Stell dir vor, du hast einen regnerischen Nachmittag vor dir und denkst: „Eigentlich ist mein Saugroboter nur ein ferngesteuertes Auto. Warum steuere ich den nicht einfach mit meinem PlayStation 5-Controller?“
Genau das dachte sich der Software-Entwickler Sammy Azdoufal im Februar 2026. Was als witziges Feierabendprojekt begann, endete in einem der kuriosesten und gleichzeitig beängstigendsten IoT-Sicherheitsvorfälle des Jahres.
Programmieren mit „Vibes“ und Claude
Azdoufal schrieb den Code nicht mühsam selbst von Hand. Er nutzte einen Trend, der die Entwicklerwelt gerade im Sturm erobert: Vibe Coding. Mithilfe des KI-Assistenten Claude Code ließ er die KI die meiste Arbeit erledigen. Er wies die KI einfach an, den Datenverkehr zwischen seinem DJI Romo Saugroboter und der dazugehörigen App zu analysieren, um das Authentifizierungs-Token abzugreifen.
Die KI lieferte blitzschnell das Token und baute das Skript für den PS5-Controller. Das Problem lag nicht am Code – sondern an dem, was das Token auslöste.
Der 7.000-Geräte-Gau
Als Azdoufal seine neue App startete, passierte das Unvorstellbare. Er steuerte nicht nur seinen eigenen Roboter. Wegen einer massiven Sicherheitslücke auf den Servern des Herstellers („Insufficient Authentication“) war dieses eine Token ein Universalschlüssel.
Plötzlich hatte er Administrator-Zugriff auf eine ganze Flotte: Über 7.000 Saugroboter weltweit. Seine kleine App zog alle drei Sekunden Daten. Er hatte theoretisch Vollzugriff auf:
- Live-Kamera-Feeds aus fremden Haushalten.
- Die Mikrofone der Roboter.
- Hochauflösende 2D-Raumkarten und Grundrisse.
- IP-Adressen und damit die ungefähren Standorte der Besitzer.
„Ich fand heraus, dass mein Gerät nur eines in einem Ozean von Geräten war“, erklärte Azdoufal später. Er hatte nichts gehackt, keine Firewalls durchbrochen. Er hatte einfach nur höflich bei der API angeklopft – und die Tür stand für die ganze Welt offen.
Das Fazit: Beschleunigte Fehler
Azdoufal meldete die Lücke umgehend an den Hersteller, sodass Schlimmeres verhindert wurde. Doch die Geschichte ist ein Weckruf.
Vibe Coding ermöglicht es uns, Ideen in Rekordzeit in die Tat umzusetzen. Aber wenn die Entwicklungsgeschwindigkeit durch KI exponentiell steigt, prallt sie unweigerlich auf die teils erschreckend schwache Sicherheitsarchitektur vieler Smart-Home-Anbieter. Wenn ein einfaches KI-Skript ausreicht, um die Kontrolle über 7.000 Wohnzimmer zu übernehmen, müssen wir dringend über „Security by Design“ reden.
Dein Staubsauger ist längst kein Haushaltsgerät mehr. Er ist eine rollende Überwachungskamera. Und manchmal reicht ein PS5-Controller, um sie einzuschalten.