L'équipe derrière Rabbitude, le projet de rétro-ingénierie pour Rabbit R1 fondé par la communauté, a annoncé avoir trouvé une faille de sécurité dans le code de l'entreprise qui rendait les données sensibles des utilisateurs accessibles à tous. Dans une mise à jour publiée sur le site web de Rabbitude, l'équipe explique qu'elle a eu accès à la base de code de Rabbit le 16 mai et a trouvé "plusieurs clés API critiques codées en dur". Ces clés permettent à quiconque de lire chacune des réponses jamais données par le dispositif R1 AI, y compris les réponses contenant les données personnelles des utilisateurs. Elles pourraient également être utilisées pour falsifier les dispositifs R1, modifier les réponses de R1 et remplacer la voix du dispositif.
Les clés API trouvées authentifient l'accès des utilisateurs au service Text-to-Speech d'ElevenLabs, au système voix-texte d'Azure, à Yelp (pour la recherche d'avis) et à Google Maps (pour la recherche de localisation) sur le dispositif d'IA R1. Dans un tweet, un membre de Rabbitude a déclaré que l'entreprise était au courant du problème depuis un mois et qu'elle n'avait "rien fait pour le résoudre". Après le post, il a été affirmé que Rabbit avait révoqué la clé API d'Elevenlabs, alors que la mise à jour avait paralysé les appareils R1 pendant un certain temps.
Dans une déclaration envoyée à Engadget, Rabbit a déclaré qu'ils n'avaient été informés d'une "prétendue violation de données" que le 25 juin. "Notre équipe de sécurité a immédiatement commencé à enquêter sur l'incident", a ajouté la société. "A ce stade, nous n'avons pas connaissance d'une fuite de données clients ou d'une compromission de nos systèmes. Si nous recevons d'autres informations pertinentes, nous mettrons à disposition une mise à jour dès que nous aurons plus de détails. L'entreprise n'a pas précisé si elle avait retiré les clés que l'équipe Rabbitude dit avoir trouvées dans son code.
Rabbit's R1 est un assistant IA autonome développé par Teenage Engineering. Il est conçu pour aider les utilisateurs à effectuer certaines tâches, comme commander de la nourriture, et à obtenir rapidement des informations comme la météo. Nous lui avons attribué un score plutôt bas lors de notre test, car nous avons constaté que ses fonctions d'IA ne fonctionnaient souvent pas. De plus, les utilisateurs peuvent simplement utiliser leur téléphone au lieu de dépenser 199 dollars pour l'appareil.
Une faille de sécurité dans Rabbit R1 rend les données sensibles des utilisateurs accessibles à tous
