Η τεχνητή νοημοσύνη έχει μπει για τα καλά στην ανάπτυξη εφαρμογών και την συγγραφή κώδικα. Το ότι μπορεί να γράφει κώδικα όμως, δε σημαίνει πως ξέρει πραγματικά τι κάνει. Αυτό ανακάλυψε πρόσφατα ένας χρήστης που είχε ρομποτική σκούπα και μάλιστα με έναν αρκετά δύσκολο τρόπο.
Ο Sammy Azdoufal θέλησε να παίξει λίγο με την ρομποτική του σκούπα, μια DJO Romo. Αναρωτήθηκε λοιπόν αν μπορεί να βρει έναν τρόπο για να την χειρίζεται με το χειριστήριο του PlayStation 5. Στην προσπάθειά του να πετύχει τον στόχο του, χρησιμοποίησε το Claude Code της Anthropic, ώστε να αναλύσει την εφαρμογή της DJI και να ανακατασκευάσει το πρωτόκολλο που χρησιμοποιεί η εταιρεία, για την επικοινωνία με τις ρομποτικές σκούπες.
Δεν ήταν όμως μόνο η δική του ρομποτική σκούπα
Από ότι φαίνεται το Claude κατάφερε να σπάσει τον κώδικα και ο Azdoufal κατάφερε να χειριστεί την σκούπα του. Όμως τα πράγματα δεν ήταν τόσο απλά, αφού κατάφερε πολλά παραπάνω. Από ότι φαίνεται, εκτός από την δική του σκούπα, είχε πάρει τον έλεγχο και για όλες τις ενεργές ρομποτικές σκούπες της DJI. Ο κώδικας που είχε δε σταμάτησε όμως εκεί, αλλά πήρε και τον έλεγχο στους σταθμούς παραγωγής ενέργειας της εταιρείας.
Αυτές οι συσκευές DJI χρησιμοποιούν το πρωτόκολλο MQTT για να επικοινωνούν με τους διακομιστές της εταιρείας και την εφαρμογή στα τηλέφωνα των χρηστών και, ενώ η εταιρεία εφάρμοζε έλεγχο ταυτότητας. Όμως, αυτός δεν ήταν συνδεδεμένος με συγκεκριμένες συσκευές, που είχαν μόνο έναν πολύ βασικό έλεγχο ταυτότητας, όταν οι χρήστες δεν είχαν στήσει σωστά τις σκούπες τους. Αυτό σημαίνει πως αν περάσετε έναν διακριτικό και βασικό έλεγχο ταυτότητας, μπορείτε να εξάγετε από μια εφαρμογή της DJI, τα δεδομένα όλων, όπου και αν βρίσκονται.
Αυτό δείχνει πως κάθε διαδικτυακή συσκευή είναι επικίνδυνη
Αυτό σημαίνει πως εκτός από τον έλεγχο των συσκευών, ο Azdoufal μπορούσε να δει και τις κατόψεις όλων των χρηστών, όπως και ροή από τις κάμερες που έχουν οι σκούπες χρηστών.
Η DJI προέβη αμέσως σε κλείσιμο του κενού ασφαλείας, εμποδίζοντας την πρόσβαση σε συσκευές άλλων, όμως υπάρχουν και άλλα τρωτά σημεία που παραμένουν. Σε αυτά περιλαμβάνεται η παράκαμψη του PIN για την προβολή της ροής από την κάμερα της σκούπας.
To Claude από ότι φαίνεται δημιούργησε μια εφαρμογή που τελικά ήταν κάτι πολύ διαφορετικό από αυτό που περίμενε ο χρήστης και αυτό είναι ανησυχητικό και τρομακτικό συγχρόνως.
Αυτό εγείρει ερωτήματα για την ασφάλεια των συστημάτων των εταιρειών. Για αυτό κάθε συσκευή που συνδέεται στο διαδίκτυο και έχει εικόνα και ήχο, είναι πιθανή συσκευή κατασκοπείας. Από τις ρομποτικές σκούπες όμως δε το περιμέναμε.
