Il team che sta dietro a Rabbitude, il progetto di reverse-engineering fondato dalla comunità per Rabbit R1, ha annunciato di aver trovato una vulnerabilità nel codice dell'azienda che espone i dati sensibili degli utenti a chiunque. In un aggiornamento sul sito web di Rabbitude, il team spiega di aver ottenuto l'accesso al codice di Rabbit il 16 maggio e di aver trovato "diverse chiavi API critiche e hardcoded". Queste chiavi consentono a chiunque di leggere ogni singola risposta fornita dal dispositivo R1 AI, comprese quelle contenenti i dati personali degli utenti. Potrebbero inoltre essere utilizzate per creare uno spoofing dei dispositivi R1, modificare le risposte di R1 e sostituire la voce del dispositivo.
Le chiavi API trovate autorizzano l'accesso degli utenti al servizio text-to-speech di ElevenLabs, al sistema voice-to-text di Azure, a Yelp (per la ricerca di recensioni) e a Google Maps (per la ricerca della posizione) sul dispositivo R1 AI. In un tweet, un membro di Rabbitude ha dichiarato che l'azienda era a conoscenza del problema da un mese e "non ha fatto nulla per risolverlo". Dopo il post, è stato affermato che Rabbit ha revocato la chiave API a Elevenlabs, anche se l'aggiornamento ha paralizzato i dispositivi R1 per un po'.
In una dichiarazione inviata a Engadget, Rabbit ha affermato di essere stata informata di una "presunta violazione dei dati" il 25 giugno. "Il nostro team di sicurezza ha iniziato immediatamente a indagare sull'incidente", ha aggiunto la società. "Al momento non sappiamo se i dati dei clienti siano stati divulgati o se i nostri sistemi siano stati compromessi. Se dovessimo ricevere ulteriori informazioni rilevanti, forniremo un aggiornamento non appena avremo maggiori dettagli". L'azienda non ha commentato se ha ritirato le chiavi che il team di Rabbitude sostiene di aver trovato nel codice dell'azienda.
Rabbit's R1 è un assistente AI autonomo sviluppato da Teenage Engineering. È stato progettato per aiutare gli utenti a completare alcune operazioni, come ordinare la spesa, e a recuperare rapidamente informazioni come il meteo. Nel nostro test gli abbiamo assegnato un punteggio piuttosto basso perché abbiamo riscontrato che le sue funzioni AI spesso non funzionano. Inoltre, gli utenti possono utilizzare il proprio telefono invece di spendere 199 dollari per il dispositivo.
Una vulnerabilità in Rabbit R1 rende accessibili a chiunque i dati sensibili degli utenti
