Ryan Haines / Urząd ds. Androida
TL;DR
Advertisement
- Badacze odkryli poważną lukę w kodzie Rabbit.
- Ta luka umożliwia złośliwym aktorom odczytanie każdej odpowiedzi wydanej kiedykolwiek przez jakikolwiek gadżet Rabbit R1.
- Zespół twierdzi, że Rabbit jest świadomy wady, ale zdecydował się ją zignorować.
Gadżet AI Rabbit R1 był rozczarowujący, przereklamowany i zawodny. Niestety wygląda na to, że produkt ma poważną lukę w zabezpieczeniach, której Rabbit jeszcze nie naprawił.
Zespół badaczy bezpieczeństwa znany pod wspólną nazwą Królik poinformował, że 16 maja uzyskał dostęp do bazy kodu Rabbit i odkrył kilka zakodowanych na stałe kluczy API. Te klucze są przeznaczone dla dwóch systemów zamiany tekstu na mowę (ElevenLabs i Azure), Map Google i Yelp.
Dostęp do tych kluczy (szczególnie klucza ElevenLabs) najwyraźniej pozwala każdemu na angażowanie się w różnorodne niezwykle niepokojące działania. Na początek zespół Rabbitude twierdzi, że umożliwia to nikczemnym aktorom odczytanie każdej odpowiedzi, jakiej kiedykolwiek udzielił jakikolwiek gadżet Rabbit R1. Obejmuje to odpowiedzi zawierające dane osobowe lub wrażliwe.
Czytanie odpowiedzi to dopiero początek
To śmiesznie źle, jeśli się potwierdzi. Na tym jednak się nie kończy, ponieważ luka najwyraźniej pozwala każdemu zamurować Rabbit R1, zmienić reakcje gadżetów i zmienić głos urządzenia.
Advertisement
„Mamy wewnętrzne potwierdzenie, że zespół Rabbit jest świadomy wycieku kluczy API i zdecydował się go zignorować. Klucze API są nadal ważne w chwili ich napisania” – wyjaśnił zespół.
„Nie będziemy publikować więcej szczegółów ze względu na szacunek do użytkowników, a nie do firmy” – dodał.
Zapytaliśmy Rabbita o tę oczywistą wadę i czy rzeczywiście ignoruje on problem. Zaktualizujemy artykuł, jeśli/kiedy firma się do nas skontaktuje. Wiadomość o tej usterce pojawiła się także po tym, jak badacze stwierdzili, że Rabbit R1 tak naprawdę nie był napędzany przez tak zwany model o dużej akcji, jak pierwotnie twierdzono. Badacze ci uruchomili także gry na serwerach R1.