ライアン・ヘインズ / Android Authority
要約
Advertisement
- 研究者らは、Rabbit コードベースに重大な脆弱性を発見しました。
- この欠陥により、悪意のある攻撃者は Rabbit R1 ガジェットがこれまでに発行したすべての応答を読み取ることができます。
- チームは、Rabbit 社は欠陥を認識しているものの、それを無視することを選択したと主張している。
Rabbit R1 AI ガジェットは期待外れで、過大評価され、信頼性に欠けています。残念ながら、この製品には Rabbit がまだ修正していない重大な脆弱性があるようです。
総称してセキュリティ研究者のチーム ラビチュード 5月16日にRabbitのコードベースにアクセスし、ハードコードされたAPIキーをいくつか発見したと報告した。これらのキーは、2つのテキスト読み上げシステム(ElevenLabsとAzure)、Googleマップ、Yelpのキーである。
これらのキー (特に ElevenLabs キー) にアクセスすると、誰でもさまざまな非常に懸念されるアクティビティを実行できるようです。まず、Rabbitude チームによると、悪意のある人物が Rabbit R1 ガジェットがこれまでに返したすべての応答を読むことができるようになります。これには、個人情報や機密情報を含む応答も含まれます。
回答を読むことは始まりに過ぎない
もしそれが事実だとしたら、とんでもなくひどいことです。しかし、それだけではありません。どうやらこの脆弱性により、誰でも Rabbit R1 を使えなくしたり、ガジェットの応答を変えたり、デバイスの音声を変えたりできるようになるようです。
Advertisement
「Rabbit チームは API キーの漏洩を認識しており、無視することを選択したことを内部で確認しています。執筆時点では API キーは引き続き有効です」とチームは説明した。
「会社ではなくユーザーへの敬意から、これ以上の詳細は公表しない」と付け加えた。
私たちは、この明らかな欠陥について、そして本当に問題を無視しているのかどうかについて Rabbit に問い合わせました。同社から回答があったら、この記事を更新します。この欠陥のニュースは、研究者が Rabbit R1 は当初主張されていたようないわゆる大規模アクション モデルを搭載していないと主張した後にも発表されました。これらの研究者は、R1 サーバーでゲームを実行することも確認しました。