果然财经|智能家居藏“数据暗门”，用户隐私谁来守护？

2026年2月，一场围绕大疆扫地机器人DJI Romo的安全漏洞事件，引发广泛关注。

事件的起因颇具戏剧性，一名开发者Sammy Azdoufal原本只是想用PS5手柄远程控制自己新买的扫地机器人，却意外发现，通过提取自家设备的私有令牌，他竟然能够访问全球超过7000台同型号设备的实时数据，包括房间地图、摄像头画面、清扫路径甚至设备序列号。更令人感到不安的是，他甚至无需输入PIN码，就能调取部分设备的实时视频画面。

DJI Romo 扫地机器人

大疆在事件曝光后迅速响应，次日即修复了无需PIN码查看视频的漏洞，并于2月底完成该问题的全面修复。同时，大疆向发现者支付了3万美元（约合人民币21万元）的漏洞赏金。但该公司也承认，系统中还存在更为核心的安全缺陷，整个系统的全面升级预计需要一个月才能完成。

值得注意的是，大疆强调其扫地机器人产品此前已获得ETSI（欧洲电信标准化协会）、欧盟和UL（美国安全检测实验室）等多项国际安全认证，但在面对借助Claude Code等AI工具的个人破解时，其防护能力仍显不足。

产品背后藏有“数据暗门”

事实上，大疆此次事件并非智能家居行业首次遭遇隐私安全质疑。早在2024年，被称为“扫地机器人第一股”的科沃斯就曾陷入类似风波。两名安全研究人员丹尼斯吉斯和布莱恩在Def Con安全大会上发布了科沃斯旗下产品的安全漏洞，称攻击者可通过这些漏洞利用设备内置的摄像头和麦克风监视用户。

科沃斯当时回应称，这是技术攻防中的破解手段，在日常生活中属于非正常手段，并表示将使用限制第二账户登录、加强蓝牙设备相互连接的二次验证等技术手段强化产品安全。然而，这一事件已经对品牌声誉造成了明显冲击，部分被点名的产品型号在电商平台相继下架。

2025年12月，江苏省消保委发布的《智能家居家电产品消费调查报告》也指出，部分智能家居家电产品存在数据泄露风险，产品背后藏有“数据暗门”。

调查综合运用问卷调查与舆情分析方法，选取扫地机器人、洗地机等10种当下热门的智能家居家电产品进行深入分析。报告援引《法治日报》的报道称，网络中存在售卖家庭摄像头视频和直播资源的现象，通过破解软件可获取常见品牌摄像头账号密码，观看或下载监控画面，甚至有售卖含裸露画面的隐私视频资源的情况。

另有消费者反映，其在卧室中安装的某品牌摄像头在休眠状态自动开启，回看中多出一段视频记录，经检查发现其共享账号频繁在同一地点异地登录，涉及多种不同型号设备，异常登录已持续数月。《中国消费者报》2025年的报道也指出，某品牌智能音箱存在漏洞，可利用蓝牙协议漏洞远程控制设备，即使在设备关闭的状态下仍能监听用户。

“合法”入侵暴露云架构缺陷

回到大疆此次事件，安全研究者指出，问题的核心不在于设备与服务器之间的通信是否加密。大疆强调其使用TLS加密通信，但TLS只能保护传输管道，却无法限制管道内的授权参与者。如果MQTT broker层面缺乏精细化的访问控制列表，一旦成为合法客户端，便可以通过通配符订阅（如#）监听所有主题数据。这是一种典型的后端权限验证缺失问题，而非简单的加密失误。

而云优先的架构设计，又进一步放大了智能家居的隐私安全风险。为了满足用户远程控制、异地查看的需求，如今的智能家居设备几乎都依赖云端服务器，数据需经云端中转才能实现互联互通。

这种架构带来便利的同时，也让风险高度集中，单点漏洞可能引发群体性的隐私泄露。大疆事件中，全球24个国家的数千台设备因同一套认证体系的设计失当同时暴露，设备每三秒一次的“心跳式”数据上报，让用户的行为轨迹、空间结构被持续记录。

澳洲信息安全协会的专家早已指出，扫地机器人等设备不仅是清洁工具，更是数据收集终端，其采集的环境数据会被发送至外部服务器，而云端数据的存储、访问管理若存在漏洞，造成的危害远超过单次视频泄露。

更值得警惕的是，部分企业将数据存储在海外云基础设施中，未建立严格的权限管理机制，误以为物理位置的隔离就能实现安全防护，实则忽视了服务器侧数据隔离、细粒度访问控制的核心需求。

生成式AI让智能家居安全门槛下移

生成式AI的普及，更是让智能家居的安全门槛出现结构性下移，成为行业新的挑战。大疆漏洞的发现者正是借助Claude Code等AI工具完成了协议逆向和工具开发，过去需要扎实网络安全与编程能力才能完成的漏洞挖掘，如今通过自然语言提示就能快速实现。

这意味着，漏洞利用的成本大幅下降，攻击规模的扩张速度显著提升，甚至非专业人士也能借助AI工具对智能家居设备发起攻击。此前，智能家居行业的安全防护主要针对专业黑客，而现在，行业必须将防护模型升级为应对“AI协助下的普通用户”。

另外，用户的安全意识不足，也为智能家居的隐私泄露埋下了隐患。北京汉华飞天信安科技有限公司的专家曾指出，不少用户会随意设置设备密码、轻易共享账户，甚至长期不更新设备固件，这些行为都让黑客有了可乘之机。而企业在产品销售过程中，往往刻意淡化安全风险，对隐私保护的说明含糊其辞，既未提供清晰的安全配置指引，也未对用户进行必要的安全教育。事实上，用户的安全意识培养与企业的技术防护同等重要，只有让用户掌握管理账户、关闭不必要远程访问的方法，才能构建起从企业到用户的完整安全防线。

大疆此次事件没有造成大规模恶意利用，是行业的幸运。但它揭示了一个必须面对的现实：当家庭空间全面数字化、设备全面云化、AI全面工具化，智能设备承载的不仅是便捷的生活体验，更是用户对隐私安全的期待。

2025年11月，市场监管总局（国家标准委）批准发布了《商用清洁机器人》（GB/T 46495—2025）国家标准，将于2026年5月1日正式实施。该标准明确了设备的信息安全要求，这标志着行业的标准化、规范化进程正在加快。而对于企业而言，未来的竞争不再仅仅是功能和体验的竞争，更是安全能力的竞争，谁能在体验与安全之间建立可验证的平衡，谁才能真正赢得用户的青睐与信任，实现可持续发展。

大众新闻·齐鲁壹点记者 尹睿