не использовал brute-force и не обошёл шифрование TLS. Просто баг позволил одному авторизованному клиенту видеть всё, что шлют другие.
Реакция людей: от шока и мемов до ярости и призывов к бойкоту
Новость разлетелась молниеносно. В соцсетях (особенно на X/Twitter и Reddit) пользователи отреагировали смесью ужаса, чёрного юмора и гнева.
- Многие шутили: «Теперь мой пылесос знает, где я прячу носки лучше, чем я сам», «Attack of the killer vacuums incoming», «DJI Romo: теперь не только чистит, но и стучит».
- Другие выражали серьёзное беспокойство: «Это уже не умный дом, а умная слежка», «Камера + микрофон в гостиной за 2000$? Никогда больше китайская техника».
- На Reddit (r/RobotVacuums) появился топовый пост с заголовком «PSA: Huge DJI Romo Security Flaw Patched. 10k+ Devices Had Camera & Maps Exposed. Update Now!», где люди писали: «Я в шоке, что вообще купил это», «DJI должен выплатить компенсацию всем владельцам», «Это доказательство, что IoT — это мина замедленного действия».
- Некоторые призывали к бойкоту: «DO NOT BUY CHINESE PRODUCTS!» (особенно в контексте геополитики и DJI как китайской компании).
- Были и те, кто защищал: «Парень молодец, что сразу сообщил, а не продал доступ даркнету», «Хорошо, что нашли через хобби, а не через реального злоумышленника».
Общий настрой — глубокое недоверие к «умным» устройствам с камерами и микрофонами. Многие владельцы начали массово отключать их от интернета или вообще выносить из дома.
А если бы никто не узнал? Сколько людей могли использовать эту лазейку «по-чёрному»?
Это самый тревожный вопрос, который задают эксперты и пользователи.
Уязвимость существовала минимум с конца января 2026 (DJI сама её заметила внутренне). До публичного раскрытия (14 февраля в The Verge) дыра была открыта несколько недель. За это время:
- Любой, кто хоть немного разбирается в MQTT и реверс-инжиниринге (а таких тысячи — от скрипт-кидди до профессиональных пентестеров), мог случайно или намеренно наткнуться на ту же ошибку.
- Доступ был тривиальным: достаточно было иметь любой валидный токен от любого Romo (купить устройство, вытащить токен — и вуаля).
- Потенциальные злоупотребления: шантаж («я вижу твою спальню и детей — плати»), сбор данных для краж (точные карты домов + когда никого нет), промышленный шпионаж, создание ботнета из 7000+ камер/микрофонов.
Эксперты по кибербезопасности оценивают: если бы баг не нашли «добрым хакером», его могли эксплуатировать месяцами. В даркнете уже продают доступы к куда менее крутым камерам — а тут сразу тысячи высококачественных устройств в реальных домах.
Реакция DJI
Сэмми сразу сообщил компании. DJI уже с конца января самостоятельно обнаружила проблему и начала исправления:
- 8 февраля — первый патч,
- 10 февраля — второй, полностью закрывший дыру.
Обновления установились автоматически. К моменту публикации доступ был заблокирован даже к собственному пылесосу Сэмми.
DJI заявила: уязвимость была «теоретической», большая часть активности — от исследователей, данные всегда по TLS, компания инвестирует в bug bounty.
Но критики отмечают: дыра была слишком грубой для компании уровня DJI.
Что дальше?
Сэмми продолжил экспериментировать (уже с исправленной версией) и показал другу, как тот может видеть свою гостиную до подключения пылесоса к Wi-Fi. Он говорит: «Я не следовал правилам bug bounty, потому что хотел, чтобы это исправили быстро».
Эта история — яркий пример, как ИИ ускоряет не только разработку, но и обнаружение уязвимостей. Один энтузиаст с Claude Code за пару часов нашёл дыру, которую могли эксплуатировать месяцами.
А вы бы доверили роботу-пылесосу с камерой и микрофоном убирать свою квартиру? После истории с DJI Romo вопрос звучит совсем по-другому.
Источники: The Verge (14 февраля 2026), Popular Science, The Guardian, Malwarebytes, Reddit, X/Twitter, официальные заявления DJI.
Уязвимость уже закрыта. Но напоминание всем: безопасность в IoT — это не опция, а необходимость.