发生了什么
Wired 于 2026 年 7 月 13 日报道称,旧金山警察局五架无人机的实时视频流通过一个与 Skydio 平台相关的公开网址暴露在外。报道称,安全研究人员 Sam Curry 和 Maik Robert 发现该地址可访问实时彩色视频、热成像视频、位置等遥测数据,以及无人机飞手的识别信息,并在链接被下线前报告了这一暴露。
报道还称,暴露的材料包括无人机在逮捕、搜查、车辆跟踪、屋顶、街道、公寓楼和路人附近执行任务时的画面。SFPD 向 Wired 表示,该网址是用于执法协调的内部受限链接,并称在获悉该漏洞后已采用更严格的共享协议。Wired 还报道称,Skydio 没有回应其置评请求。
为什么重要
这起事件并不只是一个链接暴露的问题。它说明,在城市无人机项目中,访问控制、链接过期、日志记录和数据保留设置都可能变成公民自由问题。无人机画面可能包含远多于警方行动目标的信息:人脸、车牌、屋顶、院落、公寓窗户、热成像画面、飞手元数据,以及逐秒记录的位置轨迹。
Skydio 关于 X10 的官方材料介绍了高分辨率视觉相机、辐射热成像、对人和车辆的自主跟踪,以及从 800 英尺外读取车牌的能力。这些能力可用于公共安全、搜救和警员协同,但如果实时视频或归档内容配置不当,薄弱权限带来的风险也会更高。
政策背景
SFPD 已发布的 UAS 政策称,在 E 提案授权下,无人机可用于主动刑事调查,也可配合或替代车辆追逐。该政策还要求操作员将摄像头聚焦在任务所需区域,尽量减少对无关人员或地点的意外采集,并采取合理预防措施,避免录制或传输人们具有合理隐私期待场所的图像。
因此,Wired 的报道格外敏感:问题不只是无人机是否可以飞行,而是对其捕获内容的实时访问是否受到足够控制。对采用类似系统的机构来说,操作清单应包括短时效认证链接、最小权限共享、审计日志、保留规则执行,以及定期检查是否被公开索引或意外暴露。
一个快速扩张的项目
San Francisco Chronicle 于 7 月 4 日报道称,根据公开飞行日志,SFPD 在 2026 年前五个月的无人机部署次数已经超过 2025 年全年总量。该媒体还报道称,2026 年大多数部署被记录为刑事调查,培训和测试是第二大类别。随着使用规模扩大,透明度和技术控制变得更加重要,因为错误也会随使用规模一起放大。
接下来该关注什么
接下来的直接问题包括:SFPD 的调查是否发现还有其他人访问过这些视频流;Skydio 或 SFPD 是否会调整默认共享行为;以及旧金山市是否会更新无人机使用的公开报告。更广泛的教训很明确:公共部门部署监控系统时,应从第一天起就把视频、遥测数据和元数据视为敏感数据。