Engenheiro usa Claude para analisar API da DJI e descobre falha que dava acesso a câmeras em 24 países

Um teste técnico virou um alerta internacional, ao usar o Claude, modelo de IA da Anthropic, para analisar a API de aspiradores inteligentes da DJI, um engenheiro acabou encontrando uma vulnerabilidade crítica que permitia acesso remoto a câmeras ao vivo, plantas internas de imóveis e até controle dos aparelhos em 24 países.

A descoberta viralizou porque expõe duas realidades desconfortáveis: o poder crescente da inteligência artificial para analisar código complexo e a fragilidade que ainda presente na segurança de dispositivos conectados.

O que o engenheiro encontrou

A ideia inicial era simples: usar o Claude para ajudar na engenharia reversa da API, ou seja, entender como o aplicativo e os servidores da DJI se comunicavam com os aspiradores, O modelo foi utilizado para interpretar requisições, tokens de autenticação e padrões de resposta do backend.

Foi aí que surgiu o problema

O sistema da DJI aceitava qualquer token válido, sem verificar se aquele token realmente pertencia ao dispositivo que estava sendo acessado. Em termos simples: se alguém tivesse um token legítimo de usuário, poderia consultar dados de praticamente qualquer aspirador conectado à plataforma.

Na prática, isso significava que era possível:

• Ver transmissões ao vivo das câmeras embutidas nos aspiradores
• Acessar dados de SLAM (tecnologia que cria mapas internos das casas)
• Obter plantas baixas digitais dos imóveis
• Enviar comandos remotos para os dispositivos

O alcance era global: aparelhos ativos em 24 países estavam potencialmente expostos.

Por que isso é tão grave?

Dispositivos de IoT (Internet das Coisas) operam dentro de ambientes privados — salas, quartos, escritórios. Aspiradores inteligentes modernos não apenas limpam o chão; eles mapeiam cada cômodo, identificam obstáculos e, em alguns modelos, transmitem vídeo ao vivo para o usuário.

Uma falha de verificação de propriedade nesse nível transforma um eletrodoméstico em uma possível porta de entrada para vigilância indevida.

O mais impressionante é que a vulnerabilidade não foi descoberta por uma equipe tradicional de auditoria de segurança, mas durante o uso de uma IA para analisar código e estrutura de API.

IA como ferramenta de auditoria

O episódio reforça um ponto que vem ganhando força no setor: modelos avançados de linguagem estão se tornando extremamente eficientes na leitura, interpretação e análise de código.

O Claude não “hackeou” nada por conta própria. Ele foi usado como assistente técnico, ajudando a interpretar respostas da API e a estruturar hipóteses. Ainda assim, o fato de a falha ter sido identificada nesse processo mostra como ferramentas de IA podem acelerar auditorias — inclusive revelando vulnerabilidades críticas de forma quase acidental.

Resposta rápida da DJI

O engenheiro reportou o problema de forma responsável à DJI. Segundo relatos, a empresa corrigiu a falha em cerca de dois dias, fechando a brecha de autenticação.

A rapidez na resposta é positiva; porém, o caso levanta uma pergunta inevitável: quantas outras APIs de dispositivos conectados ainda operam com validações frágeis, confiando apenas em tokens sem checagem adequada de propriedade?

A história viralizou porque é ao mesmo tempo curiosa e intrigante, um aspirador doméstico podendo ser hackeado e ter seus dados em riscos, e preocupante pelo que revela sobre segurança digital em ambientes privados.

No fim das contas, o episódio não é apenas sobre um bug em um produto específico, é sobre o novo cenário tecnológico em que inteligências artificiais são capazes de auditar sistemas complexos com eficiência impressionante e sobre a urgência de empresas reforçarem a segurança antes que a próxima falha venha a tona e caia em mãoes erradas.