6. Mai 2026, 8:06 Uhr | Lesezeit: 3 Minuten
Saugroboter sind grundsätzlich eine nützliche Sache. Wer sich so einen Helfer ins Haus holt, sollte allerdings wissen, dass moderne Geräte nicht nur saugen. Sie filmen, hören mit und erstellen digitalisierte Raumpläne der eigenen Wohnung. Solche Daten sind für Menschen mit bösen Absichten von größtem Interesse. Sammy Azdoufal hatte keine bösen Absichten, bekam dennoch Zugriff auf Bilder und andere Daten tausender Saugroboter. Wie es dazu kam, berichtet TECHBOOK in diesem Artikel.
Sammy Azdoufal arbeitet als KI-Verantwortlicher bei einem französischen Unternehmen, das Ferienunterkünfte vermittelt. Zudem besitzt er einen DJI Romo, einen modernen Saugroboter. Was ihm damit passiert ist, hat er dem Online-Portal „The Verge“ erzählt.
Eigentlich ging es ihm nur darum, seinen Saugroboter mit seinem PlayStation-Gamepad zu verbinden, damit er seinen Haushaltshelfer auch darüber fernsteuern kann. Um eine Verbindung hinzubekommen, benutzte der KI-Experte die Hilfe von Claude. Über das KI-System von Anthropic ließ er sich eine App erstellen, damit er Zugriff auf die Daten seines Saugroboters bekommt.
Kein illegaler Hack
Im Gespräch betont Azdoufal, er hatte nicht vor, einen illegalen Hack durchzuführen. Ihm sei es nur um die Daten auf seinem Gerät gegangen. Doch kurz nach dem Start seiner App traute er seinen Augen nicht.
Denn er bekam nicht nur eine Antwort von seinem DJI Romo, sondern von etwa 7000 anderen Saugrobotern der Modellserie auf der ganzen Welt. Und nicht nur das, der KI-Tüftler hatte kompletten Datenzugriff und konnte die fremden Geräte ansteuern, versichert Sammy Azdoufal später im Interview.
Erschreckenderweise waren sämtliche Daten unverschlüsselt auf Servern hinterlegt. Dort stöberte er durch Live-Kamerabilder, Raumpläne der jeweiligen Nutzer und andere private Daten, auf die eigentlich niemand zugreifen sollte. Wenn diese Daten in die Hände von Cyberkriminellen geraten wären, hätte das für den Hersteller DJI unangenehme Folgen gehabt.
iOS 18.3 ist da! Alle Neuerungen des iPhone-Updates
Hören Google, Amazon und Facebook unsere Smartphones ab?
DJI wollte das Problem herunterspielen
So ist nur Sammy Azdoufal damit konfrontiert worden, und das rein zufällig, weil er in seiner Freizeit ein wenig an seinem Saugroboter herumgebastelt hat. Er erzählt, wie er daraufhin DJI per Mail kontaktiert hat, um auf das Sicherheitsproblem hinzuweisen.
Das Unternehmen schickte eine Antwort, in der es versuchte, die Sicherheitslücke herunterzuspielen. Angeblich wäre den Software-Entwicklern das offene Einfallstor schon vor dem Zugriff von Sammy Azdoufal bekannt gewesen. Die Lücke wurde dann seltsamerweise unmittelbar nach der Nachricht des KI-Tüftlers an DJI geschlossen.
Weiter behauptete DJI, der Zugriff auf Live-Videos wäre nur „theoretisch“ möglich gewesen. Sammy Azdoufal hatte allerdings den Reportern von „The Verge“ den praktischen Beweis geliefert, mit seiner App auf Live-Daten zugreifen zu können.
Laut DJI sei die Sicherheitslücke nun behoben. Wie Azdoufal auf seinem X-Account dokumentiert hat, stimmt auch das nur halb. Beispielsweise lässt sich das Live-Video des eigenen DJI-Romo-Saugroboters ohne Verschlüsselung anschauen. Eigentlich soll das durch Eingabe einer PIN verhindert werden.
Programmcode frei verfügbar
Zumindest ist der Zugriff auf andere Saugroboter aus der Romo-Serie mit der KI-generierten App nicht mehr möglich. Allerdings tut das Programm den Job, für den es ursprünglich erstellt worden ist. Sammy Azdoufal kann seinen DJI Romo nun auch mit seinem PlayStation-Gamepad steuern.
Wer sich für die App interessiert: Der französische KI-Tüftler hat den Programmcode und eine Anleitung auf das Open-Source-Portal Github hochgeladen.