エンジニアがClaudeを使用してDJIのAPIを分析し、24カ国のカメラにアクセス可能な脆弱性を発見

技術的なテストが国際的な警告に変わりました。ClaudeというAnthropicのAIモデルを使用して、DJIのスマート掃除機のAPIを分析したところ、エンジニアが重大な脆弱性を発見しました。これにより、24カ国でライブカメラや家の内部の地図、さらにはデバイスの制御へのリモートアクセスが可能になっていました。

この発見は、複雑なコードを分析するAIの力が増していることと、接続されたデバイスのセキュリティがまだ脆弱であることの2つの不安な現実を露呈したため、瞬く間に広まりました。

エンジニアが見つけたもの

最初のアイデアはシンプルでした。Claudeを使ってAPIのリバースエンジニアリングを支援し、つまりアプリケーションとDJIのサーバーが掃除機とどのように通信しているかを理解することでした。このモデルはリクエスト、認証トークン、バックエンドの応答パターンを解釈するために使用されました。

そこで問題が発覚しました。

DJIのシステムは任意の有効なトークンを受け入れており、そのトークンが実際にアクセスされているデバイスに属しているかどうかを確認していませんでした。簡単に言えば、誰かが正当なユーザートークンを持っていれば、プラットフォームに接続されたほぼすべての掃除機のデータを照会できるということです。

実際には、次のことが可能でした。

• 掃除機に組み込まれたカメラのライブ映像を見る
• SLAMデータ（家の内部地図を作成する技術）にアクセスする
• デジタルフロアプランを取得する
• デバイスにリモートコマンドを送信する

この影響は世界中に及び、24カ国のアクティブなデバイスが潜在的に露出されていました。

なぜこれが深刻なのか？

**IoT（モノのインターネット）**デバイスはプライベートな環境、つまりリビングルーム、ベッドルーム、オフィス内で動作します。最新のスマート掃除機は単に床を掃除するだけでなく、各部屋をマッピングし、障害物を特定し、いくつかのモデルではユーザーにライブ映像を送信します。

このレベルでの所有権確認の欠如は、家庭用電化製品を不正な監視の入り口に変える可能性があります。

さらに印象的なのは、この脆弱性が伝統的なセキュリティ監査チームではなく、APIのコードと構造を分析するためにAIを使用した際に発見されたことです。

監査ツールとしてのAI

このエピソードは、言語モデルがコードの読み取り、解釈、分析において非常に効率的になっているという点を強調しています。

Claudeは自ら何かを「ハッキング」したわけではありません。彼は技術アシスタントとして使用され、APIの応答を解釈し、仮説を構築するのに役立ちました。それでも、このプロセスで脆弱性が特定されたという事実は、AIツールが監査を加速する方法を示しています。

DJIの迅速な対応

エンジニアはDJIに問題を責任を持って報告しました。報告によると、同社は約2日で脆弱性を修正し、認証の抜け穴を閉じました。

迅速な対応は評価されますが、このケースは避けられない質問を投げかけます：他のIoTデバイスのAPIはまだ脆弱な検証で動作しており、適切な所有権の確認なしにトークンに頼っているのではないか？

この話は、それが好奇心をそそるものであり、家庭用掃除機がハッキングされる可能性があり、データが危険にさらされるという点で興味深く、またプライベートな環境におけるデジタルセキュリティについて明らかにすることからも懸念を引き起こします。

最終的に、このエピソードは特定の製品のバグについてだけではなく、AIが複雑なシステムを驚くべき効率で監査できる新しい技術シナリオについてのものであり、企業が次の脆弱性が露呈し悪用される前にセキュリティを強化する緊急性についてのものです。