
วิศวกรหนุ่มใช้ Claude เพื่อทำแอปควบคุมหุ่นยนต์ดูดฝุ่นของตัวเองด้วยจอยเกม PS5 แต่ AI กลับเข้าถึงช่องโหว่ของระบบ เปิดให้เข้าถึงการควบคุมหุ่นยนต์ดูดฝุ่น 7,000 ตัวทั่วโลก

แซมมี่ อัซดูฟาล วิศวกรซอฟต์แวร์ เกิดคันไม้คันมืออยากทำแอปควบคุมหุ่นยนต์ดูดฝุ่นด้วยจอยเกม PS5 เพราะดูเท่ดี เขาเลยให้ Claude AI ช่วยวิเคราะห์การสื่อสารระหว่างหุ่นยนต์ดูดฝุ่น DJI Romo กับเซิร์ฟเวอร์ของผู้ผลิตว่าทำงานยังไง ทำความเข้าใจระบบเพื่อควบคุมมันผ่านจอยเกม
แต่ด้วยความที่ AI ฉลาดเกินไปสามารถดึงโทเค็นความปลอดภัยออกมาได้ กลายเป็นช่องโหว่ใหญ่เปิดทางให้เข้าถึง DJI Romo มากกว่า 7,000 เครื่องทั่วโลก เพราะแอปที่เขาพัฒนาขึ้นสามารถดึงข้อมูลจากหุ่นยนต์หลายพันเครื่องทุกๆ 3 วินาที ไม่ว่าจะเป็นหมายเลขประจำเครื่อง เส้นทางการทำความสะอาด สถานะแบตเตอรี่ หรือสิ่งกีดขวางที่ตรวจพบ
แถมเขายังสามารถเปิดใช้งานกล้องและไมโครโฟนของตัวเครื่อง สร้างแผนผังบ้านแบบ 2 มิติจากข้อมูลเชิงพื้นที่ และประมาณตำแหน่งที่ตั้งคร่าวๆ ของบ้านแต่ละหลังผ่านที่อยู่ IP ได้อีกด้วย
หลังจากได้รับการแจ้งเตือน DJI ได้ออกแพตช์แก้ไขข้อบกพร่องภายในไม่กี่วัน โดยโฆษกของบริษัทระบุว่า ปัญหาเกิดจาก “ข้อผิดพลาดด้านการตรวจสอบสิทธิ์การเข้าถึงในระบบแบ็กเอนด์ที่เกี่ยวข้องกับการสื่อสารแบบ MQTT ระหว่างอุปกรณ์และเซิร์ฟเวอร์” ซึ่งในทางทฤษฎีอาจเปิดช่องให้เข้าถึงการดูวิดีโอถ่ายทอดสดของอุปกรณ์โดยไม่ได้รับอนุญาต
ทางอัซดูฟาลระบุว่ายังมีช่องโหว่บางส่วนที่ไม่ได้รับการแก้ไข แม้บริษัทจะให้คำมั่นว่าจะจัดการภายในไม่กี่สัปดาห์ คำถามที่น่ากังวลจึงยังคงอยู่ เช่น เหตุใดเครื่องดูดฝุ่นจึงต้องมีไมโครโฟนตั้งแต่แรก เพราะสำหรับอุปกรณ์ทำความสะอาด การได้ยินแทบไม่ใช่ความสามารถที่จำเป็นเลย
กรณีนี้ไม่ใช่ครั้งแรกที่หุ่นยนต์ดูดฝุ่นกลายเป็นเครื่องมือสอดแนม ในปี 2024 แฮกเกอร์เคยใช้ช่องโหว่ของเครื่องดูดฝุ่น Ecovacs เพื่อสอดแนมเจ้าของบ้าน ส่งเสียงด่าทอ และก่อกวนสัตว์เลี้ยง เหตุการณ์เหล่านี้สะท้อนให้เห็นความเสี่ยงของอุปกรณ์อัจฉริยะที่เชื่อมต่ออินเทอร์เน็ตภายในบ้าน ซึ่งบางครั้งอาจถูกปล่อยสู่ตลาดโดยมีมาตรฐานความปลอดภัยที่ “ดีพอใช้” เท่านั้น
ที่มา pcgamer





