Das Team hinter Rabbitude, dem von der Community gegründeten Reverse-Engineering-Projekt für Rabbit R1, hat bekannt gegeben, dass es eine Sicherheitslücke im Code des Unternehmens gefunden hat, durch die sensible Nutzerdaten für jedermann zugänglich sind. In einem Update auf der Rabbitude-Website erklärt das Team, dass es sich am 16. Mai Zugang zur Rabbit-Codebasis verschafft und “mehrere kritische, fest codierte API-Schlüssel” gefunden hat. Diese Schlüssel ermöglichen es jedermann, jede einzelne Antwort zu lesen, die das R1 AI-Gerät jemals gegeben hat, einschließlich der Antworten, die die persönlichen Daten der Nutzer enthalten. Sie könnten auch verwendet werden, um R1-Geräte zu fälschen, die Antworten von R1 zu ändern und die Stimme des Geräts zu ersetzen.
Die gefundenen API-Schlüssel authentifizieren den Zugriff der Nutzer auf den Text-to-Speech-Dienst von ElevenLabs, das Sprach-zu-Text-System von Azure, Yelp (für die Suche nach Bewertungen) und Google Maps (für die Suche nach dem Standort) auf dem R1-KI-Gerät. In einem Tweet erklärte ein Mitglied von Rabbitude, dass das Unternehmen seit einem Monat von dem Problem wisse und “nichts unternommen habe, um es zu beheben”. Nach dem Post wurde behauptet, dass Rabbit den API-Schlüssel von Elevenlabs widerrufen habe, obwohl das Update die R1-Geräte für eine Weile lahmgelegt hatte.
In einer Stellungnahme, die an Engadget geschickt wurde, sagte Rabbit, dass sie erst am 25. Juni über eine “angebliche Datenverletzung” informiert wurden. “Unser Sicherheitsteam hat sofort mit der Untersuchung des Vorfalls begonnen”, fügte das Unternehmen hinzu. “Zum jetzigen Zeitpunkt haben wir keine Kenntnis darüber, dass Kundendaten abgeflossen sind oder unsere Systeme kompromittiert wurden. Sollten wir weitere relevante Informationen erhalten, werden wir ein Update zur Verfügung stellen, sobald wir mehr Details wissen. Das Unternehmen hat sich nicht dazu geäußert, ob es die Schlüssel, die das Rabbitude-Team im Code des Unternehmens gefunden haben will, zurückgezogen hat.
Rabbit’s R1 ist ein eigenständiger KI-Assistent, der von Teenage Engineering entwickelt wurde. Es soll den Benutzern helfen, bestimmte Aufgaben zu erledigen, wie z. B. die Bestellung von Lebensmitteln, und schnell Informationen wie das Wetter abrufen. Wir haben ihm in unserem Test eine eher niedrige Punktzahl gegeben, weil wir festgestellt haben, dass seine KI-Funktionen oft nicht funktionieren. Außerdem können die Nutzer einfach ihr Telefon benutzen, anstatt 199 Dollar für das Gerät auszugeben.
Sicherheitslücke in Rabbit R1 macht sensible Nutzerdaten für jedermann zugänglich
