Ingegnere utilizza Claude per analizzare l'API di DJI e scopre una falla che permetteva l'accesso alle telecamere in 24 paesi

Un test tecnico si è trasformato in un allarme internazionale. Usando Claude, il modello di IA di Anthropic, per analizzare l'API degli aspirapolvere intelligenti di DJI, un ingegnere ha scoperto una vulnerabilità critica che permetteva l'accesso remoto a telecamere in diretta, piante interne delle abitazioni e persino il controllo dei dispositivi in 24 paesi.

La scoperta è diventata virale perché espone due realtà scomode: il crescente potere dell'intelligenza artificiale nell'analisi del codice complesso e la fragilità ancora presente nella sicurezza dei dispositivi connessi.

Cosa ha trovato l'ingegnere

L'idea iniziale era semplice: usare Claude per aiutare nella reverse engineering dell'API, cioè capire come l'applicazione e i server DJI comunicavano con gli aspirapolvere. Il modello è stato utilizzato per interpretare richieste, token di autenticazione e pattern di risposta del backend.

È qui che è emerso il problema

Il sistema di DJI accettava qualsiasi token valido, senza verificare se quel token appartenesse realmente al dispositivo a cui si stava accedendo. In termini semplici: se qualcuno aveva un token legittimo di un utente, poteva consultare i dati di praticamente qualsiasi aspirapolvere connesso alla piattaforma.

In pratica, ciò significava che era possibile:

• Vedere trasmissioni video in diretta dalle telecamere incorporate negli aspirapolvere
• Accedere ai dati di SLAM (tecnologia che crea mappe interne delle case)
• Ottenere piante digitali degli edifici
• Inviare comandi remoti ai dispositivi

La portata era globale: i dispositivi attivi in 24 paesi erano potenzialmente esposti.

Perché è così grave?

I dispositivi IoT (Internet delle Cose) operano all'interno di ambienti privati — salotti, camere, uffici. Gli aspirapolvere intelligenti moderni non solo puliscono il pavimento; mappano ogni stanza, identificano ostacoli e, in alcuni modelli, trasmettono video in diretta all'utente.

Una falla di verifica della proprietà a questo livello trasforma un elettrodomestico in una potenziale porta d'accesso per sorveglianza indebita.

La cosa più impressionante è che la vulnerabilità non è stata scoperta da un team tradizionale di audit della sicurezza, ma durante l'uso di un'IA per analizzare codice e struttura dell'API.

IA come strumento di audit

L'episodio rafforza un punto che sta guadagnando forza nel settore: i modelli di linguaggio avanzati stanno diventando estremamente efficienti nella lettura, interpretazione e analisi del codice.

Claude non ha "hackerato" nulla da solo. È stato usato come assistente tecnico, aiutando a interpretare le risposte dell'API e a strutturare ipotesi. Tuttavia, il fatto che la falla sia stata identificata in questo processo mostra come gli strumenti di IA possano accelerare le verifiche — rivelando anche vulnerabilità critiche in modo quasi accidentale.

Risposta rapida di DJI

L'ingegnere ha segnalato il problema in modo responsabile a DJI. Secondo i rapporti, l'azienda ha corretto la falla in circa due giorni, chiudendo la breccia di autenticazione.

La rapidità nella risposta è positiva; tuttavia, il caso solleva una domanda inevitabile: quante altre API di dispositivi connessi operano ancora con validazioni fragili, affidandosi solo a token senza un'adeguata verifica della proprietà?

La storia è diventata virale perché è allo stesso tempo curiosa e intrigante, un aspirapolvere domestico che può essere hackerato e avere i suoi dati a rischio, e preoccupante per ciò che rivela sulla sicurezza digitale in ambienti privati.

Alla fine, l'episodio non riguarda solo un bug in un prodotto specifico, ma il nuovo scenario tecnologico in cui le intelligenze artificiali sono in grado di verificare sistemi complessi con un'efficienza impressionante e l'urgenza per le aziende di rafforzare la sicurezza prima che la prossima falla venga alla luce e cada nelle mani sbagliate.