Rabbit及其R1AI小工具再次受到攻击,而且比我们发现其启动器实际上可以作为Android应用程序安装时严重得多。一个名为Rabbitude的开发人员和研究人员小组表示,他们在公司的代码库中发现了硬编码的API密钥,使敏感信息面临落入坏人之手的风险。
这些密钥实际上提供了对Rabbit的第三方服务帐户的访问权限,例如其文本转语音提供商ElevenLabs以及该公司的SendGrid帐户(经404Media证实),该公司通过该帐户从其rabbit.tech域发送电子邮件。据Rabbitude称,它对这些API密钥(尤其是ElevenLabsAPI)的访问权限意味着它可以访问R1设备给出的所有响应。这真是糟糕透顶。
Rabbitude昨天发表了一篇文章,称其一个多月前就获得了密钥的访问权限,但尽管Rabbitude知道这一漏洞,却没有采取任何措施来保护信息。自那时起,该组织表示其对大多数密钥的访问权限已被撤销,这表明该公司对密钥进行了轮换,但截至今天早些时候,它仍然可以访问SendGrid密钥。
Rabbit回应了我们的评论请求,向我们提供了其网站上于周三中午发布的一个页面。该公司发言人RyanFenwick表示,公司将更新该页面以“提供可用的更新”。其网站上的声明呼应了Rabbit昨天在其Discord频道上发布的一篇帖子,称正在调查该事件,但尚未发现“我们的关键系统或客户数据安全受到任何损害”。
今年春天,RabbitR1上市后大肆宣传,但结果却令人失望。电池续航时间很差,功能设置很简陋,而且人工智能生成的响应经常出现错误。该公司在短时间内发布了软件更新,修复了电池耗尽等问题,此后一直在发布更新,但R1的核心问题——过度承诺和严重交付不足——仍然没有改变。像这样严重的安全漏洞使得重新赢得公众信任变得更加困难。