「これまでに与えられたすべての[ウサギ] R1 応答はダウンロードできます。」によるとRabbitude と呼ばれる R1 研究グループに。
Rabbit とその R1 AI デバイスはすでに浸した存在するためにそれ以上何もないよりもAndroidアプリハードウェア ガジェットに包まれていますが、さらに憂慮すべき事態が進行中です。
レポート(経由)ザ・ヴァージ)Rabbitudeがコードベースにアクセスし、APIキーがコードに組み込まれていることが判明したと述べた。つまり、これらのキーを持っている人は誰でも、「個人情報を含むものを含むすべてのr1が出したすべての応答を読み取り、すべてのr1をブリックし、すべてのr1の応答を変更し、[そして]すべてのr1の音声を置き換える」ことができるということです。調査の結果、これらの API キーが、テキスト読み上げ生成のための イレブンラボと Azure、レビューのための Yelp、および位置データのための Google マップへのアクセスを提供していることが判明しました。
マッシュ可能な光の速度
さらに悪いことに、Rabbitude は 5 月 16 日にセキュリティ上の欠陥を特定し、Rabbit もこの問題を認識していたと述べた。しかし、6 月 25 日の記事では、「API キーは執筆時点でも引き続き有効です」と述べています。API キーへのアクセスが継続されるということは、悪意のある者が機密データにアクセスし、rabbitOS システム全体をクラッシュさせ、カスタム テキストを追加する可能性があることを意味します。
翌日(6月26日)、Rabbitは同社のDiscordサーバー上で声明を発表し、Rabbitudeが特定した4つのAPIキーが取り消されたと述べた。同社は「現時点で顧客データの漏洩やシステムへの侵害は確認していない」としている。
しかし、陰謀は濃くなる。ラビチュードも見つかりました5 番目の API キーはコードに組み込まれていましたが、調査では公表されていませんでした。これは sendgrid と呼ばれ、r1.rabbit.tech サブドメインへのすべての電子メールへのアクセスを提供します。 Rabbitude がフォローアップ レポートを公開した時点では、sendgrid API キーはまだアクティブでした。この API キーにアクセスすると、Rabbitude は R1 のスプレッドシート関数内の追加のユーザー情報にアクセスしたり、rabbit.tech の電子メール アドレスから電子メールを送信したりできることを意味します。
もしあなたが、Mashable Tech 編集者の Kimberly Gedeon がレビューの中で「急ぎのイノベーション、幻滅、衝動性」のせいだと非難した、R1 の中途半端な機能にすでに懐疑的だったとしたら、これは Rabbit がせいぜい、お金を払う価値がないというサインかもしれません。最悪の場合、データをプライベートに保つことができなくなります。