นักวางแผนกลยุทธ์ด้าน AI ชื่อ Sammy Azdoufal ตั้งใจจะเขียนโค้ดง่ายๆ ผ่าน Claude Code เพื่อให้ตัวเองสามารถใช้จอย PS5 บังคับหุ่นยนต์ดูดฝุ่น DJI Romo ของเขาได้ แต่ผลลัพธ์กลับกลายเป็นเรื่องช็อกวงการ เมื่อแอปที่เขาเขียนดันทะลุการป้องกันของ DJI จนเขาสามารถเข้าถึงอุปกรณ์กว่า 10,000 เครื่อง ใน 24 ประเทศ
เขาสามารถมองเห็นภาพจากกล้อง แผนผังบ้าน เลข Serial Number และแม้แต่การข้ามระบบล็อก PIN ของคนแปลกหน้าได้ง่ายๆ เพียงแค่ใส่รหัส 14 หลัก โดยไม่ต้องเจาะเซิร์ฟเวอร์ด้วยซ้ำ ซึ่งปัจจุบัน DJI ได้ทำการแก้ไขช่องโหว่นี้เรียบร้อยแล้วหลังจากได้รับแจ้ง
ความน่ากลัวของช่องโหว่นี้ไม่ใช่แค่การสั่งให้หุ่นยนต์วิ่งไปมา แต่คือการเข้าถึง ข้อมูลส่วนตัวขั้นสุด ได้แก่
– Camera Feeds แอบดูภาพสดจากกล้องของหุ่นยนต์
– Floor Plans แผนผังบ้านโดยละเอียดที่หุ่นยนต์สแกนไว้
– Sensitive Data เลข IP Address, Serial Number และสถานะเครื่อง
– Bypass PIN สามารถปลดล็อกรหัสผ่านเครื่องใดก็ได้เพียงใช้รหัส 14 หลัก
แม้ DJI จะออกมาระบุว่าได้ปิดช่องโหว่นี้แล้ว และเคลมว่ามีผู้ได้รับผลกระทบในวงจำกัด (ซึ่งส่วนใหญ่เป็นนักวิจัย) แต่เหตุการณ์นี้ก็ยิ่งตอกย้ำความกังวลของ FCC ในสหรัฐฯ ที่สั่งแบนโดรนและอุปกรณ์จากบางประเทศ เนื่องจากเกรงกลัวเรื่องการสอดแนมและความปลอดภัยของข้อมูล
ในมุมของ Techhub เรื่องนี้สะท้อนความจริงที่น่ากังวลอยู่ 2 อย่างครับ
ยุคของ Vibe-coding การที่ใครสักคนใช้ AI (อย่าง Claude Code) เขียนแอปขึ้นมาเล่นๆ แล้วดันไปเจาะหลังบ้านแบรนด์ระดับโลกได้ แปลว่ากำแพง ของการเป็นแฮกเกอร์มันต่ำลงมาก AI ช่วยให้เราข้ามขั้นตอนยากๆ ไปสู่การดึงข้อมูลได้ในพริบตา
ความน่ากลัวของ Cloud คือเราไว้ใจให้หุ่นยนต์ดูดฝุ่น ที่เห็นทุกซอกทุกมุมของบ้าน แต่ถ้าวันหนึ่งสิทธิ์ในการเข้าถึงของบริษัทแม่เกิดพลาด มันก็เหมือนเราเปิดประตูบ้านทิ้งไว้ให้คนทั้งโลกเข้ามาเดินเล่น
สำหรับสาย Smart Home อย่าลืมหมั่นอัปเดต Firmware ของอุปกรณ์เสมอ และถ้าเป็นไปได้ อุปกรณ์ไหนที่มีกล้องและไม่ได้ใช้งานในโซนส่วนตัว (เช่น ห้องนอน) การปิดเครื่องหรือหาอะไรปิดหน้ากล้องไว้บ้าง ก็ยังเป็น Basic Security ที่ใช้ได้ดีเสมอครับ
ที่มา
https://www.techspot.com/news/111443-developer-accidentally-gained-control-more-than-10000-dji.html
