五个月的渗透测试、物理拆解、中间人攻击模拟，结果出来了。

美国网安公司 OnDefend 给大疆两款无人机做了一次独立安全审计，Air 3S 消费机和经纬 Matrice 4E 行业机都上了拆解台，软件、固件、硬件、无线电频率全测了一遍，最后结论：零临界风险、零高风险、零中风险发现。没有后门，没有数据传回中国，也没人能成功黑进飞机改代码。

消息是大疆自己公布的。这家公司正跟美国联邦通信委员会（FCC）打官司，第九巡回上诉法院的诉状已经递上去了。起因是去年 12 月 FCC 出了一纸禁令，所有新申请设备授权的外国产无人机一律不批，大疆说光这一项今年就要损失 15.6 亿美元。

审计这事是大疆去年 10 月自己主动找上 OnDefend 的，比 FCC 禁令生效还早。OnDefend 的团队里有一批前美军和前政府网络安全人员，测试全程大疆没插手——两台飞机都是 OnDefend 自己去渠道买的，Air 3S 从零售端拿货，经纬 M4E 从经销商库存提的，大疆连选哪台都不知道。

查出来 10 个低级问题，比如配套手机 App 用了弱 TLS 协议，认证令牌嵌在 URL 里。OnDefend 的定性是 " 符合复杂嵌入式系统的常见做法 "，大疆说已经在用固件更新修了。不过 OnDefend 也把话说得清楚：这次审计只是某个时间点对两款产品的快照，以后固件推新、软件升级、硬件改版，最好持续测着走。

这家 OnDefend 不是无名之辈。2024 年 6 月，TikTok 美国数据安全部门指定了几家独立安全审查机构，OnDefend 就是其中之一，负责对 TikTok 平台做持续性渗透测试。现在又测完大疆，等于这家公司已经审了两家正被美国政府盯着国家安全审查的中国科技企业。

大疆说审计是独立的，但钱确实是大疆出的。这跟政府主导的安全审查不一样，后者得在联邦监管下进行，测试方跟被审方之间不能有金钱往来。FCC 那纸禁令本来有个前提——政府要在大疆产品上启动一项强制国家安全审查，但到 2025 年 12 月截止日审查都没开始，禁令自动生效。

大疆今年 2 月就告了 FCC，说把这公司列进 " 受管制清单 " 违宪。4 月法庭文件又披露了新数字：FCC 已经撤销了 14 款老产品的设备授权，2026 年计划发布的 25 款新品也进不了美国市场。日经亚洲引用中国海关数据报道，禁令生效后大疆民用无人机月出口量出现下滑。

一份零中高危的审计报告能不能撬动法院的判决，现在还没答案，但至少在技术层面，OnDefend 的数据摆上了桌。