Bulan Februari menjadi bulan yang cukup bergolak bagi DJI. Raksasa teknologi asal Tiongkok yang terkenal dengan drone tersebut memanas-kan perseteruannya dengan larangan drone AS dengan menggugat FCC. Kemudian, internet gempar oleh perangkat DJI yang sama sekali berbeda: robot penyedot debu Romo.
Ribuan unit Romo beserta kamera langsungnya di seluruh dunia diretas — dan bukan oleh penjahat jenius yang duduk dikelilingi layar, melainkan oleh seseorang yang hanya ingin menggunakan kontroler PS5-nya untuk mengendalikan robot penyedot debunya.
Sammy Azdoufal memberi tahu The Verge bahwa ia tidak bermaksud meretas robot penyedot debu milik orang lain. Itu hanyalah proyek iseng bagi insinyur perangkat lunak ini, yang kemudian memperingatkan DJI tentang kesalahan autentikasi masif mereka — sambil membagikan betapa mudahnya mengakses seluruh detail rumah seorang pemilik Romo.
Dan ya, AI terlibat. Azdoufal berspesialisasi dalam strategi AI; ia mendapat bantuan kode dari asisten AI Claude untuk mengubah protokol komunikasi antara server DJI dan Romo miliknya.
Setelah membuat aplikasi khusus untuk pengaturan PlayStation-nya, Azdoufal menyadari bahwa ia melihat jauh lebih banyak dari sekadar data robot penyedot debunya sendiri. Ia secara tidak sengaja membuka kunci data ribuan pemilik robot penyedot debu DJI di seluruh dunia.
Informasi yang terekspos bukan hanya denah rumah 3D, yang sudah cukup buruk. Namun, umpan kamera langsung dan audio mikrofon perangkat tersebut juga dapat diakses.
Per 24 Februari, DJI telah memperbaiki masalah ini dengan membatasi akses ke celah autentikasi tersebut, menurut temuan Azdoufal. Sementara itu, Romo sendiri tampaknya telah menghilang dari DJI Store online, per 26 Februari.
Ketakutan Baru Terbuka: Robot Penyedot Debu Anda sebagai Mata-Mata
Bahkan setelah masalah ini diperbaiki, gagasan bahwa seseorang dapat memata-matai Anda melalui robot penyedot debu tidak serta-merta meningkatkan kepercayaan terhadap seluruh kategori produk ini. Bagaimana jika merek robot penyedot debu berkamera lain memiliki celah keamanan serupa yang belum ditemukan — dan bagaimana jika penemunya tidak sebaik hati Azdoufal?
Kita telah melihat sekilas kerentanan semacam ini di masa lalu. Pada 2024, beberapa robot penyedot debu Ecovacs Deebot X2 di AS diretas dan dibuat untuk meneriakkan umpatan rasis kepada pemiliknya. Perangkat rumah pintar lain dengan kamera juga pernah menghadapi pelanggaran keamanan, dari baby monitor hingga pintu pintar.
Namun, robot penyedot debu adalah satu-satunya jenis perangkat yang secara rutin berkeliling di rumah Anda. Hal ini memberi kerentanan tersebut nuansa mengerikan yang unik, mungkin cukup untuk dijadikan alur film horor found footage.
Dan tentu saja, akan ada lebih banyak peluang bagi pihak-pihak jahat ketika AI memiliki akses ke info pribadi.
Saya menguji robot penyedot debu sebagai pekerjaan, dan saya sungguh tidak ingin menjadi paranoid mengenai penggunaan kameranya. Kamera livestream sebenarnya adalah fitur robot penyedot debu yang sangat menenangkan bagi pemilik hewan peliharaan yang cemas meninggalkan hewan sendirian di rumah.
Semua robot penyedot debu yang saya uji mengumumkan dengan lantang ketika mereka berada dalam mode pengawasan jarak jauh. Namun, tidak semua robot penyedot debu memberikan pemberitahuan sopan tersebut (contohnya, DJI Romo tidak memilikinya).
Bagaimanapun, jika seorang peretas sudah bisa mencapai titik di mana mereka dapat mengontrol kamera penyedot debu, apakah akan sulit bagi mereka untuk menonaktifkan peringatannya? Selama masalah ini ada, mungkin bijaksana untuk menonaktifkan kamera penyedot debu Anda, setidaknya saat tidak digunakan, dengan hack berteknologi paling rendah: menutupnya dengan selotip.