Rabbit R1 tiene una importante vulnerabilidad de seguridad en su código



“todos [Rabbit] Las respuestas R1 enviadas se pueden descargar en absoluto, De acuerdo a Para un grupo de investigación R1 llamado Rabbitude.

Rabbit y su IA R1 ya estaban allí se hundió por ser nada más de aplicación de Android Envuelto en una herramienta de hardware, pero hay algo más preocupante en marcha.

El informe (trans el borde) dijo que Rabbitude obtuvo acceso al código base y descubrió que las claves API se habían integrado en su código. Esto significa que cualquier persona con estas claves puede “leer cada respuesta realizada por cada R1, incluidas aquellas que contienen información personal, bloquear todos los R1 y cambiar las respuestas de todos los R1”. [and] Reemplace el sonido de cada r1”. La investigación descubrió que estas claves API son las que brindan acceso a ElevenLabs y Azure para generar texto a voz, Yelp para reseñas y Google Maps para datos de ubicación.

Velocidad de la luz triturable

Lo peor es que Rabbitude dijo que identificó la falla de seguridad el 16 de mayo y que Rabbitude estaba al tanto del problema. Pero las “claves API todavía son válidas en el momento de escribir este artículo” el 25 de junio. El acceso continuo a las claves API significa que los delincuentes pueden acceder a datos confidenciales, bloquear todo el sistema RabbitOS y agregar scripts personalizados.

Al día siguiente (26 de junio), Rabbit emitió un comunicado en su servidor Discord diciendo que las cuatro claves API identificadas por Rabbitude habían sido revocadas. La compañía dijo: “Hasta el momento, no tenemos conocimiento de que se haya filtrado ningún dato de clientes ni de que se haya pirateado nuestros sistemas”.

See also  Consejos y respuestas sobre el obstáculo del día del 4 de octubre

Pero la trama se complica. conejo También se encontraron La quinta clave API se instaló en el código, pero no se reveló públicamente durante la investigación. Esta opción se llama sendgrid y proporciona acceso a todos los correos electrónicos del subdominio r1.rabbit.tech. En el momento en que Rabbitude publicó su informe de seguimiento, la clave API de sendgrid todavía estaba activa. El acceso a esta clave API significa que Rabbitude puede acceder a información adicional del usuario dentro de la funcionalidad de hoja de cálculo R1 e incluso enviar correos electrónicos desde direcciones de correo electrónico de Rabbit.tech.

Si ya es escéptico sobre las capacidades inmaduras del R1, que la editora de Mashable Tech, Kimberly Gideon, atribuyó en su revisión a “innovación apresurada, desilusión e imprudencia”, esto podría ser una señal de que Rabbit, en el mejor de los casos, no vale la pena. y En el peor de los casos, no poder mantener la privacidad de sus datos.





Source Article Link

Leave a Comment