Source: The Verge
Rabbit和其R1人工智能设备再次遭受抨击,比我们发现其启动器实际上可以作为Android应用程序安装的那次事件更为严重。一群名为Rabbitude的开发人员和研究人员称其发现了硬编码在公司代码库中的API密钥,使敏感信息面临落入错误手中的风险。这些密钥实际上提供了访问Rabbit与其第三方服务帐户的权限,如其文本转语言提供商ElevenLabs,以及由404媒体确认的公司SendGrid帐户,这是它从rabbit.tech域发送电子邮件的方式。据Rabbitude称,其对这些API密钥的访问,特别是ElevenLabs API,意味着它可以访问R1设备曾经给出的每个响应。
Rabbitude昨天发表文章称,它在一个多月前获得了这些密钥的访问权限,但虽然了解到了漏洞,Rabbit未采取任何措施来保护信息的安全。此后,该团体表示其对大多数密钥的访问权限已被撤销,暗示该公司已对密钥进行了轮换,但截至今天早些时候,其仍可以访问SendGrid密钥。Rabbit尚未就安全漏洞向本文作者置评,尽管昨天在其Discord服务器上发表了一般性声明:“今天我们被告知存在一起被指称的数据泄露。我们的安全团队立即开始对其进行调查。
目前,我们不知道是否有客户数据泄漏或系统遭遇任何危害。如果我们了解到任何其他相关信息,我们将在获得更多细节后提供更新。在今年春季备受关注的发布后,Rabbit R1证明了自己是一个令人失望的产品。
电池续航差,功能集几乎没有,其人工智能生成的响应经常包含错误。公司迅速发布了软件更新,修复了电池耗尽等问题,并自那时起继续发布更新,但R1过度宣传并严重交付不上的核心问题仍然没有改变。这样的严重安全漏洞使其更加难以赢回公众信任。
网络安全问题牵涉到用户的隐私和数据安全,公司应该加强数据保护措施,以赢得用户的信任。