Sammy Azdoufal awalnya hanya ingin bersenang-senang dengan mengendalikan robot vakum DJI Romo miliknya menggunakan controller atau stik PS5. Namun, keisengannya itu justru membongkar celah keamanan global yang fatal, saat aplikasi itu terhubung ke server DJI dan mendapat respons dari sekitar 7.000 robot vakum di seluruh dunia
Azdoufal yang bekerja sebagai petinggi strategi AI di sebuah perusahaan ini membeberkan temuannya kepada The Verge. Ia merancang tool sederhananya itu dengan bantuan AI Claude Code. Hasilnya, ia bisa memantau dan mengendalikan ribuan robot itu dari jarak jauh.
Bahkan, Ia bisa melihat siaran langsung (live video) dari kamera robot vakum, mendengarkan suara lewat mikrofonnya, dan melihat pemetaan denah rumah 2D secara akurat. Hanya bermodal 14 digit nomor seri, ia bahkan berhasil melacak status baterai dan denah ruangan rumah rekan jurnalis The Verge yang berada di negara berbeda.
Hebatnya lagi, Azdoufal mengaku tak perlu meretas server DJI dengan teknik rumit. Ia sekadar mengekstrak token privat dari vakum miliknya sendiri. Namun bukannya membatasi, server MQTT milik DJI justru 'menyuapkan' jutaan data pengguna lain kepadanya secara telanjang (cleartext).
Saat melakukan live demo, laptopnya berhasil mengkatalogkan 6.700 perangkat DJI di 24 negara yang berbeda.
Respons DJI dan Ancaman PrivasiSetelah celah ini terungkap, DJI langsung menambal kebocoran tersebut. Perusahaan asal China itu berdalih mereka sebenarnya sudah menemukan masalah ini sejak akhir Januari dan perbaikan sudah berjalan. Sayangnya, klaim itu terkesan janggal karena saat The Verge dan Azdoufal melakukan demo secara langsung pada, Selasa, 10 Februari 2026 lalu, celah tersebut terbukti masih terbuka lebar sebelum akhirnya benar-benar ditutup keesokan harinya.
Kasus ini kembali menyalakan alarm bahaya soal privasi perangkat rumah pintar (smart home). Ini bukan kali pertama robot penyedot debu menjadi ancaman; tahun lalu, peretas berhasil mengambil alih vakum merek Ecovacs untuk mengejar hewan peliharaan dan meneriakkan makian rasis kepada pemiliknya.
"Sangat aneh rasanya ada mikrofon di sebuah alat penyedot debu," kritik Azdoufal.
Meski sempat dinilai terlalu cepat mengungkap hal ini ke publik tanpa menunggu perbaikan tuntas dari DJI, Azdoufal mengaku tak ambil pusing. Ia tidak peduli dengan hadiah uang (bug bounty) dan hanya ingin masalah itu cepat diselesaikan.
Pada akhirnya, ia mendapat dua kepuasan: celah keamanan raksasa berhasil ditutup, dan ia kini benar-benar bisa mengendalikan robot vakumnya sambil bersantai menggunakan stik PS5.
