Rabbit R1 güvenlik sorunu kullanıcı bilgilerini tehlikeye atıyor
Rabbitude ekibi, Rabbit R1 cihazında kritik bir güvenlik açığı buldu. Bu açık, kullanıcıların kişisel bilgilerini korumasız bırakıyor ve cihazın işlevselliğini tehlikeye atıyor. Rabbit şirketi ise herhangi bir veri sızıntısının olmadığını iddia ediyor.
Rabbitude topluluğu tarafından yürütülen Rabbit R1'in tersine mühendislik projesi ekibi, şirketin kodunda kullanıcıların hassas bilgilerini herkesin erişimine açık bırakan bir güvenlik sorunu tespit etti. Rabbitude web sitesinde yayımlanan bir güncellemede ekip, 16 Mayıs'ta Rabbit'in kod tabanına eriştiklerini ve "birkaç kritik hardcoded API anahtarı" bulduklarını belirtti. Bu anahtarlar, R1 AI cihazının verdiği her yanıtı, kullanıcıların kişisel bilgilerini içerenler de dahil olmak üzere, herhangi bir kişinin okuyabilmesini sağlıyor. Ayrıca bu anahtarlar, R1 cihazlarını kullanılamaz hale getirmek, R1'in yanıtlarını değiştirmek ve cihazın sesini değiştirmek için de kullanılabilir.
Bulunan API anahtarları, ElevenLabs'ın metin okuma servisine, Azure'un metinden konuşmaya sistemine, Yelp (inceleme aramaları için) ve Google Maps (konum aramaları için) hizmetlerine erişimi sağlıyor. Rabbitude üyelerinden biri, bir tweet ile şirketin bu sorunu bir aydır bildiğini ve "hiçbir şey yapmadığını" söyledi. Paylaşımın ardından Rabbit, Elevenlabs'ın API anahtarını iptal etti, ancak bu durum R1 cihazlarının bir süre çalışmamasına neden oldu.
Engadget'a gönderilen bir açıklamada Rabbit, 25 Haziran'da "iddia edilen bir veri ihlali" hakkında bilgilendirildiğini belirtti. Şirket, "Güvenlik ekibimiz hemen incelemeye başladı," şeklinde devam etti. "Şu anda müşteri verilerinin sızdığına veya sistemlerimizin tehlikeye girdiğine dair bir bilgiye sahip değiliz. Başka ilgili bilgiler edinirsek, daha fazla detay elde ettiğimizde bir güncelleme sağlayacağız." Rabbitude ekibinin şirket kodunda bulduğunu söylediği anahtarların iptal edilip edilmediği hakkında bilgi vermedi.
Rabbit'in R1 cihazı, Teenage Engineering tarafından tasarlanan bağımsız bir AI asistanıdır. Kullanıcılara yemek siparişi verme gibi belirli görevlerde yardımcı olmak ve hava durumu gibi bilgileri hızlıca aramak için tasarlanmıştır. Yapılan bir incelemede, AI işlevselliğinin çoğu zaman çalışmadığı tespit edilerek düşük bir puan verildi. Ayrıca, kullanıcılar 199$ harcamak yerine telefonlarını kullanabilirler.